「ドメイン管理者」アクセスを希望する管理者にどのように対処できますか?
私は主に自分の会社(従業員が約50人の小規模/中規模の会社)の侵入テストを担当していますが、sys-adminsチームの非常勤メンバーでもあります(サーバー環境を最新に保つのに便利です/ネットワークなど)。リモートオフィスに1人のマネージャーがいて、「何が最善かを知っており」、常に「今すぐ物事をやりたい」と思っています。 MDは彼にドメイン管理者アカウントを持つことを承認しましたが、彼らがそれの意味が何であるかを彼らが理解しているかはわかりません。
マネージャーは特に技術的ではなく、ITについてかなり基本的な知識を持っています。それにも関わらず、彼は私たちの環境に変更を加え(パスワードのリセット、新しいソフトウェア/アプリケーション/サーバーのインストール)、指示(ハードウェアの選択など)を指示してくれました。私はそれにかなりうんざりしており、これが許可されてはならない説得力のある理由のリストを提示したいと思います。
私たちは主にセキュリティ会社なので、結果として、セキュリティの側面に焦点を当てたいと思います(私が専門知識を持っているので、「上級者」と話すと最も重要になります)が、ビジネス上の理由は持っているのも良いことです。
編集:
はい。ですから、環境で何か問題が発生した場合に個人的に気にかけるという点で、私は少しユニークです。私は個人的に私がしている仕事と私が働いている会社がとても好きです。しかし、私たちはかなり小さな会社なので、ほとんどの人は多少関与しています。何か問題が発生した場合は補償対象となりますが、ビジネスに影響を与える何らかのフォールアウトが依然として存在します。
まず、「これで心配するのは自分の権限の範囲内ですか」という質問に答えます。おそらくシステム管理者にはチームリーダーまたはラインマネージャがいて、それはあなたではなく、彼らの責任です。あなたは感情に少し判断を曇らせているかもしれません。
関係なく参加したい場合は、ある程度の変更管理を提案することから始めてください。変更プロセスを通じて環境にすべての変更を加えると、少なくとも、エラーのあるマネージャーに変更と決定を正当化するよう強制します。
私がそのような状況でほとんどの場合観察したのは、この人がすべてを台無しにしない限り、経営陣はいかなる改善策も講じないということです。
この特定の個人からドメイン管理特権を取得する代わりに、特定のプロセスが実行された場合にのみ、すべてのユーザーからDAを削除するように管理者に依頼することができます(たとえば、2人の人物からの承認は、その人が欲しい理由を明確に述べている) DAとその期間)DAを一定期間個人に割り当てる必要があり、アクションは綿密に監視および監査されます。
これにより、全体的なセキュリティが向上するだけでなく、同じポリシーがすべての人を対象とするため、誰もが対象と感じることはありません。
要求に応じてnominalアカウントへの管理アクセス権を付与し、OSで許可されている場合は、管理者特権を使用して行われた監査すべてを監査します。