Passaggi per controllare i diritti di amministratore locale

Gli IT pro necessitano di diritti di amministratore locale sui dispositivi aziendali per installare software, modificare le impostazioni di configurazione, eseguire la risoluzione dei problemi e così via. Tuttavia, molto spesso anche gli utenti aziendali ricevono abitualmente diritti di amministratore locale sui loro computer.

Sebbene concedere agli utenti questi diritti possa essere comodo, crea gravi lacune di sicurezza. Prima di tutto, gli utenti stessi possono intenzionalmente installare applicazioni non approvate o modificare le impostazioni per semplificare il loro lavoro, senza una sufficiente comprensione dei rischi per la sicurezza che potrebbero introdurre. Inoltre, qualsiasi utente può cadere vittima di un attacco di social engineering — ad esempio, possono aprire un allegato dannoso o cliccare su un link malevolo in una email di phishing. Ma se l'utente ha diritti di amministratore locale, può involontariamente installare malware, che potenzialmente può catturare o sfruttare quei diritti di amministratore per rubare dati o causare altri danni.

Di conseguenza, è una buona pratica rimuovere i diritti di amministratore locale dagli utenti aziendali su ogni computer. Ecco i 4 passaggi da seguire per implementare questa pratica di sicurezza fondamentale.

Passaggio 1: Scopri chi ha l'accesso da amministratore locale.

Il primo passo consiste nell'identificare tutti gli utenti che dispongono di diritti di amministratore locale su ogni server e desktop. Su un sistema Windows, agli utenti può essere concesso l'accesso da amministratore locale tramite l'appartenenza al gruppo degli Amministratori locali in uno dei seguenti modi:

• Appartenenza diretta al gruppo — L'account utente è elencato come membro del gruppo.
• Appartenenza indiretta (annidata) al gruppo — L'account utente è membro di un altro gruppo, e quel gruppo è membro del gruppo degli Amministratori locali.

In generale, è saggio evitare l'annidamento con gruppi privilegiati, poiché rende più difficile determinare esattamente chi ha diritti di accesso privilegiati.

Sfortunatamente, non esistono strumenti nativi in grado di fornire un elenco completo degli amministratori locali su ogni sistema nel vostro ambiente IT. Tuttavia, una soluzione di terze parti come Netwrix Privilege Secure può offrirvi una piena visibilità sulla composizione di ciascuno dei vostri gruppi privilegiati, inclusi i gruppi degli Amministratori Locali sui vostri server e workstation Windows. Inoltre, Netwrix Privilege Secure controllerà tutte le modifiche ai vostri gruppi privilegiati e vi allerterà in caso di attività sospette.

Passaggio 2: Far revisionare e attestare ai proprietari dei gruppi la composizione del gruppo.

Il passo successivo è determinare il proprietario di ogni gruppo di amministratori locali. Questo può essere un compito impegnativo, quindi prendi in considerazione l'utilizzo di una soluzione che possa identificare automaticamente i probabili proprietari del gruppo.

Quindi, il proprietario di ogni gruppo dovrebbe esaminare attentamente la sua appartenenza, con l'obiettivo di rimuovere i diritti di accesso dell'amministratore locale che non sono necessari per ridurre la superficie di attacco dell'organizzazione. Questo processo di revisione e attestazione dovrebbe essere ripetuto secondo una programmazione regolare.

Passaggio 3. Assicurati che ogni account amministratore locale abbia una password unica.

In molte organizzazioni, l'account amministratore locale predefinito su ogni dispositivo Windows ha lo stesso nome utente e password. Pertanto, un avversario che ottiene queste credenziali su una sola macchina ha accesso amministrativo a ogni macchina, quindi può muoversi lateralmente a piacimento attraverso il tuo dominio.

Per aiutare, Microsoft offre Windows Local Access Password Solution (LAPS). LAPS garantirà che ogni computer in un dominio abbia una password unica per l'account amministratore locale, oltre a cambiare automaticamente la password dell'amministratore locale a intervalli configurati. LAPS può essere distribuito utilizzando Group Policy o Intune.

Passaggio 4: Consentire agli utenti e agli amministratori di eseguire i loro compiti richiesti in sicurezza.

Il principio del privilegio minimo è una pietra miliare della sicurezza: Ogni utente dovrebbe avere solo i privilegi necessari per svolgere il proprio lavoro. Limitare i diritti di amministratore locale è un passo importante nell'applicazione del privilegio minimo — ma sia gli amministratori che gli utenti aziendali a volte hanno bisogno di eseguire compiti che richiedono tali diritti.

Con la funzionalità nativa di Windows, potresti far accedere gli amministratori a una macchina utilizzando un account non privilegiato e poi usare l'opzione “esegui come amministratore” per qualsiasi compito che richieda diritti elevati. Tuttavia, questo approccio richiede ancora account amministrativi permanenti, che sono soggetti a uso improprio da parte dei loro proprietari e a compromissioni da parte di avversari. Un'alternativa valida è utilizzare una soluzione di Privileged Access Management (PAM) che sostituisce gli account privilegiati permanenti con account temporanei che hanno giusto abbastanza accesso per eseguire il compito richiesto e vengono automaticamente eliminati in seguito. Di conseguenza, avrai quasi nessun account amministrativo permanente di cui preoccuparti costantemente.

Per consentire agli utenti aziendali di ignorare i prompt UAC ed eseguire le applicazioni specifiche di cui hanno bisogno — senza concedere loro diritti di amministratore locale, prendi in considerazione Netwrix Endpoint Policy Manager Least Privilege Manager. Questa potente soluzione può anche impedire agli utenti di scaricare o installare ransomware o altri eseguibili indesiderati.

Conclusione

Controllare rigorosamente l'accesso privilegiato è fondamentale per evitare costose violazioni, inattività e sanzioni di conformità. Con gli strumenti giusti, puoi rimuovere i diritti di amministratore locale dagli utenti aziendali senza compromettere la loro capacità di svolgere il loro lavoro, riducendo notevolmente la superficie di attacco.