Avendo lavorato sia nel settore pubblico che in quello privato come addetto all'Info Sec, ho avuto l'opportunità di vedere quante organizzazioni si avvicinano a questo ed ecco alcune mie osservazioni;

  Hai bisogno / supportare l'autenticazione con smart card?  

Devo ancora trovare un'organizzazione che abbia distribuito l'autenticazione con smart card.

  Limitare gli accessi da una particolare workstation?  

Questo dovrebbe essere un elemento costitutivo di base, ma molti siti ancora non riescono a limitare l'accesso in questo modo. Inoltre, gli account specifici che richiedono privilegi di amministratore dovrebbero essere limitati ai server / workstation specifici richiesti. Diritti eccessivamente permissivi possono portare alla compromissione del dominio.

  Richiedi password più complesse per gli account amministratore?  

Un sito ha avuto un approccio fantastico a questo, ha utilizzato un passphrase lunga per gli account amministratore. Questo serviva a due scopi. Uno: proteggeva dagli attacchi di forza bruta (chi avrà un dizionario o una tabella hash per una frase di quindici parole?) E in secondo luogo è stato utilizzato per impedire al team di supporto di fornire la password al telefono, come sarebbe ovvio lo stavano facendo. Quella squadra aveva una lunga storia di distribuzione delle password di amministratore per impedire loro di lasciare l'ufficio e visitare gli utenti!

  L'uso di un computer diverso, o VM per attività amministrative  

L'uso di una VLAN di gestione o altra segregazione è un buon approccio. Allontanare il traffico sensibile e l'accesso dalla lan aziendale è un inizio.

Dovresti anche avere un approccio per affrontare l'uso e l'aggiornamento degli strumenti di gestione. Gli strumenti di gestione deprecati possono portare alla compromissione dell'intero dominio e ad una proliferazione delle reti interne. Quante volte hai pensato di applicare una patch al tuo "HP Management Service" o addirittura di spegnerlo? Di quanti strumenti di connessione remota ha bisogno il tuo team di supporto? Sono stato sul posto in cui Terminal Services / VNC / DameWare e altri strumenti remoti erano tutti in uso sulla stessa rete per gli stessi server!

Quindi portare via qui sarebbe rivedere il tuo approccio all'uso di strumenti di gestione, disabilita quelli che non ti servono, riduci la sovrapposizione degli strumenti utilizzati per completare la stessa attività e patcha quelli che scegli di mantenere.

Anche David e AviD hanno coperto la maggior parte delle mie esperienze, l'unica aggiunta che darò è per un grande dipartimento governativo che ha utilizzato l'autenticazione con smart card dappertutto.

Ciò è stato fatto per soddisfare un requisito percepito di assoluta granularità delle attività. Queste carte venivano utilizzate per l'accesso fisico alle posizioni e l'accesso logico ai terminali dei computer. Sfortunatamente l'implementazione ha reso molto difficile coprire le assenze, quindi lo staff ha sviluppato una serie di procedure non ufficiali che hanno effettivamente minato l'intero framework (condivisione e clonazione di carte, ecc.)

Si è sostenuto che fosse eccessivo e troppo oneroso per i requisiti effettivi.

YMMV - ma sembrava un punto di riferimento rilevante

Questo non si applica realmente alla mia azienda ( molto piccola impresa), ma queste sono tra le raccomandazioni che di solito faccio ai miei clienti di consulenza:

• Hai bisogno / supporta l'autenticazione con smart card? Altamente raccomandato, ma spesso non distribuito. Nelle organizzazioni ad alta sicurezza (ad es. Grandi banche, militari, ecc.) Puoi effettivamente trovare spesso smart card parzialmente distribuite, solo per gli amministratori.
• Limitare gli accessi da una particolare stazione di lavoro?
• L'utilizzo di un computer diverso, o VM per attività amministrative
  Questi due effettivamente vanno insieme e ciò dipenderebbe in gran parte dalle dimensioni, complessità e sensibilità dei sistemi e Rete. Per una rete più grande / sistemi sensibili, sì, di solito è necessario. Anche una rete che è già complessa, cioè non "piatta", sarebbe più facile da implementare in modo sensato.
• Richiedi password più complesse per gli account amministratore? Assolutamente, una password separata, molto più rigida la politica è richiesta per gli amministratori. Più lungo, più complesso, con scadenza più breve e cronologia più lunga. Sono incoraggiate anche password casuali o, meglio ancora, passphrase complicate. (Questo è anche collegato al punto successivo, per scoraggiare l'uso frequente).
• Emettere due account per utilizzo (amministratore e account standard)? Di nuovo, per reti più grandi / organizzazioni altamente sicure, molto consigliato. Le reti più piccole e meno sensibili possono rinunciare a questo requisito, soprattutto considerando il controllo dell'account utente nelle attuali versioni di Windows.
• Applica tramite criteri o altro, che l'account non amministratore sia utilizzato localmente Come il precedente e GPO è un meccanismo molto semplice da distribuire (sebbene gli amministratori di solito possano aggirarlo, dipende da come viene distribuito).
• Ulteriori punti che non hai menzionato: AUDIT, ovvero log di sicurezza. Requisiti di controllo più severi dovrebbero essere imposti sull'uso delle funzioni amministrative e sulle azioni dell'amministratore in generale (ad esempio tramite SCL e criteri di sicurezza locale / dominio).
• Anche per l'altro tipo di controllo, gli esterni / terze parti dovrebbero rivedere periodicamente sia i registri di cui sopra sia tutte le configurazioni di cui sopra. Anche tutti gli utenti con privilegi elevati.
• Nelle organizzazioni altamente sensibili, spesso è richiesto il doppio controllo. Per esempio. l'amministratore non può accedere al server sensibile, a meno che l'addetto alla sicurezza non sblocchi la porta e gli conceda l'accesso fisico. (Spesso visto in ambienti di tipo militare.)
• Restrizioni amministrative: mentre in linea di principio l'amministratore è abilitato a fare qualsiasi cosa sul "suo" sistema, ci sono prodotti (ad esempio da CA) che possono limitare le autorizzazioni del suo sistema operativo . Ho visto questo implementato in numerose banche / società finanziarie.