Una delle norme più virtuali dei SysAdmin *NIX e’ l’uso di sudo al posto di su - e della shell interattiva di root. Tutti dicono di farlo e pochi lo fanno per una mera ragione di praticità (e poi non è simpatico digitare continuamente la propria password sotto gli occhi della gente).
Chi amministra *NIX lo fa spesso con un’interfaccia a riga di comando, quindi l’utilizzo della shell con privilegi di root è veramente quasi sempre dedicata ad attività amministrative.
Gli amministratori di Windows fanno anche di peggio.
Per ragioni storiche di praticità e per l’assenza di valide alternative pratiche in passato, fin dalle prime installazioni dei domini Windows [NT] Server, gli amministratori di sistema includono il proprio account personale nel gruppo dei Domain Administrators.
Questa azione rende le attività amministrative molto pratiche perché si hanno pieni poteri sui file server, si possono installare i tool di amministrazione di dominio sul proprio PC e, ammettiamolo, perché il gestore di un qualsiasi sistema *NIX o Windows che sia non tollera che il server gli risponda Access Denied.
Fino a pochi anni fa la cosa era relativamente di basso impatto sulla sicurezza dell’infrastruttura. L’amministratore usava Internet quasi solamente per cercare informazioni tecniche ed era molto sospettoso quando riceveva un allegato.
Purtroppo i tempi e Internet sono cambiati: adesso tutti hanno account social (anche solo per seguire le news tecniche) e la fretta spesso fa seguire link che non sono esattamente il massimo della sicurezza.
L’amministratore di un dominio Windows non solo ha pieni poteri su Active Directory e sui server, ma è automaticamente membro del gruppo locale Administrators di ogni computer connesso al dominio. Questo significa che, tra le altre cose, può collegarsi dalla rete ad ogni computer, copiare ed eseguire programmi sui singoli PC.
Siamo nel 2016, abbiamo tutti un sistema di virtualizzazione, fosse anche un PC con Windows 7 su cui è installato Virtualbox. Magari negli obbiettivi del 2016 mettiamo tutti la rimozione degli utenti personali dal gruppo dei Domain Administrators e l’utilizzo di installazioni virtuali dedicate con utenti dedicati per l’amministrazione del dominio.
Lascia un commento