I Domain Admin, i Tier Level e le domande inattese.

Visito le aziende, parlo con gli IT Manager e vedo situazioni difficili, soprattutto di gestione del loro lavoro tecnico che a volte mi sconfortano, almeno tanto quanto sconforta quotidianamente loro. Sono fatto così, provo immediatamente empatia lavorativa per chi, tutti i giorni, si sveglia e deve gestire problemi e non infrastrutture.

Da questo uragano di vita quotidiana, ogni tanto vengono proiettate fuori domande e quesiti che fanno riflettere e che spesso meritano un'attenzione particolare. Una su tutte, che potrebbe sembrare banale e che ho sentito qualche settimana fa, merita invece un approfondimento per tanti motivi differenti.

"Perchè avere Amministratori locali quando esistono i Domain admin"

Chi si stupisce per questa domanda o chi sorride dicendo "Beh è ovvio" rischia di sbagliare approccio. Non è ovvio per molti e purtroppo dobbiamo lavorare continuamente, non tanto sulle infrastrutture, quanto sulle cattive abitudini delle persone.

Partiamo dalla fine: nell'infrastruttura i Domain Admin dovrebbero essere al massimo 2 ed utilizzati...2 volte all'anno?

Eggià, la cosa sta proprio così, i Domain Admin differiscono dagli altri utenti, tra le altre cose, perchè vanno utilizzati per effettuare operazioni specifiche a livello di dominio, operazioni che farete si e no 2 volte all'anno.

Ma andiamo con ordine: i modelli TIER

Pensate che, la best practice di Microsoft (e non solo) indica che la vostra infrastruttura dovrebbe essere suddivisa in un modello TIER, ovvero 3 livelli logici differenti, che racchiudono 3 parti d'infrastruttura fondamentale.

Il modello a livelli ("tier model") in Active Directory è una strategia di sicurezza che segmenta l'infrastruttura IT in tre livelli principali per ridurre il rischio di compromissioni e migliorare il controllo degli accessi, ovvero:

Tier 0 (Privileged Access): Include gli asset più critici, come i Domain Controllers (DC) e gli account con privilegi elevati (come gli amministratori di dominio). Questo livello deve essere il più protetto perché una compromissione qui potrebbe compromettere l'intera infrastruttura IT.

Tier 1 (Server Management): Questo livello gestisce i server e le applicazioni aziendali. Gli amministratori in questo livello gestiscono server e applicazioni, ma non hanno accesso diretto agli asset di Tier 0. Gli accessi privilegiati sono confinati a questo livello.

Tier 2 (Workstation Management): Comprende la gestione delle workstation e dei dispositivi degli utenti finali. Gli amministratori di questo livello non possono avere accesso ai Tier 0 o Tier 1, limitando così i rischi in caso di compromissione di una workstation.

Ogni livello ha accessi limitati solo alle risorse corrispondenti, isolando i diritti di amministrazione per minimizzare la diffusione di attacchi attraverso l'infrastruttura.

Questa strategia quindi, arriva in mio salvataggio per chiarire il perchè gli utenti non possono fare affidamento sui Domain Admin per le attività amministrative sui server e sulle workstation

E quindi francesco, cosa dobbiamo fare?

Non vi sto dicendo che dovete migrare verso un modello Full tier, ma che dovreste prendere seriamente in considerazione l'adozione di alcune semplici regole.

1. Non dovete accedere quotidianamente ai Domain controller: semplicemente non ne avete bisogno, tutte le attività comuni possono essere fatte direttamente altrove;
2. Non siate amministratori di nulla nell'uso quotidiano dell'infrastruttura, ma utenti semplici
3. Usate le deleghe
4. Non usate gli utenti amministratori (se e dove possibile) per accedere dalle workstation ai server in rdp
5. Usate le PAW
6. Utilizzate le deleghe
7. Quando e se possibile usate gli account locali di amministrazione che vi suggerisco di mantenere con password diverse
8. Non usate utenti con password senza scadenza
9. Non accedete ai server (vedi punto 4) da qualsiasi postazione

"E' tutto molto bello ma così non viviamo più"

Ed eccola qui, la sempre presente obiezione di chi è restio al cambiamento (che dovrebbe essere già avvenuto 10 anni fa).

Sapete cosa? E' solo una questione di testa e di abitudini. L'uomo per sua natura è refrattario al cambiamento, soprattutto quando si tratta di abitudini lavorative consolidate che ci garantiscono una confort zone anche se ci aumenta il livello di frustrazione.

E' questo il mio lavoro, quello di aiutare gli IT manager a migrare verso una gestione IT meno frustrante e più sicura senza doversi "ACCONTENTARE" di quello che c'è perchè "è sempre andato così", "perchè non ho tempo", "perchè vorrei ma non posso".

E' difficile? SI

Sarà doloroso? Probabilmente un po'

Ma è come quando dovete iniziare a studiare per un esame: all'inizio è un "che palle", poi man mano che il tempo passa scoprirete che state imparando cose interessanti e quando supererete l'esame avrete quella sensazione di completezza e strumenti che prima non avevate.

Cosa ne dite, ne vale la pena?

PS: molti degli argomenti trattati li trovate sotto forma di tutorial sul mio canale youtube Francesco Guiducci - YouTube

A presto.

Francesco Guiducci.