Hãy bắt đầu bằng cách thiết lập bối cảnh -- Tôi là quản trị viên hệ thống cấp dưới được giao nhiệm vụ tiến hành chuyển đổi công ty sang mô hình "Ít đặc quyền nhất".Điều này bao gồm xóa quyền quản trị khỏi người dùng của chúng tôi, những người chủ yếu làm việc với Windows 10.
Tại thời điểm này, người dùng (phần lớn) đang sử dụng tài khoản có quyền quản trị viên cục bộ. Điều này rõ ràng là khá tệ và chúng tôi đang nỗ lực để thay đổi điều đó. Ý tưởng được đưa ra bởi n+1 của tôi, sau cuộc kiểm tra bảo mật mà họ đã thực hiện vào năm ngoái, là có hai loại người dùng:
- Loại đầu tiên sẽ mất đặc quyền của quản trị viên và trong trường hợp cần chúng, sẽ nhận được mật khẩu tạm thời cho tài khoản có quyền quản trị viên trên máy tính của họ (sẽ hết hạn sau một thời gian, sử dụng LAPS)
- Loại thứ hai (và phù hợp nhất với vấn đề của tôi) được tạo thành từ các nhà phát triển - một số trên công nghệ web, nhưng một số khác trên một số ngôn ngữ cấp thấp và cần tương tác với các cơ quan đăng ký trên cơ sở bán thường xuyên trong số những thứ khác.
Những người này sẽ có tài khoản thông thường, không có đặc quyền và tài khoản quản trị viên (hoặc tài khoản "Chạy với tư cách") mà họ sẽ sử dụng khi cần chạy nội dung với tư cách quản trị viên cục bộ. Điều này có nghĩa là nhập thông tin đăng nhập và mật khẩu mỗi khi UAC xuất hiện để xác nhận việc sử dụng đặc quyền của quản trị viên. Tài khoản "Chạy với tư cách" này sẽ không thể mở phiên thông thường vì những lý do rõ ràng.
Vấn đề xảy ra với những nhà phát triển trường học cũ này. Tôi e rằng điều này sẽ trở thành một vấn đề chính trị văn phòng, vì việc mất quyền quản trị có thể dẫn đến giảm năng suất một chút (đặc biệt đối với những người sử dụng đặc quyền thường xuyên hơn) và quan trọng hơn là một số thất vọng.
Tôi có thể hiểu họ đến từ đâu. Từng làm việc cho cùng một công ty với tư cách là một nhà phát triển, tôi hiểu rằng việc trở thành quản trị viên cục bộ rất thoải mái. Tuy nhiên, tôi cũng quen thuộc với các vấn đề bảo mật và biết rằng trở thành quản trị viên trên máy trạm là điều tối kỵ.
Gần đây, tôi đã phải trình bày cho loại người dùng thứ hai này kế hoạch của chúng tôi cho tương lai.Không cần phải nói, nhà phát triển chính của nhóm "trường học cũ" không hài lòng về điều đó, và anh ấy đã hỏi một câu hỏi khá hay (mặc dù có thể xuất phát từ quan điểm cận cảnh về tình huống) mà tôi chưa xoay sở được. để đi đến một câu trả lời thỏa mãn.
Nếu mục đích của việc không phải là quản trị viên cục bộ là để tránh lây lan phần mềm độc hại hoặc khả năng khai thác lỗ hổng của kẻ xâm nhập, thì có sự khác biệt thực sự giữa người dùng đang chạy các chương trình cần đặc quyền với tài khoản quản trị viên "Chạy với tư cách" này và chỉ thực thi hoàn toàn bằng tài khoản quản trị viên trong trường hợp tệp bị nhiễm?
Nhà phát triển chính lập luận rằng một chính sách như vậy sẽ chẳng khác gì lãng phí thời gian của họ, vì nó sẽ dẫn đến các lỗ hổng bảo mật giống hệt như khi chỉ là một quản trị viên cục bộ ngay từ đầu.
Nó thật sự đúng? Tôi biết tuyên bố rằng "92% các lỗ hổng nghiêm trọng của Microsoft
tiết lộ vào năm 2013 có thể được giảm thiểu bằng cách xóa quyền quản trị"(SANS, 2016, trích dẫn một nghiên cứu của Avecto) và những khẳng định khác như vậy, và tôi thực sự cảm thấy làm quản trị viên cục bộ thực sự không phải là một ý tưởng hay, nhưng giải pháp của chúng tôi có thực sự tốt hơn không?
Chúng tôi đang lên kế hoạch chạy thử giải pháp mới trong tương lai gần, để đánh giá khả năng giảm năng suất và xác định xem chúng tôi có cần tìm giải pháp khác hay không và tôi e rằng nhà phát triển chính và những người khác sẽ khó chịu bởi ý tưởng sẽ cố tình phóng đại những thất bại của nó.
