Windows

使用“執行身份”本地管理員帳戶而不是以本地管理員身份登錄是否有真正意義?

  • June 16, 2021

讓我們從設置場景開始——我是一名初級系統管理員,負責將公司轉變為“最小權限”模型。這包括從我們的使用者中刪除管理員權限,這些使用者主要使用 Windows 10。

現在在這個時間點,使用者(大部分)使用具有本地管理員權限的帳戶。這顯然很糟糕,我們正在努力改變它。我的 n+1 在去年進行了安全審計之後提出的想法是擁有兩種類型的使用者:

  • 第一種類型將失去管理員權限,如果需要它們,將在其電腦上收到一個具有管理員權限的帳戶的臨時密碼(使用 LAPS,該密碼將在一段時間後過期)
  • 第二種類型(與我的問題最相關)由開發人員組成——一些開發人員使用 Web 技術,但其他一些開發人員使用一些非常低級的語言,並且需要在半定期的基礎上與系統資料庫互動等等。

這些人將擁有一個沒有特權的正常帳戶,以及一個管理員帳戶(或“執行身份”帳戶),當他們需要以本地管理員身份執行東西時,他們將使用它們。這意味著每次 UAC 出現時都要輸入登錄名和密碼以確認管理員權限的使用。由於顯而易見的原因,此“執行身份”帳戶將無法打開正常會話。

問題出在這些老派開發人員身上。恐怕這會變成辦公室政治問題,因為失去管理員權限可能會帶來一些生產力損失(尤其是對於那些更頻繁使用特權的人),更重要的是,會帶來一些挫敗感。

我能理解他們來自哪裡。與開發人員在同一家公司工作過,我覺得當本地管理員很舒服。但是,我也熟悉安全問題,並且知道作為工作站上的管理員是一個很大的禁忌。

最近,我不得不向第二類使用者展示我們未來的計劃。毋庸置疑,“老派”小組的首席開發人員對此並不滿意,他提出了一個很好的問題(儘管可能來自對這種情況的狹隘觀點),但我沒有回答想出一個滿意的答案。

如果不是本地管理員的目的是避免惡意軟體的傳播或入侵者利用漏洞的能力,那麼作為“執行身份”管理員帳戶執行需要特權的程序的使用者和只是執行之間是否存在真正的區別?在受感染文件的 CAS 中直接使用管理員帳戶?

首席開發人員認為,這樣的政策只不過是浪費他們的時間,因為它會導致與一開始就成為本地管理員完全相同的安全漏洞。

這是準確的嗎?我知道“2013 年披露的 92% 的關鍵 Microsoft 漏洞可以通過刪除管理員權限來緩解” (SANS,2016 年,引用 Avecto 研究)和其他此類斷言,我真的覺得成為本地管理員是確實不是一個好主意,但我們的解決方案真的更好嗎?

我們計劃在不久的將來對新解決方案進行試駕,以評估潛在的生產力損失並確定我們是否需要尋找另一個解決方案,恐怕首席開發人員和其他人很生氣這個想法會故意誇大它的挫折。

問題出在這些老派開發人員身上。恐怕這會變成辦公室政治問題,因為失去管理員權限可能會帶來一些生產力損失(尤其是對於那些更頻繁使用特權的人),更重要的是,會帶來一些挫敗感。

這不是你要打的仗,所以不要打。如果人們對變化不滿意,請告訴他們與管理層交談。

提議的更改是否更安全?是的。新模式是否還存在風險?是的。新模型的風險是否更小?是的。

順便說一句,我不想​​成為取消這件事然後發現公司數據和智慧財產權被勒索軟體的人。天堂禁止它通過您的軟體進入客戶端系統。詢問開發人員是否需要這種責任和義務。

引用自:https://serverfault.com/questions/1066891