Tweet
Nguyên tắc Least Privilege (Đặc quyền tối thiểu) và Delegated Privileges (Ủy quyền đặc quyền)
Trong quản trị hệ thống, một trong những nguyên tắc bảo mật quan trọng nhất là Least Privilege – hay đặc quyền tối thiểu.
Phần lớn các sự cố rò rỉ dữ liệu hoặc vi phạm an ninh không đến từ hacker “siêu đẳng”, mà đến từ:
Nguyên tắc này nói đơn giản:
Chỉ cấp đúng quyền cần thiết để làm việc. Không hơn.
Ví dụ:
Một IT Admin không nên đăng nhập máy tính hàng ngày bằng tài khoản Domain Admin.
Thay vào đó:
Chỉ khi cần:
thì mới dùng tài khoản admin.
Mô hình:
Sai cách:
IT Admin → luôn dùng Domain Admin cả ngày
Đúng cách:
IT Admin → dùng Standard User
Khi cần admin → Run as Administrator / Privileged Account
2. Vì sao nguyên tắc này quan trọng?
Nếu bạn luôn dùng tài khoản admin:
Chỉ cần:
=> malware sẽ chạy với quyền admin.
Hậu quả:
Đây là lý do attacker rất thích tài khoản có quyền cao.
3. Ví dụ thực tế
Kịch bản xấu
User đăng nhập bằng Domain Admin.
Mở file Excel chứa macro độc hại.
Macro thực thi PowerShell:
Invoke-WebRequest ...
Do user có quyền cao:
Game over.
Kịch bản tốt
User dùng account thường.
Macro vẫn chạy.
Nhưng:
Damage giảm rất nhiều.
4. Delegated Privileges là gì?
Thực tế:
Không phải ai cũng cần Domain Admin.
Nhưng có những nhân viên helpdesk cần:
Nếu cho họ Domain Admin thì quá nguy hiểm.
Giải pháp:
Delegation of Control
Tức là:
ủy quyền một phần quyền cần thiết, không trao toàn bộ quyền admin.
5. Ví dụ trong Active Directory
Helpdesk cần reset password cho user ở OU Sales.
Ta có thể:
ủy quyền chỉ quyền:
trên:
OU=Sales
Nhưng KHÔNG cho quyền:
=> đây là delegated privilege.
6. Nhóm quyền built-in thường gặp
AD có sẵn một số nhóm:
Nhưng best practice:
Nếu quyền built-in quá rộng → tạo delegation chi tiết hơn.
7. Delegation of Control Wizard
Trong Active Directory Users and Computers:
Right Click OU
→ Delegate Control
Wizard cho phép:
8. Best Practice thực chiến
Không dùng Domain Admin hàng ngày
Domain Admin chỉ dùng cho:
Tách tài khoản
Ví dụ:
minh.user
minh.admin
Trong đó:
minh.user
→ công việc hàng ngày
minh.admin
→ admin task
Scope nhỏ nhất có thể
Không delegate ở domain root nếu chỉ cần OU nhỏ.
Sai:
corp.local
Đúng:
OU=Helpdesk Users
Audit quyền định kỳ
Kiểm tra:
Góc nhìn security
Least Privilege là nền tảng của:
Một câu nhớ nhanh:
"Không cấp quyền vì tiện. Chỉ cấp quyền vì thật sự cần."
Trong quản trị hệ thống, một trong những nguyên tắc bảo mật quan trọng nhất là Least Privilege – hay đặc quyền tối thiểu.
Phần lớn các sự cố rò rỉ dữ liệu hoặc vi phạm an ninh không đến từ hacker “siêu đẳng”, mà đến từ:
- Lỗi thao tác của con người
- Tài khoản bị chiếm quyền
- Mã độc chạy dưới quyền người dùng
- Hoặc sự kết hợp của các yếu tố trên
Nguyên tắc này nói đơn giản:
Chỉ cấp đúng quyền cần thiết để làm việc. Không hơn.
Ví dụ:
Một IT Admin không nên đăng nhập máy tính hàng ngày bằng tài khoản Domain Admin.
Thay vào đó:
- Dùng user account thông thường để:
- web browsing
- Teams
- Office
- tài liệu
Chỉ khi cần:
- cài phần mềm
- reset service
- chỉnh AD
- thay đổi GPO
- quản trị server
thì mới dùng tài khoản admin.
Mô hình:
Sai cách:
IT Admin → luôn dùng Domain Admin cả ngày
Đúng cách:
IT Admin → dùng Standard User
Khi cần admin → Run as Administrator / Privileged Account
2. Vì sao nguyên tắc này quan trọng?
Nếu bạn luôn dùng tài khoản admin:
Chỉ cần:
- click nhầm file độc hại
- mở email phishing
- chạy malware
=> malware sẽ chạy với quyền admin.
Hậu quả:
- tạo local admin backdoor
- dump password hash
- disable antivirus
- chỉnh firewall
- cài persistence
- lateral movement sang server khác
Đây là lý do attacker rất thích tài khoản có quyền cao.
3. Ví dụ thực tế
Kịch bản xấu
User đăng nhập bằng Domain Admin.
Mở file Excel chứa macro độc hại.
Macro thực thi PowerShell:
Invoke-WebRequest ...
Do user có quyền cao:
- malware dump LSASS
- lấy credential
- chiếm Domain Controller
Game over.
Kịch bản tốt
User dùng account thường.
Macro vẫn chạy.
Nhưng:
- không cài được driver
- không disable Defender
- không dump credential protected memory
- không sửa system files
Damage giảm rất nhiều.
4. Delegated Privileges là gì?
Thực tế:
Không phải ai cũng cần Domain Admin.
Nhưng có những nhân viên helpdesk cần:
- reset password
- unlock account
- join computer vào domain
- sửa group membership
Nếu cho họ Domain Admin thì quá nguy hiểm.
Giải pháp:
Delegation of Control
Tức là:
ủy quyền một phần quyền cần thiết, không trao toàn bộ quyền admin.
5. Ví dụ trong Active Directory
Helpdesk cần reset password cho user ở OU Sales.
Ta có thể:
ủy quyền chỉ quyền:
- Reset Password
- Unlock Account
trên:
OU=Sales
Nhưng KHÔNG cho quyền:
- modify schema
- create domain admin
- edit GPO toàn domain
- replicate AD database
=> đây là delegated privilege.
6. Nhóm quyền built-in thường gặp
AD có sẵn một số nhóm:
- Account Operators
- Backup Operators
- Print Operators
- Server Operators
Nhưng best practice:
Nếu quyền built-in quá rộng → tạo delegation chi tiết hơn.
7. Delegation of Control Wizard
Trong Active Directory Users and Computers:
Right Click OU
→ Delegate Control
Wizard cho phép:
- Reset passwords
- Read user info
- Create/delete users
- Modify memberships
- Custom task delegation
8. Best Practice thực chiến
Không dùng Domain Admin hàng ngày
Domain Admin chỉ dùng cho:
- schema changes
- forest/domain config
- critical admin work
Tách tài khoản
Ví dụ:
minh.user
minh.admin
Trong đó:
minh.user
→ công việc hàng ngày
minh.admin
→ admin task
Scope nhỏ nhất có thể
Không delegate ở domain root nếu chỉ cần OU nhỏ.
Sai:
corp.local
Đúng:
OU=Helpdesk Users
Audit quyền định kỳ
Kiểm tra:
- ai đang có Domain Admin
- ai có Enterprise Admin
- delegated ACL bất thường
Góc nhìn security
Least Privilege là nền tảng của:
- Zero Trust
- Privileged Access Management (PAM)
- Just Enough Administration (JEA)
- Just In Time Access (JIT)
Một câu nhớ nhanh:
"Không cấp quyền vì tiện. Chỉ cấp quyền vì thật sự cần."
Attached Files