Czy najlepszym rozwiązaniem jest oddzielne logowanie do domeny dla administratorów domeny?

33

Zwykle lubię konfigurować osobne loginy dla siebie, jedną ze zwykłymi uprawnieniami użytkownika i osobną dla zadań administracyjnych. Na przykład, jeśli domeną byłby XXXX, skonfigurowałbym konto XXXX \ bpeikes i XXXX \ adminbp. Zawsze to robiłem, bo szczerze mówiąc, nie ufam sobie, że jestem zalogowany jako administrator, ale w każdym miejscu, w którym pracowałem, administratorzy systemu wydają się dodawać swoje zwykłe konta do grupy Domain Admins.

Czy są jakieś najlepsze praktyki? Widziałem artykuł z MS, który wydaje się mówić, że powinieneś używać Run As, a nie logować się jako administrator, ale nie podają przykładu implementacji i nigdy nie widziałem, żeby ktoś to zrobił.

active-directory security domain-controller best-practices Benjamin Peikes
źródło
1
Jako osoba zajmująca się przede wszystkim systemem Linux / Unix, która nie jest ekspertem od systemu Windows, czy nie właśnie to powinien naprawić UAC? Rozumiem przez to, że można korzystać z jednego konta, ale nadal tylko autoryzowane procesy otrzymują uprawnienia administracyjne.
Dolda2000
@ Dolda2000 UAC był bardziej dla użytkowników końcowych, którzy mieli zwyczaj działać jako administrator na swoim komputerze lokalnym. Istnieją dodatkowe obawy, gdy działasz jako administrator domeny na komputerze lokalnym - twoje dane uwierzytelniające i dostęp mogą być używane o wiele gorzej niż instalacja wirusa na komputerze, biorąc pod uwagę, że masz podwyższone prawa do większości rzeczy w cała domena.
HopelessN00b
1
@ HopelessN00b: I mówisz, że UAC nie ma zastosowania do tych rzeczy? Dlaczego nie? Czy istnieją powody techniczne, czy po prostu brakuje wdrożenia?
Dolda2000
2
@ Dolda2000 Cóż, UAC miał rozwiązać problem polegający na tym, że złośliwe oprogramowanie mogło wykorzystywać kontekst zalogowanego użytkownika administracyjnego do instalowania się na komputerach użytkowników końcowych i konsumentów. I tak jest. Uniemożliwiłby również temu konkretnemu wektorowi korzystanie z kontekstu użytkownika administratora domeny do instalowania złośliwego oprogramowania lokalnie, jednak nie jest to kwestia bezpieczeństwa związana z działaniem jako administrator domeny zamiast ograniczonego użytkownika.
HopelessN00b
1
@ Dolda2000 UAC uniemożliwia procesom wykonywanie uprzywilejowanych funkcji na komputerze lokalnym. Jeśli jesteś zalogowany jako administrator domeny, możesz uruchamiać uprzywilejowane polecenia zdalnie na innych komputerach i będą one uruchamiane z podniesionymi uprawnieniami na zdalnych komputerach bez monitu UAC. W związku z tym złośliwe oprogramowanie zaprojektowane specjalnie do tego celu może zainfekować całą domenę (a następnie zainfekować komputer lokalny za pomocą innego komputera zdalnego) bez wyświetlania monitu UAC.
Monstieur

Odpowiedzi:

25

„Najlepsza praktyka” zazwyczaj dyktuje LPU (najmniej uprzywilejowany użytkownik) ... ale masz rację (podobnie jak ETL i Joe, więc +1), że ludzie rzadko stosują ten model.

Większość zaleceń należy robić tak, jak mówisz ... utwórz 2 konta i nie udostępniaj ich innym osobom. Jedno konto nie powinno mieć uprawnień administratora nawet na lokalnej stacji roboczej, której używasz w teorii, ale znowu kto przestrzega tej zasady, szczególnie w przypadku UAC w dzisiejszych czasach (które teoretycznie powinny być włączone).

Istnieje jednak wiele czynników, dlaczego chcesz wybrać tę trasę. Musisz uwzględnić bezpieczeństwo, wygodę, politykę korporacyjną, ograniczenia regulacyjne (jeśli istnieją), ryzyko itp.

Utrzymanie Domain Adminsi Administratorspoziomie domeny grupy ładny i czysty, z minimalnymi kont jest zawsze dobrym pomysłem. Ale nie udostępniaj wspólnych kont administratora domeny, jeśli możesz tego uniknąć. W przeciwnym razie istnieje ryzyko, że ktoś coś zrobi, a następnie wskaże palcem między administratorami „to nie ja użyłem tego konta”. Lepiej mieć indywidualne konta lub skorzystać z czegoś takiego jak CyberArk EPA, aby dokonać prawidłowej kontroli.

Również w tych wierszach Schema Adminsgrupa powinna być PUSTA, chyba że wprowadzasz zmiany w schemacie, a następnie wkładasz konto, wprowadzasz zmiany i usuwasz konto. To samo można powiedzieć Enterprise Adminszwłaszcza w modelu z jedną domeną.

NIE należy również zezwalać na dostęp do sieci kont uprzywilejowanych do sieci VPN. Skorzystaj ze zwykłego konta, a następnie podnieś go w miarę potrzeb, gdy znajdziesz się w środku.

Wreszcie, powinieneś użyć SCOM lub Netwrix lub innej metody do audytu każdej uprzywilejowanej grupy i powiadomić odpowiednią grupę w IT za każdym razem, gdy zmieni się którykolwiek z członków tej grupy. To da ci głowę do powiedzenia: „poczekaj chwilę, dlaczego tak i tak nagle Administrator domeny?” itp.

Pod koniec dnia jest powód, który nazywa się „Najlepszą praktyką”, a nie „Tylko praktyką” ... są możliwe do zaakceptowania wybory dokonywane przez grupy IT na podstawie ich własnych potrzeb i filozofii w tym zakresie. Niektórzy (jak powiedział Joe) są po prostu leniwi ... podczas gdy inni po prostu nie dbają o to, ponieważ nie są zainteresowani zatkaniem jednej dziury w bezpieczeństwie, gdy są już setki i codzienne pożary do walki. Jednak teraz, gdy już to wszystko przeczytałeś, uważaj się za jednego z tych, którzy będą walczyć w dobrej walce i zrobią wszystko, aby zapewnić bezpieczeństwo. :)

Referencje:

http://www.microsoft.com/en-us/download/details.aspx?id=4868

http://technet.microsoft.com/en-us/library/cc700846.aspx

http://technet.microsoft.com/en-us/library/bb456992.aspx

TheCleaner
źródło
Najmniejszy przywilej dotyczy głównie kont innych niż administracyjne. Separacja poświadczeń nie pomaga, przynajmniej z perspektywy prywatnej, jeśli kredyt jest używany w brudnym systemie zagrożonym przez kredyt o niższej uprzywilejowanej pozycji.
Jim B
To prawda, ale uważam, że „LPU” oznacza również udzielanie dostępu do grup uprzywilejowanych zgodnie z wymaganiami. Wiele działów IT. przyznać dostęp DA po prostu dlatego, że jest to łatwiejsze niż radzenie sobie z niezliczoną liczbą żądań dostępu.
TheCleaner
28

AFAIK, za najlepszą praktykę dla administratorów domen / sieci uważa się posiadanie standardowego konta użytkownika do logowania się na stacji roboczej w celu wykonywania rutynowych zadań „użytkownika” (e-mail, dokumentacja itp.) Oraz posiadanie nazwanego konta administracyjnego, które ma odpowiednie członkostwo w grupie, aby umożliwić im wykonywanie zadań administracyjnych.

Jest to model, który staram się stosować, chociaż trudno go wdrożyć, jeśli istniejący personel IT nie jest przyzwyczajony do robienia tego w ten sposób.

Osobiście, jeśli znajdę personel IT, który niechętnie idzie w tym kierunku, jestem zdania, że ​​są albo leniwi, niedoświadczeni, albo nie rozumieją praktyki administrowania systemem.

joeqwerty
źródło
12

Jest to najlepsza praktyka ze względów bezpieczeństwa. Jak wspomnieli inni, zapobiega to przypadkowemu działaniu lub narażeniu się na niebezpieczeństwo podczas przeglądania sieci. Ogranicza także szkody, jakie może wyrządzić osobiste przeglądanie - najlepiej, że codzienna praca nie powinna mieć nawet uprawnień administratora lokalnego, a tym bardziej administratora domeny.

Niezwykle przydatny jest również sposób przeciwdziałania przejęciu przechwyconych tokenów uwierzytelniania Hash lub Windows. ( Przykład ) Prawidłowy test penetracji łatwo to udowodni. Mianowicie, gdy atakujący uzyska dostęp do lokalnego konta administratora, wykorzysta tę moc do migracji do procesu z tokenem administratora domeny. Następnie skutecznie mają te moce.

Jeśli chodzi o przykład osób, które tego używają, moja firma to robi! (200 osób, zespół 6 osób) W rzeczywistości nasi administratorzy domen mają -Trzy- konta. Jeden do codziennego użytku, drugi do administrowania / instalowania oprogramowania na komputerze. Trzeci to konta administratora domeny i służy wyłącznie do administrowania serwerami i domeną. Gdybyśmy chcieli być bardziej paranoiczni / bezpieczni, czwarta prawdopodobnie byłaby w porządku.

Christopher Karel
źródło
Trzy konta ... ciekawe ... muszę wziąć pod uwagę, że w związku ze zbliżającą się zmianą domeny w mojej firmie ...
pepoluan
1
Tak samo w mojej firmie. Zwykłe konto pulpitu, konto administratora do lokalnego dostępu administratora na komputerach klienckich ORAZ osobne konto administratora serwera. Oba konta administratora nie otrzymują wiadomości e-mail ani dostępu do Internetu. Jedynym problemem jest to, że konto serwer-administrator potrzebuje lokalnych uprawnień administratora na stacji roboczej, w przeciwnym razie UAC zakłóca lokalne uruchomienie MMC z RunA jako kontem serwer-administrator. (Może korzystać z RDP na serwerze i uruchamiać wszystko stamtąd, ale czasami utrudnia to kopiowanie / wklejanie lub porównywanie z danymi działającymi na koncie stacjonarnym.)
Tonny
Udało nam się całkiem dobrze, mając naszych administratorów domeny RDP na serwerze w celu zarządzania nimi. Kopiowanie i wklejanie działa bardzo dobrze w RDP. I na tym jednym serwerze są już zainstalowane wszystkie nasze narzędzia do zarządzania. Ale powiedziawszy to ... Wierzę, że grupa Administratorów Domeny ma domyślnie lokalne uprawnienia administratora. Po prostu wolę, aby te poświadczenia nigdy nie dotykały komputerów stacjonarnych, aby zapobiec kradzieży tokenów itp.
Christopher Karel
8

W mojej poprzedniej firmie nalegałem, aby wszyscy administratorzy systemu mieli 2 konta, tj .:

  • DOMENA \ st19085
  • DOMENA \ st19085a („a” dla administratora)

Koledzy początkowo byli niechętni, ale stało się to ogólną zasadą, po tym, jak typowe pytanie o zagrożenie wirusowe „mamy antywirusa” zostało zdemaskowane przez nieaktualną bazę danych wirusów ...

  • Jak wspomniałeś, można użyć polecenia RUNAS (kiedyś miałem skrypt wsadowy, prezentując własne menu, uruchamiając określone zadania za pomocą polecenia RUNAS).

  • Inną rzeczą jest użycie Microsoft Management Console , możesz zapisać potrzebne narzędzia i uruchomić je prawym przyciskiem myszy , Uruchom jako ... i swoje konto administratora domeny.

  • Ostatnim, ale nie najmniej ważnym, było uruchamianie powłoki PowerShell jako Domain Admin i uruchamianie rzeczy, których potrzebowałem stamtąd.
Camille Le Mouëllic
źródło
6
Zasadniczo jest to implementacja, z której korzystałem (i wymuszałem na wszystkich) wszędzie tam, gdzie miałem coś do powiedzenia. Logujesz się do komputera i wykonujesz codzienne zadania jak zwykły użytkownik, tak jak wszyscy inni. Gdy potrzebujesz uprawnień administratora, ty Run As/ Run as Administratori korzystasz z konta użytkownika administracyjnego. Samo używanie jednego konta do wszystkiego to zła praktyka bezpieczeństwa, a z mojego doświadczenia wynika, że ​​ludzie, którzy się temu sprzeciwiają, to ludzie, którzy najbardziej muszą być odizolowani od prowadzenia wszystkiego jako administrator.
HopelessN00b
+1 świetna obserwacja @ HopelessN00b: „ludzie, którzy się sprzeciwiają, to ludzie, którzy najbardziej powinni być odizolowani od prowadzenia wszystkiego jako administrator”
mr.b
Właściwie powinieneś używać osobnej stacji roboczej, która została zablokowana do uruchamiania tylko administratora
Jim B
4

Pracowałem w miejscach, które robią to w obie strony i ogólnie wolę mieć osobne konto. W rzeczywistości jest to o wiele łatwiejsze, w przeciwieństwie do tego, co sądzą niechętni użytkownicy / klienci joeqwerty:

Plusy korzystania ze zwykłego, codziennego konta do działań administratora domeny: Tak, wszystkie narzędzia administracyjne działają na mojej stacji roboczej bez run! W00t!

Wady korzystania ze zwykłego, codziennego konta do działań administratora domeny: Strach. ;) Technologia pulpitu prosi o spojrzenie na maszynę, ponieważ on nie może dowiedzieć się, co jest z nią nie tak, logujesz się, ma wirusa. Odłącz kabel sieciowy, zmień hasło (gdzie indziej). Gdy menedżerowie zapytają Cię, dlaczego nie dostaniesz służbowego adresu e-mail na swój osobisty telefon BlackBerry przez dostawcę telefonu komórkowego, możesz wyjaśnić, że przechowują one Twoje hasło DOMAIN ADMIN na swoich serwerach. Itd., Itp. Twoje wysoce uprzywilejowane hasło jest używane do takich rzeczy jak ... webmail, VPN, logowanie na tej stronie. (Ew.) (Aby być uczciwym, moje konto zostało zablokowane na stronie „zmień hasło”, więc przynajmniej tak było. Gdybym chciał zmienić moje stare hasło LDAP, które strona zsynchronizowała, musiałbym iść do biurka współpracownika.)

Plusy używania innego konta do działań administratora domeny: Zamiar. To konto jest przeznaczone do narzędzi administracyjnych itp., A nie do poczty e-mail, poczty internetowej, VPN, loginów do stron internetowych itp. Więc mniej obawiaj się, że moje normalne działania „użytkowników” narażają całą domenę na ryzyko.

Wady korzystania z innego konta do działań administratora domeny: muszę używać run dla narzędzi administracyjnych. To po prostu nie jest tak bolesne.

Wersja TL; DR: Posiadanie osobnego konta jest po prostu łatwiejsze. Jest to również najlepsza praktyka, ponieważ jest to najmniej niezbędny przywilej .

Katherine Villyard
źródło
2

Najmniejszy Priv powinien być wystarczającym powodem, ale jeśli tak nie jest, należy również wziąć pod uwagę, że jeśli korzystasz z konta z takimi samymi uprawnieniami jak użytkownicy, istnieje większe prawdopodobieństwo, że napotkają oni wszelkie problemy, które robią - i możesz je debugować na swoim koncie też - często zanim jeszcze je zobaczą!

Nic gorszego niż administrator, który mówi „to działa dla mnie” i zamyka bilet :)

Tom Newton
źródło
+1 za rozpoznanie, że codzienne korzystanie z konta na poziomie użytkownika poprawia skuteczność rozwiązywania problemów.
Mówię: Przywróć Monikę
1

Ogólnie rzecz biorąc, najlepiej nie używać logowania administratora na co dzień. Istnieje wiele powodów, takich jak wirusy - jeśli dostaniesz wirusa i uruchomisz logowanie administratora domeny, wirus ma łatwy sposób na uzyskanie dostępu do sieci, pełny dostęp! Możliwe błędy są łatwiejsze do naprawienia, ale nie uważam tego za największe wyzwanie. Jeśli obchodzisz kampus i logujesz się z najwyższym administratorem, ktoś może patrzeć ci przez ramię w poszukiwaniu hasła. Wszelkiego rodzaju rzeczy tego typu.

Ale czy to jest praktyczne? Trudno mi przestrzegać tej zasady, ale chciałbym ją przestrzegać.

ETL
źródło
0

dodając moje 2 centy na podstawie rzeczywistych doświadczeń.

Świadomość i korzystanie z konta administratora do codziennej pracy sprawia, że ​​jesteś bardzo ostrożny we wszystkim, co robisz. więc nie wystarczy kliknąć e-mail / link ani uruchomić żadnych aplikacji bez potrójnego sprawdzania. myślę, że trzyma cię to na palcach.

korzystanie z konta o najmniejszych uprawnieniach do codziennej pracy czyni jedno nieostrożnym.

badbanana
źródło
To ładna teoria, ale z mojego doświadczenia nie działa (przynajmniej nie dla wszystkich). Widziałem kolegów, którzy przez pomyłkę usuwają ogromne ilości danych z systemów produkcyjnych (wystarczy puste miejsce w niewłaściwym miejscu w wierszu poleceń).
Gerald Schneider,
nie teorię, praktykujemy ją tutaj ;-) z mojego doświadczenia wynika, że ​​weryfikujesz osoby, którym przyznasz takie przywileje, a nie tylko przekazujesz je na prośbę.
badbanana,