Назад | Перейти на главную страницу

Рекомендуется ли иметь отдельный вход для домена для администраторов домена?

Обычно мне нравится настраивать для себя отдельные логины, один с правами обычного пользователя, а другой - для административных задач. Например, если бы домен был XXXX, я бы создал учетную запись XXXX \ bpeikes и XXXX \ adminbp. Я всегда делал это, потому что, честно говоря, я не доверяю себе войти в систему как администратор, но в каждом месте, где я работал, системные администраторы, кажется, просто добавляют свои обычные учетные записи в группу администраторов домена.

Есть ли лучшие практики? Я видел статью от MS, в которой, кажется, говорится, что вы должны использовать «Запуск от имени», а не входить в систему как администратор, но в них не приводится пример реализации, и я никогда не видел, чтобы кто-то еще это делал.

AFAIK, для администраторов домена / сети считается лучшей практикой иметь стандартную учетную запись пользователя для входа на свою рабочую станцию ​​для выполнения рутинных «пользовательских» задач (электронная почта, документация и т. Д.) И иметь именованную административную учетную запись, которая имеет соответствующий членство в группе, чтобы они могли выполнять административные задачи.

Я стараюсь следовать этой модели, хотя ее сложно реализовать, если существующий ИТ-персонал не привык делать это таким образом.

Лично я считаю, что если я найду ИТ-персонал, который не решится двигаться в этом направлении, я считаю, что они либо ленивы, неопытны, либо не разбираются в практике системного администрирования.

«Лучшая практика» обычно диктует LPU (наименее привилегированный пользователь) ... но вы правы (как и ETL и Джо, так и +1), что люди редко следуют этой модели.

Большинство рекомендаций - делать то, что вы говорите ... создать 2 аккаунта и не делиться этими аккаунтами с другими. Одна учетная запись не должна иметь прав администратора даже на локальной рабочей станции, которую вы используете теоретически, но опять же, кто следует этому правилу, особенно с UAC в наши дни (который теоретически должен быть включен).

Однако есть несколько факторов, почему вы хотите пойти по этому пути. Вы должны учитывать безопасность, удобство, корпоративную политику, нормативные ограничения (если таковые имеются), риск и т. Д.

Сохранение Domain Admins и Administrators Хорошие и чистые группы уровня домена с минимальным количеством учетных записей - это всегда хорошая идея. Но не делитесь просто общими учетными записями администратора домена, если вы можете этого избежать. В противном случае есть риск, что кто-то что-то сделает, а системные администраторы укажут пальцем на то, что «это не я использовал эту учетную запись». Лучше иметь индивидуальные учетные записи или использовать что-то вроде CyberArk EPA для правильного аудита.

Также в этих строках ваш Schema Admins группа всегда должна быть ПУСТОЙ, если вы не вносите изменения в схему, а затем вводите учетную запись, вносите изменения и удаляете учетную запись. То же самое можно сказать и о Enterprise Admins особенно в однодоменной модели.

Вы также НЕ должны разрешать привилегированным учетным записям VPN в сети. Используйте обычную учетную запись, а затем поднимите ее по мере необходимости, когда она окажется внутри.

Наконец, вы должны использовать SCOM или Netwrix или какой-либо другой метод для аудита любой привилегированной группы и уведомлять соответствующую группу в ИТ всякий раз, когда какой-либо из членов этой группы изменяется. Это даст вам возможность сказать: «Погодите, почему так и так внезапно стал администратором домена?» и т.п.

В конце концов, есть причина, по которой это называется «Лучшая практика», а не «Только практика» ... ИТ-группы делают приемлемый выбор, исходя из их собственных потребностей и философии по этому поводу. Некоторые (как сказал Джо) просто ленивы ... в то время как другим просто все равно, потому что они не заинтересованы в затыкании одной дыры в безопасности, когда уже существуют сотни и ежедневные пожары, с которыми нужно бороться. Однако теперь, когда вы все это прочитали, считайте себя одним из тех, кто будет вести добрую борьбу и делать все возможное, чтобы все было в безопасности. :)

Ссылки:

http://www.microsoft.com/en-us/download/details.aspx?id=4868

http://technet.microsoft.com/en-us/library/cc700846.aspx

http://technet.microsoft.com/en-us/library/bb456992.aspx

Это лучший способ из соображений безопасности. Как уже упоминали другие, он предотвращает случайное выполнение вами каких-либо действий или возможность компрометации при просмотре сети. Это также ограничивает ущерб, который может нанести ваш личный просмотр - в идеале, ваша повседневная работа не должна иметь даже прав локального администратора, не говоря уже о администраторе домена.

Также невероятно полезно противостоять Передайте хеш или перехват токенов проверки подлинности Windows. (пример) Правильный тест на проникновение легко докажет это. А именно, как только злоумышленник получит доступ к локальной учетной записи администратора, он будет использовать это право для миграции в процесс с токеном администратора домена. Тогда они фактически обладают этими полномочиями.

Что касается примера людей, использующих это, моя компания использует! (200 человек, 6 человек в команде) Фактически, у наших администраторов домена есть -ТРИ учетных записи. Один для повседневного использования, другой для администрирования ПК / локальной установки программного обеспечения. Третий - это учетные записи администратора домена, которые используются исключительно для администрирования серверов и домена. Если бы мы хотели быть более параноидальными / безопасными, вероятно, было бы уместно и четвертое.

В моей бывшей компании я настаивал, чтобы у всех системных администраторов было 2 аккаунта, то есть:

  • ДОМЕН \ st19085
  • ДОМЕН \ st19085a ("a" для администратора)

Коллеги сначала сопротивлялись, но это стало практическим правилом после того, как типичный вопрос о вирусной угрозе «мы получили антивирус» был опровергнут устаревшей вирусной базой ...

  • Как вы упомянули, БЕГИ КАК Можно использовать команду (раньше у меня был пакетный сценарий, представляющий настраиваемое меню, запускающий определенные задачи с помощью команды RUNAS).

  • Другое дело - использование Консоль управления Microsoft, вы можете сохранить нужные инструменты и запускать их с щелкните правой кнопкой мыши, Беги как... и ваш аккаунт администратора домена.

  • И последнее, но не менее важное: я запускал оболочку PowerShell в качестве администратора домена и оттуда запускал все, что мне было нужно.

Я работал в местах, где это делается обоими способами, и обычно предпочитаю иметь отдельную учетную запись. На самом деле так намного проще, вопреки тому, что думают упорные пользователи / клиенты joeqwerty:

Плюсы использования вашей обычной повседневной учетной записи для деятельности администратора домена: Ура, все административные инструменты работают на моей рабочей станции без рун! W00t!

Минусы использования обычной повседневной учетной записи для действий администратора домена: Страх. ;) Настольный техник просит вас взглянуть на машину, потому что он не может понять, что с ней не так, вы входите в систему, на ней есть вирус. Отключите сетевой кабель, смените пароль (в другом месте). Когда менеджеры спрашивают вас, почему вы не получаете свою рабочую электронную почту на свой персональный Blackberry через своего оператора сотовой связи, вы должны объяснить, что они хранят ваш пароль DOMAIN ADMIN на своих серверах, когда вы это делаете. И т. Д. И т. Д. Ваш высокопривилегированный пароль используется для таких вещей, как ... веб-почта, vpn, авторизуйтесь на этой веб-странице. (Фу.) (Честно говоря, моя учетная запись была заблокирована на веб-странице «смени свой пароль», так что, по крайней мере, так и было. Если бы я хотел изменить свой старый пароль LDAP, который синхронизировала веб-страница, мне пришлось бы пойти к столу коллеги.)

Плюсы использования другой учетной записи для действий администратора домена: Намерение. Эта учетная запись предназначена для административных инструментов и т. д., а не для электронной почты, веб-почты, vpn, входа на веб-страницы и т. д. Итак, меньше опасений, что моя обычная «пользовательская» деятельность подвергает риску весь домен.

Минусы использования другой учетной записи для действий администратора домена: мне нужно использовать runas для инструментов администрирования. Это не так уж больно.

Версия TL; DR: иметь отдельную учетную запись просто Полегче. Это также лучшая практика, поскольку наименее необходимая привилегия.

Наименьшее Priv должно быть достаточной причиной, но если это не так, также учтите, что если вы используете учетную запись с теми же разрешениями, что и ваши пользователи, у вас с большей вероятностью возникнут какие-либо проблемы, которые они делают, - и вы можете отлаживать их в своей собственной учетной записи. тоже - часто даже раньше, чем они их видели!

Нет ничего хуже, чем администратор, который говорит "у меня работает" и закрывает заявку :)

По идее, лучше не использовать для повседневных действий вход с правами верхнего администратора. Существует множество причин, таких как вирусы - если вы заразились вирусом и используете вход в систему администратора домена, то у вируса есть простой способ проникнуть в вашу сеть, полный доступ! Совершить возможные ошибки наверняка легче, но я не считаю это самой большой проблемой. Если вы обойдете кампус и войдете в систему с главным администратором, возможно, кто-то будет искать ваш пароль через ваше плечо. Все в таком роде.

Но практично ли это? Мне трудно следовать этому правилу, но я бы хотел ему следовать.

добавляю свои 2 цента на основе реального опыта ..

Зная и осознавая, что вы используете учетную запись администратора для своей повседневной работы, вы будете очень осторожны в своих действиях. так что вы не просто нажимаете на электронную почту / ссылку или просто запускаете какие-либо приложения без тройной проверки. я думаю, это держит тебя в тонусе.

использование учетной записи с минимальными привилегиями для повседневной работы делает человека небрежным.