首先让我们来了解一下背景——我是一名初级系统管理员,负责引导公司向“最小权限”模式过渡。这包括从我们的用户(主要使用 Windows 10)中删除管理员权限。
目前,用户(大多数)使用具有本地管理员权限的帐户。这显然很糟糕,我们正在努力改变这种状况。我的 n+1 在去年进行了一次安全审计后提出了以下想法:拥有两种类型的用户:
- 第一种人将失去管理员权限,如果需要,将会收到一个具有其计算机管理员权限的帐户的临时密码(使用 LAPS,该密码将在一段时间后过期)
- 第二种类型(与我的问题最相关)由开发人员组成——其中一些人使用 Web 技术,但另一些人使用一些非常低级的语言,并且需要定期与注册表进行交互等。
这些人将拥有一个没有权限的普通帐户和一个管理员帐户(或“以管理员身份运行”帐户),当他们需要以本地管理员身份运行某些东西时,他们将使用该帐户。这意味着每次出现 UAC 时都要输入登录名和密码以确认管理员权限的使用情况。出于显而易见的原因,这个“以管理员身份运行”帐户将无法打开常规会话。
问题出在这些老派开发人员身上。我担心这会演变成办公室政治问题,因为失去管理员权限可能会带来一些生产力损失(特别是对于那些更经常使用特权的人来说),更重要的是,会带来一些挫败感。
我能理解他们的想法。我曾在同一家公司担任开发人员,我知道担任本地管理员很舒服。但是,我也熟悉安全问题,并且知道在工作站上担任管理员是大忌。
最近,我不得不向第二类用户介绍我们的未来计划。不用说,“老派”小组的首席开发人员对此并不高兴,他提出了一个很好的问题(尽管可能来自对情况的狭隘看法),而我还没有想出一个令人满意的答案。
如果不作为本地管理员的目的是为了避免恶意软件传播或入侵者利用漏洞的能力,那么用户以“以管理员身份运行”管理员帐户运行需要特权的程序与在感染文件的情况下直接使用管理员帐户执行程序之间有什么区别吗?
首席开发人员认为,这样的政策只不过是浪费他们的时间,因为它会导致与作为本地管理员完全相同的安全漏洞。
这是真的吗?我知道有人说“2013 年披露的 92% 的 Microsoft 严重漏洞都可以通过删除管理员权限来缓解”(SANS,2016 年,引用 Avecto 的一项研究)以及其他类似的断言,我真的觉得成为本地管理员确实不是一个好主意,但是我们的解决方案真的更好吗?
我们计划在不久的将来进行新解决方案的试用,以评估潜在的生产力损失并确定是否需要寻找其他解决方案,我担心首席开发人员和其他对这个想法感到恼火的人会故意夸大它的挫折。
答案1
问题出在这些老派开发人员身上。我担心这会演变成办公室政治问题,因为失去管理员权限可能会带来一些生产力损失(特别是对于那些更经常使用特权的人来说),更重要的是,会带来一些挫败感。
这不是你要打的仗,所以不要打。如果人们对这种变化不满意,就让他们去跟管理层谈谈。
提议的变更是否更安全?是的。新模型中是否仍存在风险?是的。新模型的风险是否更小?是的。
顺便说一句,我不想成为那个压制了这件事然后发现公司数据和知识产权遭到勒索软件攻击的人。但愿它不会通过你的软件进入客户系统。问问开发人员是否愿意承担这种责任和义务。
答案2
取决于您的风险范围。
作为一种预防有针对性的攻击的措施,该措施几乎毫无意义。
作为预防内部攻击而言,该措施也是毫无意义的。
为了防止开发人员安装盗版软件并且未能在意外审核之前将其卸载 - 很抱歉。
为了预防普通的恶意软件感染销售和会计部门的计算机 - 嗯,它在一定程度上是有效的 - 而且这些计算机无论如何都不需要管理员访问权限。
为了防止系统管理员出现严重疏忽 - 嗯,有点,因为那些人养成了快速写下密码的习惯,而没有真正阅读所要求的内容。
除此之外,让拥有最多 IP 的开发机器或所有内容所在的备份基础设施加入 AD 首先就是不好的。
这会造成单点故障。修改策略只会让开发人员感到愤怒,并想方设法绕过安全措施。
附言:无论合法管理员是否知道,我还没有看到 5 年内没有在域管理员级别被攻破的 AD 部署。