企業がデスクトップマシンの従業員にrootアクセスを許可しないのはなぜですか?
なぜ企業は通常、1人の従業員だけが使用するデスクトップマシンへのrootアクセスを従業員に与えないのですか?
自分のマシンで何ができるかがネットワークの残りの部分に脅威をもたらす場合、それ自体はセキュリティ上の欠陥ではありませんか?自分のマシンで持っている権利が、ネットワーク上の他のユーザーに対して何ができるかに影響するのはなぜですか?
マシンX上のユーザーAのファイルをマシンX上のユーザーBによるアクセスから保護することがUnixユーザー管理のポイントではありませんか?
ユーザーを自分自身から保護すること(たとえば、ハードドライブを消去するrootアクセスで何かをインストールすることから)の場合:私はrootアクセスなしで作業しているので、すべてのファイルは自分が所有しています。したがって、だまされてrootアクセスなしで邪悪なスクリプトを実行し、自分が所有しているファイルのみをすべて消去すると、rootアクセスを与えてハードドライブ全体を消去したのと同じくらい良くありません。
セキュリティ管理者はあなたのマシンとあなたのマシンで何が起こるかについて責任があります。この責任は、シングルユーザーのUnixマシンの基本的なセキュリティモデルに違反しています。そうではありません。 Unixはこのモデル用に実際にセットアップされていません。
管理者は、データやネットワーク、その他のノードだけでなく、会社を保護するために、マシンにセキュリティコントロールをインストールできる必要があります。ローカルユーザーがrootアクセス権を持っている場合、管理者はこれらのコントロールを制御できなくなります。それが基本的な前提です。
はい、悪いことをしたり、マシンを悪意のあるノードにしたりするためにrootが必要となる理由はたくさんありますが、これらすべてがrootアクセスを提供しない正当な理由です。はい、そうした制限を回避する方法はたくさんあり、ローカルユーザーが悪いことをする方法もたくさんあります。しかし、最終的にはローカルユーザーとリスクオーナーが制御を競うことはできませんまたはマシンに対する責任。
私の頭の上のいくつかの理由:
ネットワークに対するARPポイズニングまたはネットワークフラッディング攻撃には、通常、ネットワーク上のマシンへのrootアクセスが必要です。
無許可のプログラムをインストールできると、それらのプログラム自体が違法である場合(たとえば、それらが海賊版であるか、営利目的での使用が許可されていないかなど)、会社に法的責任が問われる可能性があります。
会社が従業員のリモート監視の種類を持っている場合(または、まだ設置されていない場合でもそのような監視を行う機能が必要な場合)、ユーザーにrootアクセスを与えると、ユーザーはそれをバイパスできます。
ルートアクセスがないと、次のことができなくなります
rm -rf /bin、またはその他の破壊的なもの、およびログインの詳細にアクセスできる人は誰もアクセスできないため、会社がその状況から回復する手助けをする必要はありません。会社を離れるときにマシンを再展開する場合、ルートにアクセスしたことがない場合は、完全なワイプと再インストールを行わなくても、マシンを再展開する方が快適だと感じるかもしれません。
必要に応じて、人々にrootアクセスを与えることは簡単です。必要に応じて、rootアクセスを包括的に削除することは困難です。
一般的な 最小特権の原則 は、積極的に必要としない人や物へのアクセスを許可してはならないということです。
それはうまくいったプロセスであり、慣性を壊すものは何もないため(仮説 猿と梯子の問題 )、共有サーバーの時代から前進しなかっただけです。
この回答は既存の回答と矛盾することを意図したものではなく、コメントには長すぎるため、それらを補足するものです。
その理由の一部は、(他の人がほのめかしたように)ユーザーが愚かで悪意のあることをしないと信頼できないことです。しかし、別の部分は、それが起こったときに物事を修正する責任がありますか?
私はフルスタックの開発者であり、自分の開発マシンだけでなく、多数の本番サーバーへのルートアクセスと、それらがデプロイされているハイパーバイザーへの少なくともある程度のアクセス権を兼ね備えています。しかし、私が失敗した場合、私はそれを修正するスキル、専門知識、および責任を持つパーティー(または少なくともaパーティー)です。典型的なエンドユーザーの場合はそうではありません。ボビーユーザーがWindowsのインストールを中断した場合、たまたまミッションクリティカルなデータがあり、かつ/またはミッションクリティカルな作業に使用されると、ボビーは彼/に来なければなりません。彼女の休日またはそれを修正するために無給残業をします。真鍮への答えは言うまでもなくhowボビーはほぼ片手で船を沈めました。
したがって、IT部門がエンドユーザーの特権を制限する理由の1つは、IT部門が自身のリスクを軽減できることです。
私の知る限り、デスクトップで管理者に標準ユーザーへのアクセスを許可しない4つの主な理由があります。
- マシン自体(常に非常に効率的ではない)とネットワーク上の他のマシンを、そのマシンをリレーとして使用して起こり得る攻撃から保護する(すでに他の回答でカバーされている)
- 修正するのに多くの作業を必要とする管理者レベルの攻撃からITサポートチームを保護します(すでに他の回答でカバーされています)
- 1つの単一の管理マシンからリモート展開を簡単に行えるように、すべてのマシンを同じ構成で(多かれ少なかれ)維持します。サポートチームのサイズが最小であるほど、会社にとって安価です。
- ユーザーが自分の仕事に関係のないプログラムをインストールするのを防ぐ(または少なくとも試す)-ユーザーが仕事でゲームをプレイしたり、将来のキッチンを設計したりすることはあまり生産的ではありません...
ただし、ローカルマシン上またはサーバー上にあるマシン上のデータや、より一般的にはユーザーがアクセスできるデータを保護することはできません。そこで、バックアップが役立ちます。
あなたのマシンはあなただけが使用しているのではありません。デスクトップサポートチームでも使用されます。
ボックス、特にドメインに参加しているWindowsボックスへのrootアクセス権がある場合、ボックスの他のユーザーを危険にさらすために使用できるさまざまなトリックをいくつでもインストールできます。たとえば、キーロガーと言います。
次に、サポートエンジニアにログインして、新しく作成された「問題」(Kerberosの共有秘密を破るなど)を修正してもらい、ドメイン管理者に昇格するのを待って、ネットワーク全体を危険にさらしただけです。
キーロガーはマルウェアスキャナーによって検出されませんか?私がルートを持っていない場合はそうではありません。
あなたはあなたがあなたの仕事をするのに必要なものを手に入れます。あなたの仕事がルートアクセスを必要とするならば、あなたはそれを手に入れます-関連する力/責任の話と一緒に。私の仕事はあなたから他の人を守ることです。
個人用ワークステーションで本当にrootが必要な場合は、BYODを検討してください。ただし、破壊した場合は修正します。
会社は物を守らなければならない。企業秘密を保護する必要がありますが、ユーザーデータなども保護する必要があります。すべての従業員が安全でない可能性のある別のセットアップをデスクトップに持っている場合、会社はデータの盗難やデータの損失がないことを確認する機会がありません。専門家による集中管理は、コンピューターを安全に保ち、偶発的なデータ損失を回避するのに役立ちます。
あらゆる種類の古い学校(v2またはv3)のNFSファイルサーバーに接続されているUNIXボックスの場合、認証は部分的にこれらのプロトコルでクライアント側に実装されているため、ローカルルートアクセスにより、ユーザーは他のユーザーのファイルに干渉できますこの方法でローカルユーザーの制御下で。つまり、誰かが同じuidを持つ既存または巧妙に細工されたユーザーアカウントにsuし、NFS上のそのuidに属するファイルにアクセスできるということです。
また、「1人の従業員のみが使用する」というのはdefinitiveまたはsualでの作業方法ですか?マシンが共通の認証ドメインの一部であり、必要に応じてユーザー間で交換される場合や、同僚のマシンへのアクセス(ただし、データではない!)が許可される場合がある場合、これは純粋なシングルユーザーシナリオのように見えますが、実際にはマルチユーザー機能を使用して機器を管理しています目的。
ソフトウェアライセンスの視点から、ユーザーがソフトウェアを自由にインストールできるようにしたくありません。たとえば、ユーザーがSublime Textをインストールするとします。SublimeTextを使用すると、テキストエディターを限られた時間だけ無料で使用できます。割り当てられた時間が経過した後、彼/それを削除して再インストールします。これはEULAに違反します。