Zwykle lubię konfigurować osobne loginy dla siebie, jedną ze zwykłymi uprawnieniami użytkownika i osobną dla zadań administracyjnych. Na przykład, jeśli domeną byłby XXXX, skonfigurowałbym konto XXXX \ bpeikes i XXXX \ adminbp. Zawsze to robiłem, bo szczerze mówiąc, nie ufam sobie, że jestem zalogowany jako administrator, ale w każdym miejscu, w którym pracowałem, administratorzy systemu wydają się dodawać swoje zwykłe konta do grupy Domain Admins.
Czy są jakieś najlepsze praktyki? Widziałem artykuł z MS, który wydaje się mówić, że powinieneś używać Run As, a nie logować się jako administrator, ale nie podają przykładu implementacji i nigdy nie widziałem, żeby ktoś to zrobił.
active-directory
security
domain-controller
best-practices
Benjamin Peikes
źródło
źródło
Odpowiedzi:
„Najlepsza praktyka” zazwyczaj dyktuje LPU (najmniej uprzywilejowany użytkownik) ... ale masz rację (podobnie jak ETL i Joe, więc +1), że ludzie rzadko stosują ten model.
Większość zaleceń należy robić tak, jak mówisz ... utwórz 2 konta i nie udostępniaj ich innym osobom. Jedno konto nie powinno mieć uprawnień administratora nawet na lokalnej stacji roboczej, której używasz w teorii, ale znowu kto przestrzega tej zasady, szczególnie w przypadku UAC w dzisiejszych czasach (które teoretycznie powinny być włączone).
Istnieje jednak wiele czynników, dlaczego chcesz wybrać tę trasę. Musisz uwzględnić bezpieczeństwo, wygodę, politykę korporacyjną, ograniczenia regulacyjne (jeśli istnieją), ryzyko itp.
Utrzymanie
Domain Admins
iAdministrators
poziomie domeny grupy ładny i czysty, z minimalnymi kont jest zawsze dobrym pomysłem. Ale nie udostępniaj wspólnych kont administratora domeny, jeśli możesz tego uniknąć. W przeciwnym razie istnieje ryzyko, że ktoś coś zrobi, a następnie wskaże palcem między administratorami „to nie ja użyłem tego konta”. Lepiej mieć indywidualne konta lub skorzystać z czegoś takiego jak CyberArk EPA, aby dokonać prawidłowej kontroli.Również w tych wierszach
Schema Admins
grupa powinna być PUSTA, chyba że wprowadzasz zmiany w schemacie, a następnie wkładasz konto, wprowadzasz zmiany i usuwasz konto. To samo można powiedziećEnterprise Admins
zwłaszcza w modelu z jedną domeną.NIE należy również zezwalać na dostęp do sieci kont uprzywilejowanych do sieci VPN. Skorzystaj ze zwykłego konta, a następnie podnieś go w miarę potrzeb, gdy znajdziesz się w środku.
Wreszcie, powinieneś użyć SCOM lub Netwrix lub innej metody do audytu każdej uprzywilejowanej grupy i powiadomić odpowiednią grupę w IT za każdym razem, gdy zmieni się którykolwiek z członków tej grupy. To da ci głowę do powiedzenia: „poczekaj chwilę, dlaczego tak i tak nagle Administrator domeny?” itp.
Pod koniec dnia jest powód, który nazywa się „Najlepszą praktyką”, a nie „Tylko praktyką” ... są możliwe do zaakceptowania wybory dokonywane przez grupy IT na podstawie ich własnych potrzeb i filozofii w tym zakresie. Niektórzy (jak powiedział Joe) są po prostu leniwi ... podczas gdy inni po prostu nie dbają o to, ponieważ nie są zainteresowani zatkaniem jednej dziury w bezpieczeństwie, gdy są już setki i codzienne pożary do walki. Jednak teraz, gdy już to wszystko przeczytałeś, uważaj się za jednego z tych, którzy będą walczyć w dobrej walce i zrobią wszystko, aby zapewnić bezpieczeństwo. :)
Referencje:
http://www.microsoft.com/en-us/download/details.aspx?id=4868
http://technet.microsoft.com/en-us/library/cc700846.aspx
http://technet.microsoft.com/en-us/library/bb456992.aspx
źródło
AFAIK, za najlepszą praktykę dla administratorów domen / sieci uważa się posiadanie standardowego konta użytkownika do logowania się na stacji roboczej w celu wykonywania rutynowych zadań „użytkownika” (e-mail, dokumentacja itp.) Oraz posiadanie nazwanego konta administracyjnego, które ma odpowiednie członkostwo w grupie, aby umożliwić im wykonywanie zadań administracyjnych.
Jest to model, który staram się stosować, chociaż trudno go wdrożyć, jeśli istniejący personel IT nie jest przyzwyczajony do robienia tego w ten sposób.
Osobiście, jeśli znajdę personel IT, który niechętnie idzie w tym kierunku, jestem zdania, że są albo leniwi, niedoświadczeni, albo nie rozumieją praktyki administrowania systemem.
źródło
Jest to najlepsza praktyka ze względów bezpieczeństwa. Jak wspomnieli inni, zapobiega to przypadkowemu działaniu lub narażeniu się na niebezpieczeństwo podczas przeglądania sieci. Ogranicza także szkody, jakie może wyrządzić osobiste przeglądanie - najlepiej, że codzienna praca nie powinna mieć nawet uprawnień administratora lokalnego, a tym bardziej administratora domeny.
Niezwykle przydatny jest również sposób przeciwdziałania przejęciu przechwyconych tokenów uwierzytelniania Hash lub Windows. ( Przykład ) Prawidłowy test penetracji łatwo to udowodni. Mianowicie, gdy atakujący uzyska dostęp do lokalnego konta administratora, wykorzysta tę moc do migracji do procesu z tokenem administratora domeny. Następnie skutecznie mają te moce.
Jeśli chodzi o przykład osób, które tego używają, moja firma to robi! (200 osób, zespół 6 osób) W rzeczywistości nasi administratorzy domen mają -Trzy- konta. Jeden do codziennego użytku, drugi do administrowania / instalowania oprogramowania na komputerze. Trzeci to konta administratora domeny i służy wyłącznie do administrowania serwerami i domeną. Gdybyśmy chcieli być bardziej paranoiczni / bezpieczni, czwarta prawdopodobnie byłaby w porządku.
źródło
W mojej poprzedniej firmie nalegałem, aby wszyscy administratorzy systemu mieli 2 konta, tj .:
Koledzy początkowo byli niechętni, ale stało się to ogólną zasadą, po tym, jak typowe pytanie o zagrożenie wirusowe „mamy antywirusa” zostało zdemaskowane przez nieaktualną bazę danych wirusów ...
Jak wspomniałeś, można użyć polecenia RUNAS (kiedyś miałem skrypt wsadowy, prezentując własne menu, uruchamiając określone zadania za pomocą polecenia RUNAS).
Inną rzeczą jest użycie Microsoft Management Console , możesz zapisać potrzebne narzędzia i uruchomić je prawym przyciskiem myszy , Uruchom jako ... i swoje konto administratora domeny.
źródło
Run As
/Run as Administrator
i korzystasz z konta użytkownika administracyjnego. Samo używanie jednego konta do wszystkiego to zła praktyka bezpieczeństwa, a z mojego doświadczenia wynika, że ludzie, którzy się temu sprzeciwiają, to ludzie, którzy najbardziej muszą być odizolowani od prowadzenia wszystkiego jako administrator.Pracowałem w miejscach, które robią to w obie strony i ogólnie wolę mieć osobne konto. W rzeczywistości jest to o wiele łatwiejsze, w przeciwieństwie do tego, co sądzą niechętni użytkownicy / klienci joeqwerty:
Plusy korzystania ze zwykłego, codziennego konta do działań administratora domeny: Tak, wszystkie narzędzia administracyjne działają na mojej stacji roboczej bez run! W00t!
Wady korzystania ze zwykłego, codziennego konta do działań administratora domeny: Strach. ;) Technologia pulpitu prosi o spojrzenie na maszynę, ponieważ on nie może dowiedzieć się, co jest z nią nie tak, logujesz się, ma wirusa. Odłącz kabel sieciowy, zmień hasło (gdzie indziej). Gdy menedżerowie zapytają Cię, dlaczego nie dostaniesz służbowego adresu e-mail na swój osobisty telefon BlackBerry przez dostawcę telefonu komórkowego, możesz wyjaśnić, że przechowują one Twoje hasło DOMAIN ADMIN na swoich serwerach. Itd., Itp. Twoje wysoce uprzywilejowane hasło jest używane do takich rzeczy jak ... webmail, VPN, logowanie na tej stronie. (Ew.) (Aby być uczciwym, moje konto zostało zablokowane na stronie „zmień hasło”, więc przynajmniej tak było. Gdybym chciał zmienić moje stare hasło LDAP, które strona zsynchronizowała, musiałbym iść do biurka współpracownika.)
Plusy używania innego konta do działań administratora domeny: Zamiar. To konto jest przeznaczone do narzędzi administracyjnych itp., A nie do poczty e-mail, poczty internetowej, VPN, loginów do stron internetowych itp. Więc mniej obawiaj się, że moje normalne działania „użytkowników” narażają całą domenę na ryzyko.
Wady korzystania z innego konta do działań administratora domeny: muszę używać run dla narzędzi administracyjnych. To po prostu nie jest tak bolesne.
Wersja TL; DR: Posiadanie osobnego konta jest po prostu łatwiejsze. Jest to również najlepsza praktyka, ponieważ jest to najmniej niezbędny przywilej .
źródło
Najmniejszy Priv powinien być wystarczającym powodem, ale jeśli tak nie jest, należy również wziąć pod uwagę, że jeśli korzystasz z konta z takimi samymi uprawnieniami jak użytkownicy, istnieje większe prawdopodobieństwo, że napotkają oni wszelkie problemy, które robią - i możesz je debugować na swoim koncie też - często zanim jeszcze je zobaczą!
Nic gorszego niż administrator, który mówi „to działa dla mnie” i zamyka bilet :)
źródło
Ogólnie rzecz biorąc, najlepiej nie używać logowania administratora na co dzień. Istnieje wiele powodów, takich jak wirusy - jeśli dostaniesz wirusa i uruchomisz logowanie administratora domeny, wirus ma łatwy sposób na uzyskanie dostępu do sieci, pełny dostęp! Możliwe błędy są łatwiejsze do naprawienia, ale nie uważam tego za największe wyzwanie. Jeśli obchodzisz kampus i logujesz się z najwyższym administratorem, ktoś może patrzeć ci przez ramię w poszukiwaniu hasła. Wszelkiego rodzaju rzeczy tego typu.
Ale czy to jest praktyczne? Trudno mi przestrzegać tej zasady, ale chciałbym ją przestrzegać.
źródło
dodając moje 2 centy na podstawie rzeczywistych doświadczeń.
Świadomość i korzystanie z konta administratora do codziennej pracy sprawia, że jesteś bardzo ostrożny we wszystkim, co robisz. więc nie wystarczy kliknąć e-mail / link ani uruchomić żadnych aplikacji bez potrójnego sprawdzania. myślę, że trzyma cię to na palcach.
korzystanie z konta o najmniejszych uprawnieniach do codziennej pracy czyni jedno nieostrożnym.
źródło