Źle się logować przez cały czas jako administrator?

20

W biurze, w którym pracuję, trzech innych członków personelu IT jest cały czas zalogowanych do komputerów przy użyciu kont należących do grupy administratorów domeny.

Mam poważne obawy związane z zalogowaniem się z uprawnieniami administratora (lokalnie lub w domenie). Jako taki, do codziennego użytku na komputerze używam konta, które ma po prostu zwykłe uprawnienia użytkownika. Mam też inne konto, które należy do grupy administratorów domeny. Używam tego konta, gdy muszę zrobić coś, co wymaga podwyższonych uprawnień na moim komputerze, jednym z serwerów lub komputerze innego użytkownika.

Jaka jest tutaj najlepsza praktyka? Czy administratorzy sieci powinni być zalogowani przez cały czas z prawami do całej sieci (a nawet komputera lokalnego)?

windows security best-practices szturchać
źródło
Zawsze myślałem, że to głupie. Nigdy nie słyszałem o żadnym dobrym powodzie, aby to zrobić. Może dajemy ograniczone konta rodzicom w
Czy zdarzyło Ci się kiedyś, że jakieś dziecko biegało i klikało na komputerach? Co powiesz na przypadkowe usunięcie głównego udziału danych zamiast folderu mp3.
Barfieldmv,
1
ktoś proszę dodać tag „windows” do tego pytania
JoelFan
@Barfieldmv, to pytanie dotyczy środowiska pracy, a nie komputera w salonie. Dzieci nie powinny znajdować się w pobliżu, a przypadkowe usunięcie można przywrócić z kopii zapasowych.
John Gardeniers

Odpowiedzi:

36

Absolutną najlepszą praktyką jest Live User, Work Root . Użytkownik, który jest zalogowany tak, jak podczas odświeżania po awarii serwera co 5 minut, powinien być zwykłym użytkownikiem. Tym, którego używasz do diagnozowania problemów z routingiem Exchange, powinien być Administrator. Uzyskanie takiego rozdzielenia może być trudne, ponieważ przynajmniej w systemie Windows wymaga podwójnych sesji logowania, a to oznacza w jakiś sposób dwa komputery.

  • Maszyny wirtualne działają w tym przypadku naprawdę dobrze i tak to rozwiązuję.
  • Słyszałem o organizacjach, które ograniczają swoje podwyższone konta do niektórych specjalnych maszyn wirtualnych hostowanych wewnętrznie, a administratorzy polegają na RDP w zakresie dostępu.
  • Kontrola konta użytkownika pomaga ograniczyć to, co może zrobić administrator (dostęp do specjalnych programów), ale ciągłe podpowiedzi mogą być tak samo denerwujące, jak konieczność zdalnego dostępu do całej innej maszyny, aby zrobić to, co trzeba.

Dlaczego jest to najlepsza praktyka? Po części dlatego, że tak powiedziałem , podobnie jak wiele innych. SysAdminning nie ma centralnego organu, który określa najlepsze praktyki w jakikolwiek ostateczny sposób. W ostatniej dekadzie opublikowaliśmy kilka najlepszych praktyk w zakresie bezpieczeństwa IT, sugerujących, że używasz podwyższonych uprawnień tylko wtedy, gdy ich potrzebujesz. niektóre z najlepszych praktyk są ustalane na podstawie doświadczeń sysadminów w ciągu ostatnich 40 lat. Artykuł z LISA 1993 ( link ), przykładowy artykuł z SANS ( link , PDF), fragment z krytycznych kontroli bezpieczeństwa SANS dotyka tego ( link ).

sysadmin1138
źródło
6
Pamiętaj, że w systemie Windows 7 konto administratora jest znacznie bardziej ograniczone i nie wymaga podwójnych sesji logowania. UAC działa całkiem nieźle. Działa znacznie mniej, więc w systemie Vista.
Ricket 20.01.11
6
@Ricket, nie zgadzam się z komentarzem na temat UAC, przynajmniej dla administratorów. Wyłączyłem go na mojej stacji roboczej, ponieważ prawie każde oprogramowanie, którego używam, powoduje, że UAC pyta mnie o zgodę. To bardzo irytuje i spowalnia mnie tak bardzo, że jego zalety są w znacznej mierze przeważone przez jego negatywy. Aby działał „całkiem ładnie”, jak to ująłeś, powinniśmy być w stanie powiedzieć mu, aby zawsze zezwalał na określone oprogramowanie lub go nie dopuszczał, ale oczywiście nie jest on tak elastyczny. Krótko mówiąc, jest to niedojrzała i nierozważna próba tego, co może kiedyś być cennym elementem bezpieczeństwa.
John Gardeniers,
1
^ Uwaga: artykuł TechNet, do którego link znajduje się w powyższym komentarzu, jest stary, napisany przed Vistą (ponieważ odnosi się do jego kryptonimu „Longhorn”). Ale dla użytkowników XP jest to bardzo ważne. @John Chyba każdy ma różny przebieg, ale nigdy nie otrzymuję wyskakujących okienek UAC i używam sporego oprogramowania. Jedynym wyjątkiem są instalatory (duh) i irytujący aktualizator Java. Vista była znacznie gorsza, więc jeśli nie wypróbowałeś UAC od Windows 7, zdecydowanie zalecamy włączenie go, w przeciwnym razie myślę, że używasz przestarzałego / źle napisanego oprogramowania. Nie ma mowy, że prawie każdy program prosi o pozwolenie administratora ...
Ricket 20.01.11
1
@Ricket, wyraźnie używamy zupełnie innego oprogramowania. Myślę, że wykonujemy również bardzo różne zadania. To, że oprogramowanie, którego używasz, nie uruchamia kontroli konta użytkownika, nie oznacza, że ​​dotyczy to oprogramowania używanego przez innych. W miarę zdobywania doświadczenia nauczysz się tych rzeczy. To, co powiedziałem, to fakt. Dlaczego to kwestionujesz?
John Gardeniers,
1
@Keith Stokes: Co zrobiłeś biednej PuTTY, aby poprosić cię o UAC? PuTTY nie wymaga podniesienia do uruchomienia!
Evan Anderson
12

Ponieważ jest to domena systemu Windows, prawdopodobnie używane przez nich konta mają pełny dostęp do sieci na wszystkich stacjach roboczych, więc jeśli wydarzy się coś złego, może być w sieci w ciągu kilku sekund. Pierwszym krokiem jest upewnienie się, że wszyscy użytkownicy wykonują codzienną pracę, przeglądają internet, piszą dokumenty itp. Zgodnie z zasadą minimalnego dostępu użytkownika .

Moja praktyka polega na tworzeniu konta domeny i nadawaniu uprawnień administratora tego konta na wszystkich stacjach roboczych (PC-admin) oraz osobnym koncie domeny do pracy administratora serwera (server-admin). Jeśli obawiasz się, że twoje serwery mogą ze sobą rozmawiać, możesz mieć indywidualne konta dla każdego komputera (<x> -admin, <y> -admin). Zdecydowanie spróbuj użyć innego konta do uruchamiania zadań administratora domeny.

W ten sposób, jeśli robisz coś na zaatakowanej stacji roboczej z kontem PC-admin, a korzystanie z uprawnień administratora pozwala próbować uzyskać dostęp do innych komputerów w sieci, nic nie będzie w stanie nic zrobić paskudny dla twoich serwerów. Posiadanie tego konta oznacza również, że nie może on nic zrobić z Twoimi danymi osobowymi.

Muszę jednak powiedzieć, że w jednym miejscu, w którym wiem, gdzie pracownicy pracowali zgodnie z zasadami LUA, nie mieli odpowiedniej infekcji wirusowej przez trzy lata, które widziałem; inny dział w tym samym miejscu, w którym wszyscy z lokalnym administratorem i personelem IT z administratorem serwera miał kilka epidemii, z których jedna zajęła tydzień czasu IT na oczyszczenie z powodu rozprzestrzeniania się infekcji przez sieć.

Konfiguracja zajmuje trochę czasu, ale potencjalne oszczędności są ogromne, jeśli napotkasz problemy.

Iain Hallam
źródło
Zachowuję się w ten sposób i używam konta domeny do codziennej pracy, aw razie potrzeby przechodzę na moje konto administratora domeny uprzywilejowanej. Moi inni współpracownicy śmieją się ze mnie i nie mogę się doczekać, aż ich stacje robocze wpłyną na coś w nieprzyjemny sposób, więc mogę powiedzieć, że tak powiedziałem.
songei2f
1

Oddzielne konta dla oddzielnych zadań to najlepszy sposób, aby na to spojrzeć. Zasada najmniejszego uprzywilejowania to nazwa gry. Ogranicz korzystanie z kont „admin” do zadań, które należy wykonać jako „admin”.

Liam
źródło
1

Opinie różnią się nieco między Windows i * nix, ale twoja wzmianka o administratorach domen sprawia, że ​​myślę, że mówisz o Windows, więc w tym kontekście odpowiadam.

Na stacji roboczej zwykle nie powinieneś być administratorem, więc odpowiedź na twoje pytanie w większości przypadków będzie NIE. Istnieje jednak wiele wyjątków i tak naprawdę zależy to od tego, co osoba robi na komputerze.

Na serwerze jest to temat wielu debat. Mój własny pogląd jest taki, że loguję się na serwerze tylko po to, aby wykonywać prace administracyjne, więc po prostu nie ma sensu logować się jako użytkownik, a następnie uruchamiać każde oddzielne narzędzie za pomocą run-as, co szczerze mówiąc zawsze było prawdziwym bólem w przypadku wiesz i co do większości zadań po prostu sprawia, że ​​życie administratora jest zbyt trudne i czasochłonne. Ponieważ większość pracy administratora systemu Windows odbywa się za pomocą narzędzi GUI, poziom bezpieczeństwa nie jest obecny, powiedzmy, administrator Linuksa pracujący w wierszu poleceń, gdzie zwykła literówka może sprawić, że pobiegnie po taśmę z kopii zapasowej zeszłej nocy.

John Gardeniers
źródło
+1: „Co logujesz się na serwerze” jest głównym tematem debaty.
sysadmin1138
1

moje życie jest proste ... konta są wyraźnie nazwane i wszystkie mają różne hasła.

God konto - administrator domeny, aby wykonać wszystkie prace po stronie serwera

konto półboga do administrowania komputerami - nie ma praw do udziałów / serwerów - tylko do komputerów

słaby użytkownik - przyznam sobie uprawnienia użytkownika na własnym komputerze, ale nie mam nawet tych praw na innych komputerach

powodów oddzielenia jest wiele. nie powinno być żadnych argumentów, po prostu zrób to!

koło zamachowe33
źródło
Lubię podział przywilejów na trzech poziomach, ale zmuszanie innych do praktykowania tego, co głosisz, musi być bólem głowy.
songei2f
W niektórych środowiskach może to być trudna sprzedaż. Ale jeśli potrafisz udowodnić się decydentom, pomogą ci w przestrzeganiu zasad. Żaden Exec nie chce stracić firmy, gdy istnieje bezpłatne i proste rozwiązanie.
cwheeler33
Zapomniałeś # 4: kontrolowanie użytkownika, do którego loguje się bóg, który poza tym jest niezależny od wszystkich innych kont. Więc jeśli jakiś haker sprawi, że twój bóg stanie się mściwy, wiesz, jak to się stało.
Parthian Shot
0

Ryzykując głosowanie w piekle, muszę powiedzieć, że zależy to od przepływu pracy administratora. Dla mnie osobiście zdecydowana większość rzeczy, które robię na stacji roboczej podczas pracy, będą wymagały poświadczeń administratora. Masz wbudowane funkcje, takie jak narzędzia do zarządzania domenami, zewnętrzne konsole zarządzania, zmapowane dyski, narzędzia do zdalnego dostępu z wiersza poleceń, skrypty itp. Lista jest długa. Konieczność wpisywania poświadczeń dla prawie każdej otwieranej rzeczy byłaby koszmarem.

O jedynych rzeczach, które zwykle nie potrzebują uprawnień administratora, to moja przeglądarka internetowa, klient poczty e-mail, klient wiadomości błyskawicznych i przeglądarka plików PDF. I większość tych rzeczy pozostaje otwarta od momentu zalogowania do wylogowania. Więc loguję się przy użyciu poświadczeń administratora, a następnie uruchamiam Wszystkie moje aplikacje z niskim poziomem dostępu prywatnego z kontem o niskim poziomie dostępu. To o wiele mniej kłopotów i nie czuję się mniej bezpieczny.

Ryan Bolger
źródło
uruchom, ponieważ z niskim poziomem uprawnień naprawdę nie robi wiele dla bezpieczeństwa, ponieważ system już działa z kontem administratora Dajesz sobie fałszywe poczucie bezpieczeństwa. Zrób to odwrotnie, zaloguj się jako użytkownik, a następnie uruchom jako administrator. Daj sobie mocnego użytkownika do logowania, jeśli chcesz, ALE PROSZĘ NIE BĄDŹ JAK ADMIN cały czas.
Liam,
+1 Jak powiedziałem w mojej odpowiedzi, „to naprawdę zależy od tego, co osoba robi na maszynie”. Pomimo całej teorii i tak zwanej „najlepszej praktyki” zdarza się, że zalogowanie się jako użytkownik nie ma sensu. Przynajmniej nie w świecie Windows.
John Gardeniers
Jestem prawie pewien, że nie ma uprawnień zaawansowanych użytkowników w Windows 7. goo.gl/fqYbb
Luke99
@Liam Bez obrazy, ale mylisz się mówiąc, że RunAs z niskim poziomem prywatności nie robi wiele. Robi dokładnie to, co powinien, co uniemożliwia temu konkretnemu procesowi (i jego dzieciom) robienie czegokolwiek z podwyższonymi uprawnieniami. Jest to idealne rozwiązanie dla aplikacji, które nigdy nie potrzebują podwyższonych uprawnień i zazwyczaj są najczęściej atakowane przez złośliwe oprogramowanie.
Ryan Bolger