Рейтинг:3

Есть ли реальный смысл использовать учетные записи локального администратора «Запуск от имени» вместо входа в систему в качестве локального администратора?

флаг uz

Давайте начнем с установки сцены — я младший системный администратор, которому поручено осуществить переход компании к модели «наименьших привилегий».Это включает удаление прав администратора у наших пользователей, которые в основном работают с Windows 10.

На данный момент пользователи (по большей части) используют учетные записи с правами локального администратора. Очевидно, что это очень плохо, и мы работаем над тем, чтобы это изменить. Идея, выдвинутая моим n+1 после аудита безопасности, который они провели в прошлом году, состоит в том, чтобы иметь два типа пользователей:

  • Первый тип потеряет права администратора и, в случае необходимости, получит временный пароль для учетной записи с правами администратора на своем компьютере (срок действия которого истечет через некоторое время, используя LAPS)
  • Второй тип (и наиболее важный для моей проблемы) состоит из разработчиков — некоторые из них работают с веб-технологиями, а другие — с некоторыми языками очень низкого уровня, и им, среди прочего, необходимо взаимодействовать с реестрами на полурегулярной основе.
    У этих ребят будет обычная учетная запись без привилегий и учетная запись администратора (или учетная запись «Запуск от имени»), которую они будут использовать, когда им нужно запускать что-то от имени локального администратора. Это означает ввод логина и пароля каждый раз, когда появляется UAC для подтверждения использования привилегий администратора. Эта учетная запись «Запуск от имени» не сможет открыть обычный сеанс по очевидным причинам.

Проблема возникает с этими разработчиками старой школы. Я боюсь, что это превратится в проблему офисной политики, поскольку потеря прав администратора может привести к некоторой потере производительности (особенно для тех, кто чаще использует привилегии) ​​и, что более важно, к некоторому разочарованию.

Я могу понять, откуда они берутся. Поработав в той же компании разработчиком, я понял, что быть локальным администратором удобно. Тем не менее, я также знаком с вопросами безопасности и знаю, что быть администратором на рабочей станции — это большое нет-нет.

Недавно мне пришлось представить этому второму типу пользователей наши планы на будущее.Излишне говорить, что ведущему разработчику группы "олдскула" это не понравилось, и он задал довольно хороший вопрос (хотя, возможно, исходя из недалекой точки зрения на ситуацию), на который я не успел ответить. придумать удовлетворительный ответ.

Если цель не быть локальным администратором состоит в том, чтобы избежать распространения вредоносных программ или возможности злоумышленника использовать уязвимости, есть ли реальная разница между пользователем, запускающим программы, требующие привилегий, как эта учетная запись администратора «Запуск от имени» и просто выполнение это сразу с админской учетной записью в cas зараженного файла?
Ведущий разработчик утверждал, что такая политика будет не более чем пустой тратой времени, поскольку она приведет к тем же самым уязвимостям безопасности, что и просто локальный администратор.

Это точно? Мне известны утверждения о том, что «92% критических уязвимостей Microsoft раскрытый в 2013 году, можно смягчить, удалив права администратора».(SANS, 2016, со ссылкой на исследование Avecto) и другие подобные утверждения, и я действительно чувствую, что быть локальным администратором действительно не очень хорошая идея, но действительно ли наше решение лучше?

Мы планируем провести тест-драйв нового решения в ближайшем будущем, чтобы оценить потенциальную потерю производительности и определить, нужно ли нам искать другое решение, и я боюсь, что ведущий разработчик и другие, кто раздражен по идее будет намеренно преувеличивать свои неудачи.

флаг in
ИМО, этот вопрос лучше подходит для [security.se]
Рейтинг:5
флаг cv

Проблема возникает с этими разработчиками старой школы. я боюсь этого превратится в вопрос офисной политики, так как потеря админа права могут сопровождаться некоторой потерей производительности (особенно для те, кто чаще пользуется привилегиями) и, что более важно, некоторые разочарование.

Это не ваша битва, так что не боритесь. Если люди недовольны изменениями, скажите им, чтобы они обратились к руководству.

Является ли предлагаемое изменение более безопасным? Да. Существует ли риск в новой модели? Да. Меньше ли риска с новой моделью? Да.

Кроме того, я бы не хотел быть человеком, который отменил это, а затем обнаружил, что данные компании и интеллектуальная собственность были вымогательскими программами. И не дай Бог, он проникнет в клиентские системы через ваше программное обеспечение. Спросите разработчиков, хотят ли они такой ответственности и подотчетности.

spectras avatar
флаг ro
Эти политики на самом деле являются пустой тратой времени, учитывая, сколько времени вам требуются права администратора в обычный день для разработки программного обеспечения (возможно, за исключением Интернета). И они полностью упускают из виду: то, что нужно защищать в системе разработчика, — это не система, а код… который вполне доступен для записи обычным пользователем. другими словами, это не делает ничего для защиты клиентских систем, но эй, по крайней мере, рабочая станция нашего разработчика защищена немного лучше, это стоило снижения производительности.
Рейтинг:0
флаг ng

Зависит от вашего спектра риска.

В качестве предотвращения целенаправленной атаки эта мера практически бесполезна.

В качестве предотвращения инсайдерской атаки мера также бесполезна.

В качестве предупреждения разработчиков, устанавливающих пиратское программное обеспечение и не удаляющих его перед неожиданной проверкой — извините.

В качестве профилактики от стандартного вредоносного ПО, которое заражает компьютеры отделов продаж и бухгалтерии — ну, в какой-то степени это работает — и им в любом случае не нужен доступ администратора.

В качестве профилактики грубой сисадминской небрежности - ну, в некоторой степени, потому что у тех вырабатывается привычка писать пароль быстро и толком не читая, что его просят.

Помимо этого, получение машин разработки, где находится больше всего IP-адресов, или инфраструктуры резервного копирования, где находится все, чтобы присоединиться к AD, в первую очередь плохо.

Это создает единую точку отказа. Игра с политиками только злит разработчиков и делает их изобретательными в обход театра безопасности.

p.s. Мне еще предстоит увидеть развертывание AD, которое не было бы запущено на уровне администратора домена в течение 5 лет, независимо от того, знают об этом законные администраторы или нет.

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.