Medio ambiente: pequeña empresa de ingeniería (< 50 empleados) y todos son administradores locales en su computadora, incluidos todos en el grupo de administración.
Configuración: Algunas características de seguridad estándar están implementadas: NGFW, (N) IDS, (H) IDS, DLP, red segmentada, antimalware en cada cliente, FW local, actualización de Windows, automatizado Tercera actualización de software en cada cliente, política de bloqueo, agentes OSSEC en todos los servidores.
Problema: cuando el malware alcanza (y lo hace!) la infección es mucho peor cuando el usuario es administrador.
Se buscó una solución: proteja a las personas VIP en el grupo de administración de una infección de malware (o más bien: malware que infecta toda la computadora). Ya que están en alto riesgo de ser "pescados con lanza"
El primer paso es, por supuesto, hacerlos usuarios estándar. Hasta ahora todo bien, pero exigen derechos de administrador en caso de que lo necesiten (sin llamar al servicio de asistencia). Estoy dispuesto a darles esto en un período de transacción, pero no puede ser tan fácil como darles una cuenta de administrador local, ya que lo más probable es que solo usen esa cuenta todo el tiempo. Estoy pensando en algún tipo de solución OTP o similar para darles un obstáculo lo suficientemente grande como para superar si es absolutamente necesario que sean administradores. Sugerencias?
Me doy cuenta de que las infecciones de malware seguirán siendo un problema para el grupo de ingeniería, pero ese es un proyecto futuro.