Windows / Datos confidenciales / Impedir el acceso mediante varios procesos

0

Tengo entendido que si inició sesión en su PC con Windows como DOMAIN \ DUDE.NAME

y tienes acceso a \ DOMAINFILES \ SECRET STUFF \ SUPER SECRETS.xlsx

cualquier proceso que ejecute también puede acceder a ese archivo, no hay una manera fácil de "iniciar el proceso sin acceso a [insertar entidades aquí]".

Entonces, cuando DUDE.NAME ejecuta, para un ejemplo aleatorio, un software de videoconferencia (que no requiere administración, por lo que no son administradores), sigue funcionando como su cuenta de usuario y efectivamente podría acceder a las carpetas de la red detrás. Las escenas y el robo de datos.

¿Cuál es la mejor práctica de la industria para esto? ¿Simplemente corres este riesgo? Encuentro que los ejecutivos quieren acceso fácil a sus archivos secretos pero quieren poder ejecutar programas que obtienen de la web. Tal vez descarguen "Easy Tax Calculator!" que no necesita administrador, simplemente se ejecuta como su cuenta, les da una interfaz de mierda lo suficientemente larga como para ejecutar el código en segundo plano para robar datos y enviarlos.

    
pregunta user72599 16.04.2015 - 16:00
fuente

2 respuestas

1

La mejor práctica es exactamente la misma que para cada cuenta con privilegios (administrador, raíz, etc.): no la use como una cuenta estándar.

Todo lo que necesita hacer es NO otorgar acceso a la cuenta DUDE.NAME a los datos confidenciales y, en su lugar, utilizar HIGHSEC.DUDE.NAME.

Puede acoplarlo efectivamente con alguna forma de aislamiento si es necesario. Por ejemplo, puede requerir que el usuario se conecte a un servidor de servicios de terminal utilizando la cuenta HIGHSEC.DUDE.NAME para acceder a los datos confidenciales.

    
respondido por el Stephane 16.04.2015 - 16:11
fuente
1

Versión corta:

  1. Desea Control de acceso obligatorio
  2. El uso de MAC en las mejores prácticas de la industria en el mundo real es raro
  3. El uso de bastiones es la alternativa más comúnmente accesible a todos

Versión larga:

La capacidad de aplicar controles detallados no solo a los usuarios, sino a los procesos que pueden acceder a los datos generalmente solo se encuentra en los sistemas de control de acceso obligatorio. Tales sistemas se utilizan históricamente, por ejemplo, para asegurar que los datos con diferentes niveles de clasificación de gobierno / militares no se filtran de manera inapropiada a través de los límites de clasificación.

Estos sistemas generalmente solo se ven en contratos gubernamentales, militares y de defensa donde la clasificación se toma muy en serio. Las empresas "regulares" no admiten ese nivel de burocracia.

Hay varias implementaciones de MAC disponibles para ti. Cisco Security Agent solía permitirle hacer exactamente eso; digamos que solo se puede acceder a \DOMAINFILES\SECRET STUFF\SUPER SECRETS.xlsx mediante C:\Program Files\Microsoft Office\excel.exe y no a C:\Program Files\Microsoft Office\outlook.exe . Desafortunadamente, Cisco mató a CSA: *

Una solución alternativa que verás es el uso de hosts de bastion o entornos de bastion. Por ejemplo, una empresa puede bloquear el acceso a su banco desde estaciones de trabajo regulares, pero permitirlo desde un host de bastión (RDP o Citrix) en el que los empleados de finanzas deben iniciar sesión para realizar transacciones confidenciales (por ejemplo, transferencias de decenas de miles de dólares). El navegador en el bastión solo se usa para este propósito y, por lo tanto, es menos probable que se infecte con malware que capture y envíe las credenciales del banco. El navegador de escritorio del usuario todavía se puede utilizar para navegar en Internet, con todos los peligros inherentes, sin temor a exponer las transacciones de mayor valor a malcode.

Le puede interesar que los sistemas no tradicionales estén jugando con otros conceptos de acceso. En Android, por ejemplo, cada aplicación se instala y ejecuta como una identificación de usuario diferente, y el acceso a las identificaciones de la aplicación no se concede de forma predeterminada.

    
respondido por el gowenfawr 16.04.2015 - 17:18
fuente

Lea otras preguntas en las etiquetas