Рекомендуется ли иметь отдельный логин для домена для администраторов домена?

Обычно я хотел бы настроить отдельные учетные записи для себя, один с обычными правами доступа пользователя, и отдельный для административных задач. Например, если домен был XXXX, я бы создал учетную запись XXXX \ bpeikes и XXXX \ adminbp. Я всегда делал это, потому что, честно говоря, я не доверяю себе, чтобы войти в систему в качестве администратора, но в каждом месте, где я работал, системные администраторы, кажется, просто добавляют свои обычные учетные записи в группу администраторов домена.

Есть ли лучшие практики? Я видел статью от MS, в которой говорится, что вы должны использовать Run As, а не входить в систему как администратор, но они не дают пример реализации, и я никогда не видел, чтобы кто-то другой делал это.

«Лучшая практика» обычно диктует LPU (наименее привилегированный пользователь) ... но вы правы (как ETL и Джо, так что +1), что люди редко следуют этой модели.

Большинство рекомендаций делать, как вы говорите ... создать 2 учетные записи и не делиться этими учетными записями с другими. У одной учетной записи не должно быть прав администратора даже на локальной рабочей станции, которую вы используете в теории, но опять же, кто следует этому правилу, особенно с UAC в наши дни (который теоретически должен быть включен).

Есть несколько факторов, почему вы хотите пойти по этому пути, хотя. Вы должны учитывать безопасность, удобство, политику корпорации, нормативные ограничения (если есть), риск и т. Д.

Сохранение Domain Adminsи на Administratorsуровне домена группы красивым и чистым с минимальными счетами всегда хорошая идея. Но не просто делитесь общими учетными записями администратора домена, если вы можете избежать этого. В противном случае есть риск, что кто-то что-то сделает, а затем будет указывать пальцем между сисадминами: «Это не я использовал эту учетную запись». Лучше иметь отдельные учетные записи или использовать что-то вроде CyberArk EPA для правильной проверки.

Также в этих строках ваша Schema Adminsгруппа всегда должна быть ПУСТОЙ, если вы не вносите изменения в схему, а затем вводите учетную запись, вносите изменения и удаляете учетную запись. То же самое можно сказать, Enterprise Adminsособенно в модели с одним доменом.

Вы также не должны разрешать привилегированные учетные записи для VPN в сети. Используйте обычную учетную запись, а затем поднять как требуется один раз внутри.

Наконец, вы должны использовать SCOM или Netwrix или какой-либо другой метод для аудита любой привилегированной группы и уведомлять соответствующую группу в ИТ-отделе, когда кто-либо из членов этой группы изменился. Это заставит вас сказать: «Подожди минутку, почему так и так внезапно администратор домена?» и т.п.

В конце концов, есть причина, по которой она называется «Лучшая практика», а не «Только практика» ... ИТ-группы принимают приемлемые решения, основанные на их собственных потребностях и философии. Некоторые (как сказал Джо) просто ленивы ... в то время как другим просто все равно, потому что они не заинтересованы в том, чтобы закрыть одну дыру в безопасности, когда есть сотни и ежедневные пожары, чтобы бороться. Однако теперь, когда вы прочитали все это, считайте себя одним из тех, кто будет сражаться в хорошей борьбе и сделает все возможное, чтобы обеспечить безопасность. :)

Ссылки:

http://www.microsoft.com/en-us/download/details.aspx?id=4868

http://technet.microsoft.com/en-us/library/cc700846.aspx

http://technet.microsoft.com/en-us/library/bb456992.aspx

AFAIK, для администраторов домена / сети рекомендуется иметь стандартную учетную запись пользователя для входа на свою рабочую станцию ​​для выполнения рутинных «пользовательских» задач (электронная почта, документация и т. Д.) И иметь именованную административную учетную запись, которая имеет соответствующую членство в группах, позволяющее им выполнять административные задачи.

Это модель, которой я стараюсь следовать, хотя ее трудно реализовать, если существующий ИТ-персонал не привык делать это таким образом.

Лично, если я найду ИТ-персонал, который не хочет двигаться в этом направлении, я считаю, что они либо ленивы, либо неопытны, либо не понимают практики системного администрирования.

Это лучшая практика по соображениям безопасности. Как уже упоминали другие, это предотвращает случайные действия или компрометацию при просмотре сети. Это также ограничивает ущерб, который может нанести ваш персональный просмотр - в идеале, ваша повседневная работа не должна даже иметь привилегий локального администратора, а тем более администратора домена.

Кроме того, невероятно полезно противостоять угонщикам Pass Hash или Windows. ( Пример ) Правильный тест на проникновение докажет это легко. А именно, как только злоумышленник получит доступ к локальной учетной записи администратора, он будет использовать эту возможность для миграции в процесс с токеном администратора домена. Тогда они действительно имеют эти полномочия.

Что касается примера людей, использующих это, моя компания делает! (200 человек, команда из 6 человек) На самом деле, у наших администраторов доменов есть -THREE- учетные записи. Один для повседневного использования, один для администрирования ПК / локальной установки программного обеспечения. Третий - это учетные записи администратора домена, которые используются исключительно для администрирования серверов и домена. Если бы мы хотели быть более параноидальными / безопасными, четвертый, вероятно, был бы в порядке.

В моей бывшей компании я настаивал на том, что все системные администраторы получили 2 учетных записи, а именно:

• Домен \ st19085
• ДОМЕН \ st19085a («а» для администратора)

Сначала коллеги отказывались, но это стало практическим правилом после того, как типичный вопрос об угрозе вируса «мы получили антивирус» был разоблачен устаревшей вирусной базой ...

• Как вы упомянули, можно использовать команду RUNAS (у меня был пакетный скрипт, представляющий пользовательское меню, запускающий определенные задачи с помощью команды RUNAS).

• Еще одна вещь - это использование консоли управления Microsoft , вы можете сохранить необходимые инструменты и запустить их с помощью щелчка правой кнопкой мыши , Запуск от имени ... и вашей учетной записи администратора домена.

• Последнее, но не менее важное, я использовал для запуска оболочки PowerShell от имени администратора домена и запуска необходимого для этого материала.

Я работал в местах, которые делают это обоими способами, и обычно предпочитают иметь отдельный аккаунт. На самом деле все намного проще, вопреки тому, что неохотные пользователи / клиенты joeqwerty, похоже, думают:

Плюсы использования вашей обычной, повседневной учетной записи для действий администратора домена: Yay, все инструменты администрирования работают на моей рабочей станции без runas! W00t!

Минусы использования вашего обычного ежедневного аккаунта для действий администратора домена: Страх. ;) Настольный техник просит вас посмотреть на компьютер, потому что он не может понять, что с ним не так, вы входите, на нем есть вирус. Отключите сетевой кабель, измените пароль (где-то еще). Когда менеджеры спрашивают вас, почему вы не получаете свою рабочую электронную почту на свой персональный blackberry через своего оператора сотовой связи, вы получаете объяснение, что они сохраняют ваш пароль DOMAIN ADMIN на своих серверах, когда вы делаете это. И т. Д., И т. Д. Ваш высоко привилегированный пароль используется для таких вещей, как ... веб-почта, vpn, войдите на эту веб-страницу (Ew.) (Честно говоря, моя учетная запись была заблокирована с веб-страницы «изменить пароль», поэтому, по крайней мере, это произошло. Если бы я хотел изменить свой старый пароль LDAP, который синхронизировал веб-страницу, мне пришлось бы перейти на рабочий стол сотрудника.)

Плюсы использования другой учетной записи для действий администратора домена: Намерение. Эта учетная запись предназначена для административных инструментов и т. Д., А не для электронной почты, веб-почты, vpn, логинов веб-страниц и т. Д. Таким образом, меньше опасайтесь, что мои обычные действия "пользователя" подвергают риску весь домен.

Минусы использования другой учетной записи для действий администратора домена: мне нужно использовать runas для административных инструментов. Это просто не так больно.

Версия TL; DR: иметь отдельный аккаунт просто проще. Это также лучшая практика, так как это наименее необходимая привилегия .

Least Priv должна быть достаточной причиной, но в противном случае также учтите, что если вы используете учетную запись с теми же разрешениями, что и у ваших пользователей, вы, скорее всего, столкнетесь с любыми проблемами, которые они делают, - и вы сможете отладить их в своей учетной записи. слишком часто, прежде чем они даже увидели их!

Нет ничего хуже, чем администратор, который говорит «это работает для меня» и закрывает билет :)

Во всей теории, лучше всего, чтобы вы не использовали высокодоступный вход в систему администратора для своей повседневной деятельности. Существует множество причин, таких как вирусы: если у вас есть вирус и вы выполняете вход в систему администратора домена, то у вируса есть простой способ получить доступ к вашей сети, полный доступ! Возможные ошибки легче сделать наверняка, но я не считаю это самой большой проблемой. Если вы обойдете свой кампус и войдете в систему со своим главным администратором, возможно, кто-то перебирает ваш пароль через ваше плечо. Все подобные вещи.

Но практично ли это? Мне трудно следовать этому правилу, но я бы хотел следовать ему.

добавив мои 2 цента на основе фактического опыта ..

знание и знание того, что вы используете учетную запись администратора для своей повседневной работы, заставляет вас очень осторожно относиться к тому, что вы делаете. так что вы не просто нажимаете на электронную почту / ссылку или просто запускаете приложения без тройной проверки. Я думаю, что это держит тебя в тонусе.

использование учетной записи с наименьшими привилегиями для повседневной работы делает человека небрежным.