¿Los usuarios de AD no personales son un riesgo para la seguridad?

Debe distinguir dos tipos de cuentas no personales:

• Cuentas genéricas son cuentas en las que múltiples personas pueden iniciar sesión. Estos son generalmente malos a medida que pierdes la responsabilidad. Si John y Fred tienen acceso y ocurre un evento malicioso, ¿a quién culpamos, a John o Fred?

• Las cuentas de servicio son utilizadas por aplicaciones, no por personas. Siempre que estos estén configurados de manera que un humano no pueda usarlos (lo que generalmente significa controlar la contraseña de manera estricta), entonces no son un riesgo de seguridad importante.

Los problemas de seguridad no provienen de la presencia de cuentas de usuario "anónimas", sino de que el usuario realmente las usa para realizar acciones (porque entonces el usuario ya no es responsable: los registros le dirán que "el Administrador lo hizo" y no " Bob lo hizo "). Registrar como una cuenta simplemente significa conocer la contraseña asociada y usarla (sin embargo, las cuentas se pueden bloquear impidiendo su uso para sesiones interactivas; eso se hace con GPO).

El auditor está teniendo una reacción instintiva: vio "muchas" de esas cuentas y, por lo tanto, lanzó la advertencia genérica sobre las cuentas anónimas. Sin embargo, esto es un tanto erróneo: el número de tales cuentas no es el problema; una sola cuenta de usuario anónima puede ser suficiente para perder la responsabilidad. Es solo que el auditor pensó que la presencia de todas estas cuentas es de alguna manera indicativa de una tradición local generalizada de usar cuentas anónimas. Un auditor más concienzudo habría analizado comportamientos , para ver si los usuarios realmente usan cuentas no nominativas en sus trabajos diarios, en lugar de encender sin pensar "Usuarios y computadoras de Active Directory" y contar las cuentas.

En general, es posible que desee "bloquear" las cuentas de no usuarios; Una forma simple es asegurarse de que ningún humano conozca las contraseñas correspondientes. Si la contraseña se debe ingresar como parte de una operación de configuración, entonces la contraseña se debe recuperar de la caja fuerte donde se guarda (impresa en algún papel). Dado que tales contraseñas no tienen que ser recordadas , y se escriben con poca frecuencia, pueden ser largas, complejas y aleatorias.

Por lo general, no puede iniciar sesión con un usuario del sistema operativo a menos que alguien haya creado un usuario con el mismo nombre para engañar al administrador. No debería preocuparse por eso, pero puede revisar a estos usuarios de vez en cuando y verificar si realmente los está utilizando el sistema o un usuario sospechoso.

Sin embargo, la gente de auditoría de TI tiene razón, se considera una mala práctica utilizar "usuarios generales" en lugar de usuarios nominativos, la razón principal es que a veces será muy difícil, si no imposible, adivinar qué persona real ha hecho. algo supuestamente malo.

Lo que deberían preguntar es: ¿Cómo se administran las cuentas genéricas y sabe para qué sirven? La cantidad es irrelevante si se administran las contraseñas y el inicio de sesión interactivo.