Abuso di utenti con privilegi elevati

Una delle norme più virtuali dei SysAdmin *NIX e’ l’uso di sudo al posto di su - e della shell interattiva di root. Tutti dicono di farlo e pochi lo fanno per una mera ragione di praticità (e poi non è simpatico digitare continuamente la propria password sotto gli occhi della gente).

Chi amministra *NIX lo fa spesso con un’interfaccia a riga di comando, quindi l’utilizzo della shell con privilegi di root è veramente quasi sempre dedicata ad attività amministrative.

Gli amministratori di Windows fanno anche di peggio.

Per ragioni storiche di praticità e per l’assenza di valide alternative pratiche in passato, fin dalle prime installazioni dei domini Windows [NT] Server, gli amministratori di sistema includono il proprio account personale nel gruppo dei Domain Administrators.

Questa azione rende le attività amministrative molto pratiche perché si hanno pieni poteri sui file server, si possono installare i tool di amministrazione di dominio sul proprio PC e, ammettiamolo, perché il gestore di un qualsiasi sistema *NIX o Windows che sia non tollera che il server gli risponda Access Denied.

Fino a pochi anni fa la cosa era relativamente di basso impatto sulla sicurezza dell’infrastruttura. L’amministratore usava Internet quasi solamente per cercare informazioni tecniche ed era molto sospettoso quando riceveva un allegato.

Purtroppo i tempi e Internet sono cambiati: adesso tutti hanno account social (anche solo per seguire le news tecniche) e la fretta spesso fa seguire link che non sono esattamente il massimo della sicurezza.

Così in India è capitato che dei malviventi abbiano infettato tutti i PC di una ditta farmaceutica e due banche assumendo il controllo del PC dell’amministratore di sistema:

Administrator

L’amministratore di un dominio Windows non solo ha pieni poteri su Active Directory e sui server, ma è automaticamente membro del gruppo locale Administrators di ogni computer connesso al dominio. Questo significa che, tra le altre cose, può collegarsi dalla rete ad ogni computer, copiare ed eseguire programmi sui singoli PC.

Siamo nel 2016, abbiamo tutti un sistema di virtualizzazione, fosse anche un PC con Windows 7 su cui è installato Virtualbox. Magari negli obbiettivi del 2016 mettiamo tutti la rimozione degli utenti personali dal gruppo dei Domain Administrators e l’utilizzo di installazioni virtuali dedicate con utenti dedicati per l’amministrazione del dominio.

Autore: Luigi Rosa

Consulente IT, sviluppatore, SysAdmin, cazzaro, e, ovviamente, geek.

7 pensieri riguardo “Abuso di utenti con privilegi elevati”

  1. Luigi,
    Il nuovo tema necessita di qualche taratura per quanto riguarda l’accesso da mobile…
    Leggere in grigio chiaro suvsfondo bianco non è il massimo 🙂
    Zappa

    1. Ho due segnalazione come la tua (la tua e quella di un altro utente).
      Solo che ieri mattina quando ho fatto il cambio ho provato l’accesso dal mio telefono (Android 5.1 con Chrome) e lo vedo come lo vedo da PC, ovvero non riesco a riprodurre il problema.

      Questo tema (come il precedente) non ha una “versione mobile”, ma e’ “responsive”, ovvero si adatta in base alle dimensioni dell’area di visualizzazione.

      A questo punto presumo un problema di cache da qualche parte (non sul sito perche’ non ci sono piu’ plugin di cache). Su Chrome per Android c’e’ la funzione “Data saver”, sul mio e’ attiva e non ho problemi, magari provare a disattivarla, fare un reload e attivarla?

  2. Mai usato il mio account sul dominio con privilegi da administrator… a dira tutta proprio non c’ho mai pensato… 🙂

  3. Scusa l’OT, mi unisco ai complimenti per il nuovo tema. Uno dei più leggibili e visivamente rilassanti blog che frequento!

    1. Grazie! I complimenti vanno agli autori di WordPress: questo e’ il Twenty Sixteen, che e’ il tema di default delle nuove versioni del software (il precedente era il Twenti Fifteen).

      Da un po’ di tempo ho imparato che e’ meglio usare i temi di default, non inventare la ruota e concentrarsi sui contenuti.

Spazio per un commento