Hay una serie de usuarios en la empresa que deben realizar tareas administrativas en las máquinas, entre otras, el departamento de servicios de TI, también los desarrolladores, etc.
El único requisito para el acceso administrativo dentro de nuestro estado sería instalar o actualizar el software; con la mayoría del software implementado centralmente a través de SCCM. Como tal, cualquier requisito sería un agente de servicio de TI o un técnico de campo que realice cambios ad hoc en una máquina, o posiblemente un desarrollador. No hay requisitos para que los usuarios estándar sean administradores de máquinas locales.
En el proceso de creación de una política POLP (Principio de privilegio mínimo) razonable, determinamos que todos los usuarios deberían tener cuentas de usuario de escritorio estándar y cuentas administrativas secundarias; con la intención de que cualquier requisito para realizar cambios locales será desafiado con un UAC, que requiere credenciales diferentes.
Esto no solo evitará que los procesos malintencionados que se ejecutan en su entorno se ejecuten usando sus privilegios de cuenta, sino que también actúa como un "guardabosques psicológico" para garantizar que se les informe que están realizando cambios locales. Además, si su cuenta estándar está comprometida (tienen correos electrónicos, por ejemplo), las cuentas comprometidas no son administrativas.
Ahora, lo anterior me pareció lógico a primera vista, pero desde entonces un colega ha cuestionado la propuesta.
Respeto inmensamente al colega y él tiene muchos, muchos años de experiencia en TI; pero su desafío era que su cuenta estándar tiene privilegios administrativos locales en su propia máquina , y que con UAC activado, esto debería estar suficientemente protegido.
¿Tiene razón?
Algunos de los usuarios necesitarían sus cuentas de ADM vinculadas a un grupo que llena a los administradores locales en todas las máquinas del dominio; poner sus cuentas estándar en esa membresía me parece un gran riesgo, pero ¿es suficiente con habilitar los mensajes UAC?