会社では、バックドアアカウントを持っているのは良いことですか？

まず第一に、私はそれをバックドアとは呼びません。バックドアは通常、通常の認証をバイパスする方法を指します。これには、ITが所有する管理者アカウントは含まれません。私が協力してきたほぼすべての企業は、IT部門が環境内のすべてのワークステーションとサーバーの管理者アカウントと機能を所有していますが、エンドユーザーは特権のない「通常の」ユーザーアカウントを持っています。これにはいくつかの理由があります。

• これにより、エンドユーザーが会社所有のデバイスに不正なアプリケーションをインストールするのを防ぎます。
• パッチ適用などの管理機能を一元管理して、タイムリーに適用できるようにすることができます。
• ITサービスの従業員がデバイスで作業する必要がある場合、エンドユーザーがそこにいる必要はありません。
• 非常に重要：エンドユーザーは、IT従業員であっても、パスワードを絶対に教えないようにトレーニングする必要があります。それはあなたが働いている場所のように聞こえます、これは一般的です。何よりも、パスワードを誰にも教えないように従業員に通知し、会社の方針に反してそうするように意識を高めるキャンペーンをお勧めします。この動作により、conセクションの2番目の箇条書きが完全に無効になり、従業員は、何か「問題が発生した」場合にIT担当者にパスワードを渡したと主張できます。さらに、ソーシャルエンジニアリングは部外者があなたのネットワークに侵入する一番の方法です...率直に言って、パスワードを人々に尋ねるだけで、あなたのような環境では、非従業員としても非常に効果的です。

最終的には、Identity Access Management（IAM）ソリューションを検討することをお勧めします。適切なツールを購入すると、IAMソリューションが環境内のすべての管理者パスワードを管理し、デバイスごとにランダムに生成された異なるパスワードセットが設定されます。デバイスで作業する必要があるIT担当者は、最初に資格情報を使用してIAMソリューションにログインし、管理者パスワードを「チェックアウト」し、完了したら「チェックイン」する必要があります。チェックインすると、ソリューションはそのデバイスに接続して管理者パスワードを変更するため、現在のパスワードを知っているのはソリューションだけです。 「間違った」ことが発生した場合は、管理者以外のエンドユーザーの機能を知っており、IAMシステムのログをチェックして、特定のデバイスの管理者パスワードをチェックアウトしたユーザーを確認し、原因を特定できます。問題。

編集7/27：以下のコメントについて詳しく説明します-1台のコンピューターを備えた食料品店などの小規模企業は、通常、保護する価値のあるデータを持っていません（クレジットカードのデータがPCを介して実行されていないことを前提としています）。特権のないユーザーを強制する理由はほとんどありません。さらに、食料品店には通常、1台のPCをサポートする専任のIT担当者がいません。

一方、大企業には、保護する価値のある大量のデータがあります。すべてのユーザーを非特権ユーザーとして実行することを強制することは、会社を保護するためのセキュリティ対策です。ユーザーはセキュリティの専門家ではありません。インターネットからランダムなソフトウェアをダウンロードしてインストールする傾向があります。多くの場合、このソフトウェアはマルウェアによってバックドアされています。開発者は、新しいツールを「テスト」することを好むことが多いため、これを行うことで有名です。せいぜい、これは攻撃対象領域の増加につながり、最悪の場合、会社全体のドメインが危険にさらされています。

コードを開発するには、開発者が管理者である必要があると思うのはなぜですか？過去の開発者として言えば、それは完全に真実ではありません。コードをテスト/ QAするためにローカル管理者になる理由はありません。開発者がアプリケーションのパッケージ化を完了したら、企業の展開/パッチ適用/更新プロセスを経て、それを必要とするPC（最初はqaテスター）にプッシュできるように、展開プロセスを定義する必要があります。コードがテストを通過し、承認された後、同じプロセスを経て、職務を遂行するためにソフトウェアをインストールする必要がある会社の他のメンバーにプッシュされます。

そうは言っても、私はより成熟したIT組織について話しているのです。あなたが今いるように聞こえるところから始めているなら、そこに着くのに何年もかかります。小さく始めます。エンドユーザー/ IT以外の従業員は管理者である必要はありません。最初はITだけに制限してください。プロセスと手順を開発します。ソフトウェアインベントリを取得して、ビジネスにとって重要なソフトウェアを特定します。不要なものをすべて排除します。必要なものはすべて「承認済みソフトウェア」リストになります。そのリストにないものはすべて、そのリストに載せるには承認プロセスが必要になります。成熟した安全なIT組織になるまで、小さな段階的な変更を続けます。

私の言葉を信じないでください：

• これが重要な理由を説明するMicrosoftからの素敵な短い記事です
• 管理者の使用を制限することはSANSトップ20セキュリティコントロールリストにあります
• このトピックに関する別のブログ投稿があります
• そして、「管理者権限を削除することで修正されたWindows 7の欠陥の90％」というタイトルの、これを行う正当な理由を示すニュース記事

いいえ、生理！ユーザーが0人になるほど、悪化します。スクリプトの子供がrootユーザーを試したからといって、他のユーザー名が見つからないという意味ではありません。彼らがすでにユーザー0であることを確認してください...パスワードやsshキーを紛失しないようにするための何百もの解決策があります..それが理由である場合..この何百もの解決策の1つは、暗号化されたファイルを使用することですあなたの鍵/パスワードなどを安全にすることができます。あなたはただ1つのパスワードを覚える必要があります！パスワードを使用するよりもさらに安全にすることもできますが、それは話題外です。そして正直なところ、管理者/ルートユーザーにログインする必要はありません。ユーザーは、プレーンルートアクセスを許可するだけでなく、Sudoを使用するように適切に構成されたユーザーに応じて、最初に非特権ユーザーにログインする必要があります。

私の実社会での経験を一般化したものとして、あなたの質問に答えます。

BYOD（Bring Your Own Device）の職場を除いて、ほとんどの職場では、従業員が使用しているコンピューターを提供しています。つまり、合法的に言えば、コンピューターとそのコンピューターの内容は会社のものです。ほとんどの企業は、支払い中に仕事で行う情報も、送信された電子メールなど、企業の所有物であることをユーザーに通知する何らかの形式のITポリシーを持っています。

私が見たITを持つのに十分な規模のすべての企業は、コンピューターにアクセスするためのローカル管理者アカウントを持っています。これは、私の経験では、企業はセキュリティよりも利便性を重視しているためです。確かに例外はありますが、私を信じてください。ほとんどの経営幹部やマネージャーは、できるだけ少ない入力でコンピューターを修正できるようにしたいと思っています。ほとんどの企業には、すべてのコンピューターのローカル管理者グループのメンバーとして、ドメイン管理者グループもあります。

そうは言っても、企業がセキュリティに精通していて、各コンピューターに共有ローカル管理者アカウントを持たない場合は、ITを含む誰にもパスワードを教えないように指示する、かなり厳格なITポリシーが適用される可能性があります。 IT部門がユーザーにパスワードを尋ねる必要はありません。ユーザーにログインしてローカルプロファイルで何かをするように依頼することはできますが、パスワードを尋ねる必要はありません。ただし、ユーザーは試してみますが、それらを修正するのはITとしてのあなたの仕事です。

そうは言っても、会社のワークステーションに保存する価値はほとんどなく、ローカルフォルダーには移動プロファイルを設定するか、サーバーにマップするか、フォルダーをマップする必要があります。この場合、すべてのファイルを会社のポリシーに保存します。サーバ。

これに正しく従えば、デバイスが紛失した場合のセキュリティが大幅に向上し、ドライブに障害が発生した場合の回復が可能になります。また、バックアップがはるかに簡単になります。

私はあなたの質問以上のものに答えたことを知っていますが、それが役立つかもしれないと思いました。

ポール・アーネソン

www.cluui.com