Czy powinienem mieć wiele kont administratora domeny?

Pracuję w małej organizacji z 2 serwerami i 30 klientami. Jesteśmy całkowicie Windows Server 2003 / XP. Oprócz mnie dyrektor operacyjny i nasza firma konsultingowa ds. IT potrzebują dostępu do konta administratora domeny.

Czy powinniśmy mieć wiele kont administratora domeny z jakiegokolwiek powodu (zmiana rejestrowania, bezpieczeństwa lub w inny sposób)? Czy istnieją powody, by nie mieć wielu kont administratora domeny?

Każdy użytkownik wykonujący czynności administracyjne powinien mieć dedykowane konto do wykonywania tych czynności. W środowisku Windows wbudowane konto administratora (RID 500) powinno mieć złożone hasło ustawione, wydrukowane i zamknięte w sejfie itp. Na wypadek awarii.

Ogólna zasada bezpieczeństwa wygląda następująco: Chcesz wiedzieć, kto wykonuje, które (administracyjne, w tym przypadku) działania (tj. Posiadanie ścieżki audytu. Udostępnianie kont wyrzuca to z wody.

Co więcej, chcesz mieć możliwość odcięcia dostępu danej osoby w przypadku naruszenia bezpieczeństwa hasła, rozwiązania umowy itp. Konta wspólne również nie spełniają tych kryteriów.

Współdzielone, powszechne konta dowolnego typu powinny być uważane za wysoce wątpliwe pod względem wartości, ale poświadczenia administracji dzielonej są zawsze złe.

Odp .: Uwagi dotyczące systemu Windows, takie jak ograniczone połączenia pulpitu zdalnego / usług terminalowych: bądź uprzejmy dla innych administratorów i nie pozostawiaj rozczłonkowanych sesji. Przekonałem się, że presja społeczna działa dość dobrze w małych organizacjach (tj. Często i głośno wspominając fakt, że administrator XXX nie pamięta, aby wylogować się z serwerów). Zawsze możesz uruchomić rozłączone sesje innych użytkowników, jeśli naprawdę musisz. Dodaje to może 30 sekund do próby połączenia. W większej organizacji lub jeśli stanie się to poważnym problemem, możesz rozważyć wdrożenie limitów czasu rozłączonej sesji.

Trochę na bok, ale prawdopodobnie temat na ten temat, skoro wspomniałeś o konsultantach IT: sam jako wykonawca IT zawsze żądam dla siebie dedykowanego konta administracyjnego i wymagam, aby nie znać żadnych „wspólnych” poświadczeń administracyjnych. Chroni obie strony i zapewnia ścieżkę audytu. Zawsze chcę, aby moi klienci czuli, że mogą mnie „zablokować” w mgnieniu oka (i faktycznie też mieć tę umiejętność), ponieważ uważam, że wysyła to mocne przesłanie, że jestem przekonany o mojej zdolności do utrzymywania relacji z są oparte na zaletach moich umiejętności i wartości, które dostarczam, a nie na jakimś niejasnym odczuciu, że są dla mnie „zamknięte”.

Jednym z powodów, dla których nie ma wielu kont:
jeśli administrujesz wszystkim za pomocą pulpitu zdalnego, możesz mieć do nich limit. Jeśli ludzie po prostu zamkną sesję pulpitu zdalnego bez wylogowania, zostaną szybko przywiązani.

Powód posiadania wielu kont:
Możesz zobaczyć, kto był zalogowany, gdy coś złego się stanie. Naprawdę jednak, jeśli masz dobre środowisko zespołowe, ktokolwiek coś zrobił, po prostu się do tego przyzna.

Odpowiedź Evana jest dobra. Pamiętaj również, że nie powinieneś używać swojego konta administratora do codziennej pracy - zawsze uruchamiaj polecenia administratora z runami lub podobnymi, jeśli uruchamiasz coś bezpośrednio na stacji roboczej.

W przypadku kont usług można również wyłączyć logowanie interaktywne, aby zwiększyć ich bezpieczeństwo.

Ostatni punkt: upewnij się, że włączasz inspekcję bezpieczeństwa na swoich serwerach i upewnij się, że dziennik zdarzeń bezpieczeństwa jest wystarczająco duży (zwykle ustawiam go na 20 MB lub więcej)