¿Por qué las empresas no dan acceso de raíz a los empleados en sus máquinas de escritorio? [duplicar]

Los administradores de seguridad son responsables de su máquina y de lo que suceda en su máquina. Esta responsabilidad viola el modelo de seguridad básico para una máquina Unix de un solo usuario porque el administrador (una parte ausente) es root en su Máquina, no eres. Unix no está realmente configurado para este modelo.

Los administradores deben poder instalar controles de seguridad en su máquina para proteger a la empresa, no solo a los datos, a la red y a los otros nodos. Si el usuario local tenía acceso de root, los administradores ya no tienen el control sobre esos controles. Esa es la premisa básica.

Sí, hay miles de razones por las que se necesita root para hacer cosas malas o para convertir la máquina en un nodo malicioso, y todas esas son buenas razones para no proporcionar acceso a root. Y sí, hay muchas maneras de evitar esas limitaciones y muchas formas en que el usuario local podría hacer cosas malas. Pero en última instancia, el usuario local y el propietario del riesgo no pueden competir por el control o la responsabilidad sobre la máquina.

Algunas razones fuera de mi cabeza:

• El envenenamiento ARP o los ataques de inundación de red en la red generalmente requieren acceso de root a una máquina en la red.

• El hecho de poder instalar programas no autorizados puede hacer que la empresa tenga una responsabilidad legal si esos programas son ilegales (por ejemplo, porque son pirateados o no tienen licencia para uso con fines de lucro o cualquier otra cosa).

• Si la empresa tiene algún tipo de monitoreo remoto de los empleados (o desea tener la capacidad de tener dicho monitoreo incluso si aún no está implementado), darles acceso a la raíz a los usuarios les permitiría evitarlo.

• No tener acceso a la raíz significa que no puede rm -rf /bin , o cualquier otra cantidad de otras cosas destructivas, y nadie puede acceder a sus datos de inicio de sesión, por lo que no hay ninguna posibilidad de que su empresa necesite ayuda. recuperarse de esa situación.

• Si su empresa puede volver a implementar su máquina si se va, es posible que se sientan más cómodos al hacerlo sin realizar una limpieza y reinstalación completa si nunca ha tenido acceso de root a ella.

• Darle acceso a la raíz a las personas es fácil, si es necesario; quitar el acceso a la raíz de forma integral es difícil si se hace necesario.

• El principio general de de privilegio mínimo es que no se debe dar acceso a nadie / a nada que no tengan ' t necesita activamente.

• Simplemente no se ha movido desde los días de servidores compartidos porque es un proceso que funciona y nada ha roto la inercia (la hipotética monkeys and ladders problem ).

Esta respuesta no pretende contradecir las respuestas existentes, sino complementarlas porque es demasiado largo para un comentario.

Parte de la razón es (como han aludido otros) que no se puede confiar en que los usuarios hagan cosas tontas o maliciosas. Pero otra parte es, ¿de quién es la responsabilidad de arreglar las cosas cuando eso sucede?

Soy un desarrollador de pila completa y devops de medio tiempo con acceso de raíz, no solo a mis propias máquinas de desarrollo, sino a varios de nuestros servidores de producción y, al menos, cierto nivel de acceso al hipervisor en el que están implementados. Pero si me equivoco, soy la parte (o al menos una parte) con las habilidades, la experiencia y la responsabilidad para solucionarlo. No es así para el usuario final típico: si Bobby el usuario trabaja en su instalación de Windows que tuvo datos de misión crítica y / o se usó para el trabajo de misión crítica, entonces Bobby no es el único que tiene que entrar en su / su día libre o trabajo extra sin pago para arreglarlo. Por no hablar de la respuesta a los latinos cómo Bobby logró hundir el barco casi sin ayuda.

Por lo tanto, parte de la razón por la cual los departamentos de TI limitan los privilegios de usuario final es que reduce su propia exposición al riesgo.

AFAIK, existen 4 razones principales para no dar acceso de administrador a usuarios estándar en sus escritorios:

• proteja la máquina en sí misma (no siempre muy eficiente) y las otras máquinas en la red de posibles ataques usando esa máquina como un relé (ya cubierto por otras respuestas)
• proteja al equipo de soporte de TI de los ataques a nivel de administrador que requerirán mucho trabajo para corregir (ya cubiertos por otras respuestas)
• mantenga todas las máquinas con (más o menos) la misma configuración para poder realizar despliegues remotos desde una sola máquina de administración: el tamaño más pequeño del equipo de soporte, menos costoso para la empresa
• impide a los usuarios (o al menos lo intenta) instalar programas no relacionados con su trabajo: un usuario que juega juegos en el trabajo, o diseñar su cocina futura no es muy productivo ...

Pero no puede proteger los datos en la máquina ni, en general, los datos a los que tiene acceso el usuario, ya sea en la máquina local o en un servidor. Ahí es donde las copias de seguridad vienen al rescate.

Tu máquina no solo es utilizada por ti. También es utilizado por su equipo de soporte de escritorio.

Si tengo acceso de root a un cuadro, especialmente un dominio unido a un cuadro de Windows, puedo instalar cualquier número de trucos diferentes que podría usar para comprometer a cualquier otro usuario del cuadro. Digamos, por ejemplo, un keylogger.

Luego, todo lo que tengo que hacer es persuadir a un ingeniero de soporte para que inicie sesión para solucionar un "problema" recién fabricado (como romper el secreto compartido de kerberos), esperar a que se eleven al dominio admin y acabo de comprometer el toda la red.

¿El escáner de malware no detectará el keylogger? No si tengo root no lo hará.

Obtienes lo que necesitas para hacer tu trabajo. Si su trabajo necesita acceso de root, lo obtiene, junto con la charla de poder / responsabilidad asociada. Mi trabajo es proteger a todos los demás de ti.

Si realmente quieres root en tu estación de trabajo personal, considera BYOD, pero si lo rompes, lo arreglas.

La empresa tiene que proteger las cosas. Necesitan proteger su secreto comercial, pero también necesitan proteger cosas como los datos del usuario. Si cada empleado tiene otra configuración posiblemente insegura en su escritorio, la empresa no tiene la oportunidad de asegurarse de que no haya robo de datos ni pérdida de datos. Una administración centralizada por profesionales ayuda a mantener las computadoras seguras y evita la pérdida accidental de datos.

En el caso de una caja Unix conectada a cualquier tipo de servidores de archivos NFS de la vieja escuela (v2 o v3), el acceso de la raíz local permite al usuario interferir con los archivos de otros usuarios, ya que la autorización se implementa parcialmente en el lado del cliente con estos protocolos. Mientras que la autenticación está bajo el control del usuario local de esta manera. Lo que significa que alguien puede simplemente usar una cuenta de usuario existente o diseñada con el mismo uid y tener acceso a los archivos que pertenecen a ese uid en NFS.

Además, ¿es "solo utilizado por un solo empleado" la forma definitiva o usual de trabajar allí? Si las máquinas forman parte de un dominio de autenticación común, ocasionalmente se permite el intercambio entre usuarios según sea necesario, o el acceso a las máquinas de colegas (¡pero no a sus datos!) Se permite ocasionalmente, esto parece un escenario de un solo usuario, pero en realidad utiliza funciones multiusuario para la administración de equipos fines

Desde un POV de licencia de software, no quiero que los usuarios puedan instalar el software sin quererlo. Por ejemplo, un usuario desea instalar Sublime Text, un editor de texto que le permite a uno usarlo gratis por un tiempo limitado. Lo quita y lo vuelve a instalar después del tiempo asignado. Esto violaría el EULA.