Habiendo trabajado tanto en el sector público como en el privado como informante, tuve la oportunidad de ver cuántas organizaciones abordan esto y aquí están algunas de mis observaciones;
Do you require/support Smart Card Authentication?
Todavía tengo que encontrar una organización que haya implementado la autenticación con tarjeta inteligente.
Restrict logins from a particular workstation?
Este debería ser un bloque de construcción básico, pero muchos sitios aún no pueden restringir el acceso de esta manera. Además, las cuentas específicas que requieren privilegios de administrador también deben restringirse a los servidores / estaciones de trabajo específicos requeridos. Los derechos excesivamente permisivos pueden llevar a un compromiso de dominio.
Require more complex passwords for Administrator accounts?
Un sitio tenía un enfoque fantástico para esto, usaban una frase de contraseña larga para las cuentas de administrador. Esto sirvió dos objetivos. Uno: está protegido contra ataques de fuerza bruta (¿quién va a tener un diccionario o una tabla hash para una oración de quince palabras?) Y, en segundo lugar, se usó para evitar que el equipo de soporte proporcione la contraseña en el teléfono, ya que sería obvio. lo estaban haciendo ¡Ese equipo tenía una larga historia de pasar las contraseñas de administrador para evitar que tengan que abandonar su oficina y visitar a los usuarios!
The use of a different computer, or VM for administrative tasks
El uso de una VLAN de administración u otra segregación es un buen enfoque. Tomar tráfico sensible y el acceso fuera de la red corporativa es un comienzo.
También debe tener un enfoque para abordar el uso y la actualización de las herramientas de administración. Las herramientas de administración en desuso pueden llevar a un compromiso de dominio completo y prolífico en redes internas. ¿Cuántas veces ha pensado en parchar su 'Servicio de administración de HP' o incluso apagarlo? ¿Cuántas herramientas de conexión remota necesita su equipo de soporte? ¡He estado en el sitio donde Terminal Services / VNC / DameWare y otras herramientas remotas estaban en uso en la misma red para los mismos servidores!
Por lo tanto, retirar aquí sería revisar su enfoque del uso de las herramientas de administración, deshabilitar aquellas que no necesita, reducir la superposición de herramientas utilizadas para completar la misma tarea y parchear las que elija mantener.