В офисе, где я работаю, трое других сотрудников ИТ-отдела постоянно входят в свои компьютеры с учетными записями, которые являются членами группы администраторов домена.
У меня есть серьезные опасения по поводу того, что я могу войти в систему с правами администратора (локального или для домена). Таким образом, для повседневного использования компьютера я использую учетную запись, у которой просто есть привилегии обычного пользователя. У меня также есть другая учетная запись, которая входит в группу администраторов домена. Я использую эту учетную запись, когда мне нужно сделать что-то, что требует повышенных привилегий на моем компьютере, одном из серверов или на компьютере другого пользователя.
Какая здесь лучшая практика? Должны ли сетевые администраторы постоянно входить в систему с правами на всю сеть (или даже на свой локальный компьютер в этом отношении)?
Абсолютная лучшая практика - Живой пользователь, рабочий корень. Пользователь, под которым вы вошли в систему, когда каждые 5 минут нажимаете кнопку «Обновить сбой сервера», должен быть обычным пользователем. Тот, который вы используете для диагностики проблем маршрутизации Exchange, должен быть Admin. Получить это разделение может быть сложно, поскольку в Windows, по крайней мере, требуется два сеанса входа в систему, а это в некотором роде означает два компьютера.
Почему это лучшая практика? Частично это потому что я так сказал, как и многие другие. SysAdminning не имеет центрального органа, который бы определенным образом определял передовые практики. За последнее десятилетие у нас были опубликованы некоторые передовые практики ИТ-безопасности, в которых предлагалось использовать повышенные привилегии только тогда, когда они действительно нужны. Некоторые из лучших практик устанавливаются на основе гештальта опыта системных администраторов за последние 40 с лишним лет. Статья из LISA 1993 (ссылка на сайт), образец статьи из SANS (ссылка на сайт, PDF), об этом говорится в разделе из «Критических мер безопасности» SANS (ссылка на сайт).
Поскольку это домен Windows, скорее всего, учетные записи, которые они используют, имеют полный сетевой доступ ко всем рабочим станциям, поэтому, если что-то случится, это может быть через сеть за секунды. Первый шаг - убедиться, что все пользователи выполняют повседневную работу, просматривают веб-страницы, пишут документы и т. Д. В соответствии с принципом Наименьший доступ пользователей.
Моя практика состоит в том, чтобы создать учетную запись домена и дать этой учетной записи права администратора на всех рабочих станциях (PC-admin), а также отдельную учетную запись домена для работы администратора сервера (server-admin). Если вас беспокоит, что ваши серверы могут взаимодействовать друг с другом, вы можете иметь индивидуальные учетные записи для каждой машины (<x> -admin, <y> -admin). Определенно попробуйте использовать другую учетную запись для выполнения заданий администратора домена.
Таким образом, если вы делаете что-то на скомпрометированной рабочей станции с учетной записью администратора ПК, и у вас есть шанс получить права администратора, чтобы попытаться получить доступ к другим машинам по сети, он ничего не сможет сделать. противно вашим серверам. Наличие этой учетной записи также означает, что она ничего не может сделать с вашими личными данными.
Однако я должен сказать, что в одном месте, где я знаю, где сотрудники работали с принципами LUA, у них не было надлежащего заражения вирусом в течение трех лет, которые я видел; в другом отделе в том же месте, где все были с местными администраторами, а ИТ-персонал с администратором сервера, было несколько вспышек, на устранение одной из которых потребовалась неделя ИТ-времени из-за распространения инфекции по сети.
Настройка занимает некоторое время, но потенциальная экономия огромна, если вы столкнетесь с проблемами.
Отдельные учетные записи для отдельных задач - лучший способ взглянуть на это. Принцип наименьших привилегий - это название игры. Ограничьте использование учетных записей «admin» задачами, которые должны выполняться от имени «admin».
Мнения между Windows и * nix несколько различаются, но ваше упоминание об администраторах домена заставляет меня думать, что вы говорите о Windows, так что это контекст, в котором я отвечаю.
На рабочей станции обычно не требуется быть администратором, поэтому в большинстве случаев ответом на ваш вопрос будет НЕТ. Однако есть множество исключений, и это действительно зависит от того, что именно человек делает на машине.
На сервере это предмет многочисленных споров. Мое собственное мнение состоит в том, что я вхожу на сервер только для выполнения работы администратора, поэтому просто не имеет смысла входить в систему как пользователь, а затем запускать каждый отдельный инструмент, используя run-as, что, откровенно говоря, всегда было настоящей болью в большинстве случаев это просто делает жизнь администратора слишком трудной и требует много времени. Поскольку большая часть работы администратора Windows выполняется с помощью инструментов с графическим интерфейсом, существует определенная степень безопасности, которая отсутствует, например, для администратора Linux, работающего с командной строкой, где простая опечатка может заставить его поспешить к прошлогодней резервной ленте.
моя жизнь проста ... учетные записи имеют разные имена и разные пароли.
God account - администратор домена, который выполняет всю работу на стороне сервера
учетная запись demigod для администрирования ПК - не имеет прав на общие ресурсы / серверы - только на ПК
слабый пользователь - я предоставляю себе опытного пользователя на своем ПК, но у меня даже нет этих прав на других ПК
Причин разлуки много. не должно быть аргументов, просто сделай это!
Рискуя быть отвергнутым к черту, я должен сказать, что это зависит от рабочего процесса администратора. Лично для меня подавляющее большинство вещей, которые я делаю на своей рабочей станции во время работы, потребуют этих учетных данных администратора. У вас есть встроенные инструменты, такие как инструменты управления доменом, сторонние консоли управления, подключенные диски, инструменты удаленного доступа из командной строки, сценарии и т. Д. Список можно продолжить. Необходимость вводить учетные данные практически для каждой открываемой вами вещи была бы кошмаром.
Единственное, что обычно не требует прав администратора, - это мой веб-браузер, почтовый клиент, клиент обмена мгновенными сообщениями и программа просмотра PDF. И большинство из этих вещей остаются открытыми с момента входа в систему до момента выхода из системы. Поэтому я вхожу в систему с учетными данными администратора, а затем запускаю все свои приложения с низким уровнем конфиденциальности с учетной записью с низким уровнем конфиденциальности. Это гораздо меньше хлопот, и я не чувствую себя менее защищенным от этого.