Давайте начнем с установки сцены — я младший системный администратор, которому поручено осуществить переход компании к модели «наименьших привилегий».Это включает удаление прав администратора у наших пользователей, которые в основном работают с Windows 10.
На данный момент пользователи (по большей части) используют учетные записи с правами локального администратора. Очевидно, что это очень плохо, и мы работаем над тем, чтобы это изменить. Идея, выдвинутая моим n+1 после аудита безопасности, который они провели в прошлом году, состоит в том, чтобы иметь два типа пользователей:
- Первый тип потеряет права администратора и, в случае необходимости, получит временный пароль для учетной записи с правами администратора на своем компьютере (срок действия которого истечет через некоторое время, используя LAPS)
- Второй тип (и наиболее важный для моей проблемы) состоит из разработчиков — некоторые из них работают с веб-технологиями, а другие — с некоторыми языками очень низкого уровня, и им, среди прочего, необходимо взаимодействовать с реестрами на полурегулярной основе.
У этих ребят будет обычная учетная запись без привилегий и учетная запись администратора (или учетная запись «Запуск от имени»), которую они будут использовать, когда им нужно запускать что-то от имени локального администратора. Это означает ввод логина и пароля каждый раз, когда появляется UAC для подтверждения использования привилегий администратора. Эта учетная запись «Запуск от имени» не сможет открыть обычный сеанс по очевидным причинам.
Проблема возникает с этими разработчиками старой школы. Я боюсь, что это превратится в проблему офисной политики, поскольку потеря прав администратора может привести к некоторой потере производительности (особенно для тех, кто чаще использует привилегии) и, что более важно, к некоторому разочарованию.
Я могу понять, откуда они берутся. Поработав в той же компании разработчиком, я понял, что быть локальным администратором удобно. Тем не менее, я также знаком с вопросами безопасности и знаю, что быть администратором на рабочей станции — это большое нет-нет.
Недавно мне пришлось представить этому второму типу пользователей наши планы на будущее.Излишне говорить, что ведущему разработчику группы "олдскула" это не понравилось, и он задал довольно хороший вопрос (хотя, возможно, исходя из недалекой точки зрения на ситуацию), на который я не успел ответить. придумать удовлетворительный ответ.
Если цель не быть локальным администратором состоит в том, чтобы избежать распространения вредоносных программ или возможности злоумышленника использовать уязвимости, есть ли реальная разница между пользователем, запускающим программы, требующие привилегий, как эта учетная запись администратора «Запуск от имени» и просто выполнение это сразу с админской учетной записью в cas зараженного файла?
Ведущий разработчик утверждал, что такая политика будет не более чем пустой тратой времени, поскольку она приведет к тем же самым уязвимостям безопасности, что и просто локальный администратор.
Это точно? Мне известны утверждения о том, что «92% критических уязвимостей Microsoft
раскрытый в 2013 году, можно смягчить, удалив права администратора».(SANS, 2016, со ссылкой на исследование Avecto) и другие подобные утверждения, и я действительно чувствую, что быть локальным администратором действительно не очень хорошая идея, но действительно ли наше решение лучше?
Мы планируем провести тест-драйв нового решения в ближайшем будущем, чтобы оценить потенциальную потерю производительности и определить, нужно ли нам искать другое решение, и я боюсь, что ведущий разработчик и другие, кто раздражен по идее будет намеренно преувеличивать свои неудачи.
