Một trong những khách hàng của chúng tôi là một công ty PCI cấp 1 và các kiểm toán viên của họ đã đưa ra đề nghị liên quan đến chúng tôi với tư cách là Quản trị viên hệ thống và quyền truy cập của chúng tôi.
Chúng tôi quản lý cơ sở hạ tầng hoàn toàn dựa trên Windows của họ với khoảng 700 Máy tính để bàn / 80 máy chủ / 10 Bộ điều khiển miền.
Họ đang đề nghị chúng tôi chuyển sang một hệ thống nơi chúng tôi có ba tài khoản riêng biệt:
DOMAIN.CO.UK\UserWS
DOMAIN.CO.UK\UserSRV
DOMAIN.CO.UK\UserDC
- Trong đó WS là tài khoản chỉ đăng nhập vào WorkStations, là Quản trị viên cục bộ trên WorkStations
- Trong đó SRV là tài khoản chỉ đăng nhập vào Máy chủ Non DC, là Quản trị viên cục bộ trên Máy chủ
- Trong đó DC là tài khoản chỉ đăng nhập vào Bộ kiểm soát miền, có hiệu quả là tài khoản quản trị viên tên miền
Các chính sách sau đó được áp dụng để ngăn đăng nhập vào loại hệ thống sai từ tài khoản sai (bao gồm xóa đăng nhập tương tác cho tài khoản quản trị viên tên miền trên các máy không DC)
Điều này là để ngăn chặn tình huống máy trạm bị xâm nhập có thể hiển thị mã thông báo đăng nhập Quản trị viên tên miền và sử dụng lại mã đó đối với Bộ điều khiển miền.
Đây dường như không chỉ là một chính sách rất khó chịu đối với các hoạt động hàng ngày của chúng tôi mà còn là một lượng công việc đáng kể, để giải quyết một cuộc tấn công / khai thác tương đối khó xảy ra (dù sao đây là cách hiểu của tôi, có lẽ tôi hiểu sai về tính khả thi của việc khai thác này) .
Tôi rất thích nghe các quan điểm của quản trị viên khác, đặc biệt là những người ở đây đã tham gia vào một công ty đã đăng ký PCI và bạn có kinh nghiệm với các đề xuất tương tự. Chính sách của bạn liên quan đến đăng nhập quản trị viên là gì.
Đối với bản ghi, chúng tôi hiện có tài khoản Người dùng Miền mà chúng tôi sử dụng bình thường, với tài khoản Quản trị viên Miền mà chúng tôi cũng nâng cao khi chúng tôi cần các quyền bổ sung. Thành thật mà nói, tất cả chúng ta đều hơi lười biếng và thường chỉ sử dụng tài khoản Quản trị viên tên miền cho các hoạt động hàng ngày, mặc dù điều này về mặt kỹ thuật là trái với chính sách của công ty chúng tôi (tôi chắc chắn bạn hiểu!).