it-swarm-es.com

¿Qué requisitos de seguridad tiene para los administradores de dominios?

Con respecto a la administración de una red de Windows, ¿qué políticas y procesos de seguridad usan? Por ejemplo

  • ¿Necesita/admite la autenticación de tarjeta inteligente?
  • ¿Restringir los inicios de sesión de una estación de trabajo en particular?
  • ¿Requiere contraseñas más complejas para las cuentas de administrador?
  • ¿Emitir dos cuentas por uso (admin y cuenta estándar)?
  • ¡Aplique a través de la política o de otra manera, que la cuenta no administrativa se usa localmente
  • El uso de una computadora diferente, o VM para tareas administrativas

etc.

Sería útil conocer su práctica, en qué industria se encuentra y aproximadamente cuán grande es su empresa/negocio/escuela. Idealmente, podemos usar esta información para comparar prácticas entre compañeros.


Nota:

Si está discutiendo políticas con respecto a su negocio actual, vivo, lugar de negocios, considere responder a esta encuesta de manera confidencial. Esto puede requerir que "cierre la sesión" e inicie sesión con un OpenID diferente.

Tú eres el mejor juez en cuanto a lo que funciona para ti. Mientras tanto, se puede encontrar más información aquí:

¿Debemos apoyar las publicaciones anónimas?

11
goodguys_activate

Habiendo trabajado en sectores tanto públicos como privados como un tipo de información que he tenido la oportunidad de ver cuántas organizaciones se acercan a esto y aquí están algunas de mis observaciones;

Do you require/support Smart Card Authentication?

Todavía tengo que encontrar una organización que haya desplegado una tarjeta inteligente.

Restrict logins from a particular workstation?

Este debe ser un bloque de construcción básico, pero muchos sitios aún no pueden restringir el acceso de esta manera. Además, a esto, las cuentas específicas que requieren privilegios de administración también deben restringirse a los servidores/estaciones de trabajo específicas requeridas. Los derechos demasiado permisivos pueden llevar al compromiso del dominio.

Require more complex passwords for Administrator accounts?

Un sitio tuvo un enfoque fantástico para esto, utilizaron una frase de pase larga para las cuentas de administración. Esto servía dos objetivos. Uno, protegido contra los ataques de fuerza bruta (¿quién va a tener un diccionario o una tabla hash durante una frase de quince palabras?) Y, en segundo lugar, se usó para evitar que el equipo de soporte le abandone la contraseña en el teléfono, ya que sería obvio Lo estaban haciendo. ¡Ese equipo tuvo una larga historia de desmayar las contraseñas de administración para evitar que tengan que abandonar su oficina y visitar a los usuarios!

The use of a different computer, or VM for administrative tasks

El uso de una administración VLAN u otra segregación es un buen enfoque. Tomar tráfico sensible y acceso alejado de la LAN corporativa es un comienzo.

También debe tener un enfoque para abordar el uso y la actualización de las herramientas de administración. Las herramientas de administración desaprobadas pueden llevar a un compromiso de dominio completo y un prolífico en redes internas. ¿Cuántas veces ha pensado que parpadee su 'servicio de administración de HP' o incluso apáguelo? ¿Cuántas herramientas de conexión remota necesita su equipo de soporte? He estado en el sitio donde los servicios de terminal/VNC/DameWare y otras herramientas remotas estaban en uso en la misma red para los mismos servidores.

Así que quítate aquí sería revisar su enfoque al uso de herramientas de administración, deshabilitar a aquellos que no necesita, reduzca la superposición de herramientas utilizadas para completar la misma tarea y parche a aquellos que elija para mantener.

7
David Stubley

David y Avid han cubierto la mayoría de mis experiencias también, la única adición que daré es para un gran departamento gubernamental que usó la autenticación de tarjeta inteligente en todo.

Esto se hizo para cumplir con un requisito percibido para la granularidad absoluta en las actividades. Estas tarjetas se utilizaron para el acceso físico a las ubicaciones, y el acceso lógico a los terminales de la computadora. Desafortunadamente, la implementación hizo muy difícil cubrir las ausencias para que el personal haya desarrollado un conjunto de procedimientos no oficiales que socavaron efectivamente todo el marco (compartir y clonar de tarjetas, etc.)

Hubo un argumento hecho que era demasiado o demasiado onerosa para los requisitos reales.

Ymmv - pero parecía un punto de referencia relevante

3
Rory Alsop

Esto no se aplica realmente a mi empresa (muy pequeñas empresas), pero estas se encuentran entre las recomendaciones que generalmente hago a mis clientes de consultoría:

  • Do you require/support Smart Card Authentication? Muy recomendable, pero a menudo no se despliega. En las ORG de alta seguridad (por ejemplo, bancos grandes, militares, etc.), en realidad, a menudo puede encontrar tarjetas inteligentes parcialmente desplegadas, solo para los administradores.
  • Restrict logins from a particular workstation?
  • The use of a different computer, or VM for administrative tasks
    [.____] Estos dos realmente van juntos, y esto dependería en gran medida del tamaño, la complejidad y la sensibilidad de los sistemas y la red. Para una red más grande/sistemas sensibles, sí, esto suele ser necesario. También una red que ya es compleja, es decir, no "plana", esto sería más fácil de implementar con sensatez.
  • Require more complex passwords for Administrator accounts? Absolutamente, se requiere una política de contraseña separada, mucho más estricta para los administradores. Más largo, más complejo, con un vencimiento más corto y una historia más larga. También se fomenta las contraseñas al azar, o las frases de contraseña más complicadas aún complicadas. (Esto también está conectado al siguiente punto, a desalentar OFT.)
  • Issue two accounts per use (admin, and standard account)? nuevamente, para redes más grandes/organizaciones altamente seguras, muy recomendables. Las redes más pequeñas y menos sensibles pueden renunciar a este requisito, especialmente considerando la UAC en las versiones actuales de Windows.
  • Enforce through policy or otherwise, that the non admin account is used locally Igual que el anterior, y GPO es un mecanismo muy fácil para implementar (aunque los administradores generalmente pueden pasar por alto esto, depende de cómo se despliegue).
  • Puntos adicionales que no mencionó: Auditoría, es decir, registros de seguridad. Se deben realizar requisitos de auditoría más estrictos sobre el uso de las funciones administrativas y en las acciones del administrador en general (por ejemplo, a través de SCLS y la política de seguridad local/dominante).
  • Además, el otro tipo de auditoría, forasteros/3er parte debe revisar periódicamente los registros anteriores y todas las configuraciones anteriores. También cualquier usuario con privilegios elevados.
  • En organizaciones altamente sensibles, a menudo se requiere control de doble control. P.ej. El administrador no puede acceder al servidor sensible, a menos que el oficial de seguridad desbloquea la puerta y le otorgue acceso físico. (A menudo se ve en ambientes de tipo militar).
  • Restricciones administrativas: mientras que, en principio, el administrador está habilitado para hacer cualquier cosa en "su" sistema, hay productos (por ejemplo, de CA) que pueden restringir sus permisos de OS. He visto esto desplegado en numerosos bancos/empresas financieras.
2
AviD