É possível criar uma conta de usuário somente leitura para fins de auditoria de segurança?

1

Uma organização exige que vários administradores tenham uma função de auditor de segurança. Eles devem ter acesso somente leitura (via rede / remoto) aos sistemas Windows Server 2008 / R2 e ter permissões para exibir a configuração do servidor. Eles não devem poder fazer nenhuma outra alteração no servidor ou na rede, como reiniciar ou fazer quaisquer alterações na configuração.

No entanto, não consigo encontrar nenhuma configuração incorporada para um usuário como este. O mais próximo disso é o grupo de usuários "Usuários" [1], mas pelo que entendi todos os usuários do domínio estão neste grupo e não podem ver a configuração do servidor de domínio.

Então, quais são as outras opções para implementar uma conta de usuário somente leitura no Windows Server 2008?

[1] link

    
por Babken Vardanyan 20.08.2014 / 18:43

2 respostas

2

Não, isso não é plausível. É tecnicamente possível percorrer e criar uma conta que tenha privilégios de somente leitura para tudo, mas isso seria uma tarefa e não há nada como o que existe atualmente, que eu saiba.

O problema é que, por padrão, a maioria das configurações de "configuração" que você deseja exibir só é acessível aos usuários administrativos, que também podem modificá-los. Portanto, para criar um usuário somente leitura que possa acessar tudo, você está basicamente procurando modificar tudo (sistema de arquivos, registro, permissões de aplicativo) para adicionar acesso somente leitura a um determinado usuário.

Faça como o resto do mundo e peça aos auditores que solicitem informações dos administradores, se necessário, enquanto os auditores observam os administradores recuperarem as informações necessárias.

    
por 20.08.2014 / 21:24
0

daqui para frente, seu auditor deve estar usando um sistema como o Varonis para rastrear mudanças no sistema. Em seguida, eles têm sua própria ferramenta de interrogatório, na qual só eles podem fazer login, e isso lhes dará esse tipo de informação.

Alterar as permissões do sistema de arquivos, do registro, etc. pode levar a problemas de permissão no futuro.

Anthony

    
por 25.07.2017 / 15:19