¿Los usuarios de AD no personales son un riesgo para la seguridad?

5

Después de una auditoría de TI de mi empresa, el informe decía que nuestro Active Directory contenía demasiadas cuentas de usuarios no personales. Esto causó un riesgo de uso indebido y acceso no autorizado de usuarios.

Revisé el Directorio Activo de mi compañía hoy y noté muchas cuentas de usuarios no personales, pero la mayoría de ellas parecen estar relacionadas con sistemas que "deberían" estar ejecutándose en el servidor. Si los desactivo, supongo que algunas aplicaciones se romperían.

¿Vieron esto como un riesgo potencial de seguridad? ¿Hay alguna forma de iniciar sesión con una de estas cuentas del sistema?

    
pregunta Francis 23.01.2014 - 10:32
fuente

4 respuestas

8

Debe distinguir dos tipos de cuentas no personales:

  • Cuentas genéricas son cuentas en las que múltiples personas pueden iniciar sesión. Estos son generalmente malos a medida que pierdes la responsabilidad. Si John y Fred tienen acceso y ocurre un evento malicioso, ¿a quién culpamos, a John o Fred?

  • Las cuentas de servicio son utilizadas por aplicaciones, no por personas. Siempre que estos estén configurados de manera que un humano no pueda usarlos (lo que generalmente significa controlar la contraseña de manera estricta), entonces no son un riesgo de seguridad importante.

respondido por el paj28 23.01.2014 - 11:54
fuente
4

Los problemas de seguridad no provienen de la presencia de cuentas de usuario "anónimas", sino de que el usuario realmente las usa para realizar acciones (porque entonces el usuario ya no es responsable: los registros le dirán que "el Administrador lo hizo" y no " Bob lo hizo "). Registrar como una cuenta simplemente significa conocer la contraseña asociada y usarla (sin embargo, las cuentas se pueden bloquear impidiendo su uso para sesiones interactivas; eso se hace con GPO).

El auditor está teniendo una reacción instintiva: vio "muchas" de esas cuentas y, por lo tanto, lanzó la advertencia genérica sobre las cuentas anónimas. Sin embargo, esto es un tanto erróneo: el número de tales cuentas no es el problema; una sola cuenta de usuario anónima puede ser suficiente para perder la responsabilidad. Es solo que el auditor pensó que la presencia de todas estas cuentas es de alguna manera indicativa de una tradición local generalizada de usar cuentas anónimas. Un auditor más concienzudo habría analizado comportamientos , para ver si los usuarios realmente usan cuentas no nominativas en sus trabajos diarios, en lugar de encender sin pensar "Usuarios y computadoras de Active Directory" y contar las cuentas.

En general, es posible que desee "bloquear" las cuentas de no usuarios; Una forma simple es asegurarse de que ningún humano conozca las contraseñas correspondientes. Si la contraseña se debe ingresar como parte de una operación de configuración, entonces la contraseña se debe recuperar de la caja fuerte donde se guarda (impresa en algún papel). Dado que tales contraseñas no tienen que ser recordadas , y se escriben con poca frecuencia, pueden ser largas, complejas y aleatorias.

    
respondido por el Tom Leek 23.01.2014 - 17:42
fuente
2

Por lo general, no puede iniciar sesión con un usuario del sistema operativo a menos que alguien haya creado un usuario con el mismo nombre para engañar al administrador. No debería preocuparse por eso, pero puede revisar a estos usuarios de vez en cuando y verificar si realmente los está utilizando el sistema o un usuario sospechoso.

Sin embargo, la gente de auditoría de TI tiene razón, se considera una mala práctica utilizar "usuarios generales" en lugar de usuarios nominativos, la razón principal es que a veces será muy difícil, si no imposible, adivinar qué persona real ha hecho. algo supuestamente malo.

    
respondido por el kiBytes 23.01.2014 - 10:38
fuente
1

Lo que deberían preguntar es: ¿Cómo se administran las cuentas genéricas y sabe para qué sirven? La cantidad es irrelevante si se administran las contraseñas y el inicio de sesión interactivo.

    
respondido por el Pedro 15.11.2016 - 13:26
fuente