He estado investigando el mejor método para otorgar permisos administrativos locales de manera segura, pero realmente estoy luchando para conciliar las implicaciones de seguridad, operativas y de costos.
He ideado algunas opciones:
- Cree un grupo de seguridad de dominio (
PC Admins
), agregue las cuentas de usuario de dominio requeridas y use la Política de grupo para agregar el grupo de seguridad de dominio al grupo de seguridad localAdministrators
:- Pros:
- Gestionado de forma centralizada.
- auditable.
- Gratis.
- Contras:
- Vulnerable al robo de credenciales y ataques de movimiento lateral.
- Pros:
- Opción # 1 pero usando cuentas de usuario de dominio separadas (
<original username>.admin
):- Pros: Igual que # 1
- Contras: Igual que # 1. La autenticación de una solicitud de UAC crea un caché de inicio de sesión que puede ser explotado.
- Opción # 1 pero deshabilitando los inicios de sesión en caché:
- Pros:
- Gestionado de forma centralizada.
- auditable.
- Gratis.
- No es tan vulnerable al robo de credenciales ni a los ataques de movimiento lateral, ya que no hay cachés de inicio de sesión para explotar, pero las credenciales aún pueden capturarse por otros medios (keyloggers, etc.).
- Contras:
- Los usuarios no podrán iniciar sesión si hay un problema con el dominio, hay un problema con la conectividad de la red, su PC está fuera del sitio, etc.
- Pros:
- Implemente Microsoft LAPS y emita usuarios con las credenciales de administrador locales únicas:
- Pros:
- Gestionado de forma centralizada.
- No es vulnerable al robo de credenciales ni a los ataques de movimiento lateral.
- Gratis.
- Contras:
- No auditable.
- La cuenta de usuario administrativo predeterminada es un objetivo fácil.
- Pros:
- Agregue las cuentas de usuario de dominio necesarias al grupo de seguridad local
Administrators
:- Pros:
- Auditable (hasta cierto punto).
- No es tan vulnerable al robo de credenciales y ataques de movimiento lateral.
- Gratis.
- Contras:
- No gestionado de forma centralizada.
- Pros:
- Implementar MFA:
- Pros:
- Gestionado de forma centralizada.
- auditable.
- Contras:
- No es gratis.
- Aún vulnerable al robo de credenciales y ataques de movimiento lateral (según enlace ).
- Pros:
- Implemente un sistema que use TOTP y / o solo otorgue temporalmente permisos administrativos cuando sea necesario:
- Pros:
- Gestionado de forma centralizada.
- auditable.
- ¿No es vulnerable al robo de credenciales y los ataques de movimiento lateral?
- Contras:
- No es gratis.
- Pros:
¿Existe una mejor práctica general?
No puedo evitar sentir que no hay una respuesta tecnológica correcta y que estos riesgos se mitigan simplemente intentando garantizar que nadie pueda o vaya a (1) utilizar una cuenta de usuario administrativo en un día. A diario o (2) ejecutar malware.