請問以資安角度,要禁止所有IT日常不能用系統自帶的 admin 賬號嗎?
除非特殊情況否則不能使用,只能創建新的賬號登入
請問以資安角度,要禁止所有IT日常不能用系統自帶的 admin 賬號嗎?
你的日常是指日常巡檢時的登入帳號、日常作業會用的登入帳號嗎?
其實不管日不日常,Admin帳號最好的控管起來,不要太常使用。
舉個例子:
1.資訊部有ABCDE五個成員,各自擁有不同權限的帳號,帳號名稱也以ABCDE命名。
有天發現AD Server突然關機了,透過Event Log發現,是因為B帳號登入後進行了Windows Update,執行完成後沒有選擇更新並重新開機,而是直接關機。
2.資訊部有ABCDE五個成員,每個人都用Admin帳號工作。
有天發現AD Server突然關機了,透過Event Log發現,是Admin帳號登入後進行了Windows Update,執行完成後沒有選擇更新並重新開機,而是直接關機。
這樣你有理解例子1跟例子2的差別嗎?
這還是只以內部作業為前提會遇到的情況來舉例。
欸不對,你們公司,或是你們集團的IT沒有控管Admin帳號嗎?
若以GCB來看,是,而且大多數資安廠商都會打著"特權帳號回收"或"特權帳號調查"的字眼來宣揚admin或有admin權限的帳號回收的產品。
但,實際應用很難,所以建議事先盤點,確認回收前後差異及影響,確認回收範圍之後再行動,且需定期盤查。
(不過大多數公司還是有所謂"私有"或"MIS的萬能鑰匙"的特權帳號存在)
10多年前有大公司導入ISO27001被管到
本機admin被停用,只能用網域管理帳號
其實這對處理電腦端問題很麻煩,每次脫離網域後都要先破解才能使用admin權限
但是windows漏洞那麼多,也很難說停用admin就不會被駭客突破
再來說說銀行業
銀行業有聽說IT人員不持有admin權限
要作業要等到半夜時間 由另外持有權限的人協助登入
才可以進行系統維護作業
我是駭客我會先確定OS種類 然後開始踹 administrator admin root 的密碼
碰過的資安事件(被攻擊)的手法都是一樣這幾組帳號先被踹 供參考