Separacja dostępów administracyjnych

OPIS:

Bardzo często w różnych sieciach administrator ma dostęp wszędzie (do wszystkich zasobów) i nie jest on niczym limitowany. Przejęcie konta administratora w takich środowiskach kończy się zwykle katastrofą. Infekcja środowiska przez ransomware jest też łatwiejsza dzięki temu, że uprawnienia administrator ma dostęp wszędzie. Zauważmy, że gdyby zablokować Administratorom możliwość logowania się na komputerach zwykłych użytkowników, to ransomware nie mogłoby się rozpowszechniać z tych komputerów na serwery.

ROZWIĄZANIE:

Analiza wymaganych uprawnień i wdrożenie ich separacji w zależności od ilości administratorów i stopnia skomplikowania środowiska:

  • GPO (mechanizm wbudowany w Active Directory, więc nie musisz dokupować żadnego dodatkowego oprogramowania)
  • Przeorganizowanie struktur jednostek organizacyjnych (OU)
  • Hardening kontrolerów domeny, serwerów, stacji roboczych lub całego środowiska

Rozdział ról administracyjnych tak, aby administratorzy stacji roboczych, administratorzy serwerów, administratorzy domeny mieli dostępy tylko do niezbędnych dla tych ról zasobów. Nie ma potrzeby żeby administrator domeny miał dostęp do wszystkich serwerów i stacji roboczych.

KORZYŚCI:

  • Dzięki separacji ról administracyjnych infekcja pojedynczej stacji roboczej nie będzie groźna dla całego przedsiębiorstwa