¿Cómo administrar los derechos de administración para el personal del servicio de asistencia?

Navega tus respuestas
8

Mi pregunta es sobre la emisión de derechos administrativos para el personal del servicio de asistencia en una configuración de Active Directory grande.

El personal de Helpdesk comúnmente requiere derechos administrativos para brindar soporte a los usuarios finales. Sé que esto se hace comúnmente (vea [1] [2 ] [3] ) creando un grupo "Workstation Admins" y agregando ese grupo al grupo local Administrators en cada PC. Idealmente, el personal del servicio de asistencia utilizará una cuenta de bajo privilegio para las tareas diarias y solo usará su cuenta "Workstation Admins" cuando sea necesario.

Los administradores del sistema generalmente hacen lo mismo y usan una cuenta con privilegios más altos al acceder a los servidores. Esto tiene sentido porque los servidores son máquinas confiables que están protegidas tanto física como electrónicamente. Por lo tanto, iniciar sesión en un servidor con una cuenta privilegiada es básicamente seguro.

Sin embargo, el personal del servicio de asistencia iniciará sesión en las máquinas que probablemente quedaron constantemente desatendidas y utilizadas para el correo electrónico diario o la navegación web. No se puede confiar en estas computadoras de la misma manera que los servidores. Es fácil imaginar a un miembro del personal en el servicio de asistencia al iniciar sesión en una computadora que contiene una carga útil de malware que se propaga inmediatamente por la red porque tiene derechos de administrador en muchas otras computadoras.

O, lo que es peor, un usuario malintencionado podría realizar una estafa de suplantación de identidad en la vida real al tener un keylogger en su computadora, y luego hacer que alguien del servicio de asistencia inicie sesión.

¿Hay alguna manera de dar al personal del servicio de asistencia el acceso que necesitan sin crear un riesgo significativo? (Me imagino que una solución ideal usaría una contraseña de un solo uso para la autenticación, y el usuario registrado solo estaría autorizado como administrador local. En otras palabras, quiero que el personal del servicio de asistencia tenga acceso a CUALQUIER computadora, no CADA computadora.)

    
pregunta Nic 31.08.2012 - 05:11
fuente

3 respuestas

2

Si un administrador va a escribir su contraseña en una estación de trabajo hostil, entonces le está diciendo al usuario (o un pirata informático) su contraseña, ya sea que la vea de esa manera o no. Definitivamente, esta es una ruta de explotación muy conocida y utilizada, e incluso he sido testigo de su uso en el mundo real en IBM.

Aquí solo hay dos opciones:

  1. No permita que los usuarios ingresen su contraseña en la estación de trabajo de otra persona

  2. Utilice la autenticación de dos factores

Cambiar tu contraseña después es importante, pero aún así deja una ventana de vulnerabilidad e incluso varios minutos ya son demasiado largos. Requerir la autenticación de dos factores le da el tiempo que necesita para regresar a una estación de trabajo segura y cambiar su contraseña.

Tenga en cuenta que aún así, es vulnerable a una variante de un ataque de hombre en el medio donde la estación de trabajo hostil usa su token de seguridad para fines distintos a los que ve en la pantalla. Este no es un ataque difícil de organizar, por lo que vale la pena tomarlo en serio.

    
respondido por el tylerl 31.08.2012 - 09:28
fuente
3

Mitigación 1: use autenticación de dos factores para iniciar sesión en las cuentas de administrador.

Mitigación 2: Ofrezca al personal del servicio de asistencia una tableta o netbook que puedan llevar consigo. En lugar de escribir su contraseña en la máquina del usuario, podrían iniciar sesión en su tableta / netbook y usar los servicios de administración remota interna para administrar la máquina del usuario. Haga que este flujo de trabajo sea lo más fácil y sin fricciones posible.

Mitigación 3: haga que el personal del servicio de asistencia cambie su contraseña de administrador regularmente (una vez a la semana podría no ser una exageración).

    
respondido por el D.W. 31.08.2012 - 06:16
fuente
0

Dependiendo de la complejidad del soporte que necesitan proporcionar en una estación de trabajo o servidor, sugeriría usar algún tipo de herramientas de administración remota para la mayoría de los incidentes. De esa manera, los administradores no se registran directamente en una máquina cada vez que brindan soporte.

Recomiendo echar un vistazo a System Frontier , pero soy el propietario de la empresa que lo hace. Le permite delegar derechos más granulares que se pueden hacer fácilmente en Windows.

Sea cual sea el producto o método que elija, no asuma que, dado que se trata de un servidor, es básicamente seguro que cualquier administrador inicie sesión directamente. Puede ser tan peligroso detrás de su firewall como fuera de él. Idea : tal vez para máquinas que son solo para la navegación web, ¿tiene una política de borrado y reconstrucción automática si los problemas no se pueden resolver de forma remota?

    
respondido por el Jay Adams 19.01.2013 - 16:12
fuente

Lea otras preguntas en las etiquetas

¿Qué hace que PINless Wi-Fi Direct con WPS en Android sea seguro? 'Recordarme' combinado con el token de autenticación