고객 중 하나는 Tier 1 PCI 회사이며 감사원은 시스템 관리자 및 액세스 권한에 대해 제안했습니다.
우리는 대략 700 대의 데스크톱 / 80 서버 / 10 도메인 컨트롤러의 전체 Windows 기반 인프라를 관리합니다.
그들은 우리가 세 가지 계정을 가지고있는 시스템으로 옮길 것을 제안합니다.
DOMAIN.CO.UK\UserWS
DOMAIN.CO.UK\UserSRV
DOMAIN.CO.UK\UserDC
- 어디 WS는 계정 만 워크 스테이션에 로그온은 워크 스테이션에서 로컬 관리자입니다
- 어디 SRV는 단지 비 DC 서버에 로그온이 서버에 로컬 관리자가되는 계정이다
- 여기서 DC 는 도메인 컨트롤러에만 로그온하는 계정으로 사실상 도메인 관리자 계정입니다.
그런 다음 잘못된 계정에서 잘못된 유형의 시스템에 로그온하지 못하도록하는 정책이 마련되어 있습니다 (DC 이외의 컴퓨터에서 도메인 관리자 계정에 대한 대화 형 로그온 제거 포함).
이는 손상된 워크 스테이션이 도메인 관리자 로그온 토큰을 노출하고이를 도메인 컨트롤러에 재사용 할 수있는 상황을 방지하기위한 것입니다.
이는 일상적인 운영에있어 매우 방해가되는 정책 일뿐만 아니라 공격 / 취약 가능성이 상대적으로 적은 문제를 해결하기 위해 상당한 양의 작업을 수행하는 것으로 보입니다 (이것은 어쨌든 내 이해이며, 아마도이 악용 가능성을 오해 할 것입니다) .
다른 관리자의 의견, 특히 PCI 등록 회사에 관여했으며 비슷한 권장 사항을 경험 한 사람들의 의견을 듣고 싶습니다. 관리자 로그온과 관련된 정책은 무엇입니까?
레코드의 경우 현재 일반적으로 사용하는 도메인 사용자 계정이 있으며 추가 권한이 필요할 때도 상승한 도메인 관리자 계정이 있습니다. 정직하게 말해서 우리 모두는 조금 게으 르며 종종 일상적인 작업을 위해 도메인 관리자 계정을 사용하지만 이는 회사 정책에 위배됩니다 (당신은 이해합니다!).