Плохо все время входить в систему как администратор?

20

В офисе, где я работаю, трое других ИТ-специалистов все время заходят на свои компьютеры с учетными записями, входящими в группу администраторов домена.

У меня есть серьезные опасения по поводу входа в систему с правами администратора (локальные или для домена). Таким образом, для повседневного использования компьютера я использую учетную запись с обычными привилегиями пользователей. У меня также есть другая учетная запись, которая является частью группы администраторов домена. Я использую эту учетную запись, когда мне нужно сделать что-то, требующее повышенных привилегий на моем компьютере, одном из серверов или на компьютере другого пользователя.

Какова лучшая практика здесь? Должны ли сетевые администраторы постоянно входить в систему с правами на всю сеть (или даже на свой локальный компьютер)?

windows security best-practices совать
источник
Я всегда думал, что это глупо. Я никогда не слышал ни одной веской причины сделать это. Возможно предоставление ограниченных учетных записей родителям в Windows, но мы говорим о нашем использовании учетных записей
Когда-нибудь ребенок бегал, щелкая мышью на своих компьютерах? Как насчет случайного удаления основной папки с данными вместо папки mp3.
Barfieldmv
1
кто-то, пожалуйста, добавьте тег "windows" к этому вопросу
JoelFan
@ Barfieldmv, этот вопрос касается рабочей среды, а не компьютера в вашей гостиной. Дети не должны находиться рядом с ним, и случайные удаления могут быть восстановлены из резервных копий.
Джон Гарденерс

Ответы:

36

Абсолютная лучшая практика - Live User, Work Root . Пользователь, вошедший в систему, например, когда вы нажимаете кнопку обновления при сбое сервера каждые 5 минут, должен быть обычным пользователем. Тот, который вы используете для диагностики проблем маршрутизации Exchange, должен быть Admin. Получить такое разделение может быть сложно, так как в Windows по крайней мере требуется двойная сессия входа в систему, а это в некотором смысле означает два компьютера.

  • ВМ работают очень хорошо для этого, и вот как я это решаю.
  • Я слышал об организациях, которые ограничивают вход в свои учетные записи с повышенным уровнем доступа определенными специальными виртуальными машинами, размещенными внутри, и администраторы полагаются на RDP для доступа.
  • Контроль учетных записей помогает ограничить возможности администратора (доступ к специальным программам), но постоянные запросы могут быть такими же раздражающими, как и необходимость удаленного подключения к другой машине для выполнения того, что нужно делать.

Почему это лучшая практика? Отчасти это потому , что я так сказал , как и многие другие. SysAdminning не имеет центрального органа, который бы определял лучшие практики каким-либо определенным образом. За последнее десятилетие у нас были опубликованы рекомендации по безопасности ИТ, в которых предлагалось использовать привилегированные привилегированные права только тогда, когда они вам действительно нужны. некоторые из лучших практик устанавливаются через гештальт опыта сисадминами за последние 40 с лишним лет. Документ из LISA 1993 ( ссылка ), пример документа из SANS ( ссылка , PDF), раздел из «критических мер безопасности» SANS затрагивает эту тему ( ссылка ).

sysadmin1138
источник
6
Обратите внимание, что в Windows 7 учетная запись администратора намного более ограничена и не требует двойных сеансов входа в систему. UAC работает довольно хорошо. Это работает значительно меньше, так в Vista.
Рикет
6
@Ricket, я не согласен с комментарием о UAC, по крайней мере, для администраторов. Я отключил его на своей рабочей станции, потому что почти каждый программный продукт, который я использую, заставляет UAC запрашивать у меня разрешение. Это так раздражает и замедляет меня настолько сильно, что его позитивы сильно перевешиваются его негативами. Чтобы работать «довольно хорошо», как вы сказали, мы должны быть в состоянии сказать ему всегда разрешать или запрещать указанное программное обеспечение, но, конечно, оно не настолько гибкое. Проще говоря, это незрелая и необдуманная попытка, которая однажды может стать ценным компонентом безопасности.
Джон Гарденье
1
^ Обратите внимание, что статья TechNet, ссылка на которую приведена в предыдущем комментарии, старая, написанная до Vista (поскольку она ссылается на свое кодовое имя "Longhorn"). Но для пользователей XP это очень актуально. @ Джон Я думаю, пробег у всех разный, но я никогда не получаю всплывающие окна UAC и использую довольно много программного обеспечения. Единственное исключение - инсталляторы (duh) и надоедливый Java-апдейтер. Vista была намного хуже, поэтому, если вы не попробовали UAC после Windows 7, я определенно рекомендую включить его, в противном случае, я думаю, вы просто используете устаревшее / плохо написанное программное обеспечение. Практически не каждый программный продукт запрашивает разрешение администратора ...
Ricket
1
@Ricket, мы явно используем совсем другое программное обеспечение. Я представляю, что мы также выполняем очень разные задачи. То, что ПО, которое ВЫ используете, не вызывает UAC, не означает, что это относится к программному обеспечению, используемому другими. По мере приобретения опыта вы будете изучать эти вещи. То, что я сказал, это факт. Почему вы это ставите под сомнение?
Джон Гарденье
1
@Keith Stokes: Что вы сделали с бедным PuTTY, чтобы он попросил вас ввести UAC? PuTTY не нуждается в возвышении, чтобы бежать!
Эван Андерсон
12

Поскольку это домен Windows, вероятно, учетные записи, которые они используют, имеют полный сетевой доступ ко всем рабочим станциям, поэтому, если случится что-то плохое, это может произойти через сеть за считанные секунды. Первый шаг - убедиться, что все пользователи выполняют повседневную работу, работают в Интернете, пишут документы и т. Д. В соответствии с принципом доступа наименьшего пользователя .

Моя практика заключается в том, чтобы создать учетную запись домена и предоставить этой учетной записи права администратора на всех рабочих станциях (ПК-администратор) и отдельную учетную запись домена для работы администратора сервера (сервер-администратор). Если вы обеспокоены тем, что ваши серверы могут общаться друг с другом, вы можете иметь отдельные учетные записи для каждого компьютера (<x> -admin, <y> -admin). Обязательно попробуйте использовать другую учетную запись для запуска заданий администратора домена.

Таким образом, если вы делаете что-то на скомпрометированной рабочей станции с учетной записью ПК-администратора, и это дает вам шанс получить привилегии администратора, чтобы попытаться подключиться к другим компьютерам по сети, вы ничего не сможете сделать. противно вашим серверам. Наличие этой учетной записи также означает, что она ничего не может сделать с вашими личными данными.

Я должен сказать, однако, что в одном месте я знаю, где сотрудники работали с принципами LUA, у них не было надлежащего заражения вирусом в течение трех лет, которые я видел; в другом отделе того же места, в котором работали все сотрудники с локальным администратором и ИТ-специалистами с администратором сервера, было несколько вспышек, одна из которых заняла неделю ИТ-ресурсов для очистки из-за распространения инфекции по сети.

Настройка занимает некоторое время, но потенциальная экономия огромна, если вы столкнулись с проблемами.

Йен Халлам
источник
Я веду себя так и использую учетную запись домена для повседневной работы, а при необходимости повышаю до своей учетной записи привилегированного администратора. Другие мои коллеги смеются надо мной, и я не могу дождаться, когда их рабочие станции повлияют на что-нибудь неприятное, поэтому я могу сказать, что сказал вам об этом.
songei2f
1

Отдельные учетные записи для отдельных задач - лучший способ посмотреть на это. Принцип наименьшей привилегии - название игры. Ограничьте использование учетных записей «admin» задачами, которые необходимо выполнить как «admin».

Liam
источник
1

Мнения несколько различаются между Windows и * nix, но ваше упоминание администраторов домена заставляет меня думать, что вы говорите о Windows, так что это контекст, в котором я отвечаю.

На рабочей станции вам обычно не нужно быть администратором, поэтому ответ на ваш вопрос в большинстве случаев будет НЕТ. Однако есть множество исключений, и это действительно зависит от того, что именно человек делает на машине.

На сервере это тема многих споров. Мое собственное мнение состоит в том, что я только захожу на сервер, чтобы выполнять работу администратора, поэтому не имеет смысла входить в систему как пользователь, а затем запускать каждый отдельный инструмент, используя run-as, что, откровенно говоря, всегда было настоящей болью в большинстве случаев это просто усложняет жизнь администратора и отнимает много времени. Поскольку большая часть работы администратора Windows выполняется с помощью инструментов графического интерфейса, существует некоторая степень безопасности, которой нет, скажем, у администратора Linux, работающего в командной строке, где простая опечатка может отправить его на поиски ленты для резервного копирования прошлой ночью.

Джон Гарденье
источник
+1, «Что вы входите в систему как на сервере» является большой темой дискуссии.
sysadmin1138
1

моя жизнь проста ... учетная запись имеет отличительное имя, и все имеют разные пароли.

Учетная запись Бога - администратор домена, чтобы сделать всю работу на стороне сервера

Учетная запись demigod для администрирования ПК - не имеет прав на общие ресурсы / серверы - только на ПК

слабый пользователь - я даю себе опытный пользователь на своем собственном ПК, но у меня даже нет этих прав на других ПК

Причины разлуки много. не должно быть никаких аргументов, просто сделай это!

cwheeler33
источник
Мне нравится разделение привилегий на трех уровнях, но заставлять других практиковать то, что вы проповедуете, должно быть головной болью.
songei2f
Это может быть трудно продать в некоторых условиях. Но если вы сможете проявить себя перед политиками, то они помогут вам сделать это в соответствии с политикой. Ни один Exec не хочет потерять свою компанию, когда существует бесплатное и простое решение.
cwheeler33
Вы забыли # 4: аудит пользователя, которому бог регистрирует, который в противном случае независим от всех других учетных записей. Так что, если какой-нибудь хакер заставит вашего бога стать мстительным, вы знаете, как это произошло.
Парфянский выстрел
0

Я должен сказать, что рискуя быть отданным за голос в ад, это зависит от рабочего процесса администратора. Лично для меня подавляющему большинству дел, которые я делаю на своей рабочей станции во время работы, потребуются эти учетные данные администратора. У вас есть встроенные средства, такие как инструменты управления доменом, сторонние консоли управления, подключенные диски, инструменты удаленного доступа из командной строки, сценарии и т. Д. Этот список можно продолжить. Необходимость вводить учетные данные практически для каждой открываемой вещи - это кошмар.

Единственными вещами, которые обычно не нужны администраторам, являются мой веб-браузер, почтовый клиент, IM-клиент и программа просмотра PDF. И большинство из этих вещей остаются открытыми с момента входа в систему и до момента выхода из системы. Поэтому я вхожу с учетными данными администратора, а затем запускаю все свои приложения с низким уровнем привилегий и учетной записью с низким уровнем прав доступа. Это намного меньше хлопот, и я не чувствую себя менее защищенным для этого.

Райан Болджер
источник
запуск с низкой привилегией на самом деле мало что делает для безопасности, так как система уже работает с учетной записью администратора. Вы дали себе ложное чувство безопасности. Сделайте это наоборот, войдите как пользователь, затем запустите от имени администратора. Дайте себе опытного пользователя для входа в систему, если хотите, НО Пожалуйста, НЕ БУДЬТЕ РАБОТАТЬ КАК ADMIN все время.
Лиам
+1 Как я сказал в своем ответе, «это действительно зависит от того, что именно человек делает на машине». Несмотря на всю теорию и так называемую «лучшую практику», бывают случаи, когда просто логично входить в систему как пользователь. По крайней мере, не в мире Windows.
Джон Гарденье
Я почти уверен, что в Windows 7 нет прав
опытных
@Liam Не обижайся, но ты ошибаешься, говоря, что RunAs с низкой привилегией мало что делают. Он делает именно то, что должен, что не позволяет этому конкретному процессу (и его дочерним элементам) делать что-либо с повышенными привилегиями. И это идеально подходит для приложений, которые никогда не нуждаются в повышенных привилегиях и, как правило, наиболее уязвимы для вредоносных программ.
Райан Болджер