Чи найкращі практики мати окремий вхід для домену для адміністраторів домену?

Я, як правило, люблю налаштовувати окремі входи для себе, один із регулярними дозволами користувача та окремий для адміністративних завдань. Наприклад, якщо домен був XXXX, я створив би XXXX \ bpeikes та XXXX \ adminbp. Я завжди робив це, тому що відверто кажучи, я не довіряю собі ввійти в систему як адміністратор, але в кожному місці, де я працював, системні адміністратори, здається, просто додають свої звичайні облікові записи до групи адміністраторів домену.

Чи є найкращі практики? Я бачив статтю з MS, яка, схоже, говорить про те, що ви повинні використовувати Run As, а не входити в систему як адміністратор, але вони не дають приклад реалізації, і я ніколи не бачив, щоб хтось це робив.

"Найкраща практика" зазвичай диктує LPU (найменш привілейований користувач) ... але ви праві (як ETL і Joe так +1), що люди рідко дотримуються цієї моделі.

Більшість рекомендацій - робити так, як ви кажете ... створити 2 акаунти, а не ділитися цими обліковими записами з іншими. Один обліковий запис не повинен мати прав адміністратора навіть на локальній робочій станції, яку ви використовуєте теоретично, але знову ж таки, хто дотримується цього правила, особливо з UAC в наші дні (що теоретично має бути включено).

Існує кілька факторів, чому ви хочете пройти цей маршрут. Ви повинні враховувати безпеку, зручність, корпоративну політику, регуляторні обмеження (якщо такі є), ризик тощо.

Підтримувати групи Domain Adminsта Administratorsрівні домену красивими та чистими з мінімальними обліковими записами - це завжди хороша ідея. Але не просто діліться загальними обліковими записами адміністратора домену, якщо ви можете цього уникнути. Інакше є ризик того, що хтось щось зробить, а потім пальцем вкаже між сисадмінами "це я не використовував цей рахунок". Краще мати індивідуальні акаунти або використовувати щось на зразок CyberArk EPA, щоб перевірити його правильно.

Крім того, у цих рядках ваша Schema Adminsгрупа завжди повинна бути ВИПУСКОВОЮ, якщо ви не вносите зміни до схеми, а потім внесете обліковий запис, внесете зміни та вилучите обліковий запис. Те саме можна сказати, Enterprise Adminsособливо для однієї доменної моделі.

Ви також НЕ повинні дозволити привілейовані облікові записи до VPN в мережі. Скористайтеся звичайним рахунком, а потім підніміть, як потрібно один раз всередину.

Нарешті, ви повинні використовувати SCOM, Netwrix або інший метод для аудиту будь-якої привілейованої групи та повідомляти відповідну групу в ІТ, коли хтось із членів цієї групи змінився. Це дасть вам голову сказати "почекай хвилинку, чому так і так раптом Адміністратор домену?" тощо.

Зрештою, є причина, яку називають "Найкраща практика", а не "Тільки практика" ... Є прийнятні варіанти, які ІТ-групи роблять на основі власних потреб та філософії щодо цього. Деякі (як сказав Джо) просто ледачі ... а інші просто не байдужі, оскільки їм не цікаво забивати один отвір у безпеці, коли вже сотні і щодня воюють для боротьби. Однак тепер, коли ви все це прочитали, вважайте себе одним із тих, хто буде боротися з доброю боротьбою, і зробіть все можливе, щоб забезпечити безпеку. :)

Список літератури:

http://www.microsoft.com/en-us/download/details.aspx?id=4868

http://technet.microsoft.com/en-us/library/cc700846.aspx

http://technet.microsoft.com/en-us/library/bb456992.aspx

AFAIK вважає найкращою практикою для адміністраторів домену / мережі мати стандартний обліковий запис користувача для входу на свою робочу станцію для виконання звичайних завдань "користувача" (електронна пошта, документація тощо) та мати іменований адміністративний акаунт, який має відповідний членство в групі, щоб дозволити їм виконувати адміністративні завдання.

Це модель, яку я намагаюся дотримуватись, хоча її важко реалізувати, якщо наявний ІТ-персонал не звик робити це так.

Особисто, якщо я знаходжу ІТ-персоналу, який не поспішає рухатись у цьому напрямку, я вважаю, що вони або ледачі, недосвідчені, або не розуміють практики адміністрування системи.

Це найкраща практика з міркувань безпеки. Як уже згадували інші, це заважає тобі щось робити випадково, або ти не можеш отримати компрометацію від перегляду мережі. Це також обмежує шкоду, яку може нанести ваш особистий веб-перегляд - в ідеалі щоденна робота не повинна мати навіть привілеїв місцевого адміністратора, а тим більше адміністратора домену.

Також неймовірно корисно протидіяти викраденням маркерів аутентифікації Pass Hash або Windows. ( Приклад ) Правильний тест на проникнення це доведе легко. А саме, як тільки зловмисник отримає доступ до локального облікового запису адміністратора, він використовуватиме цю силу для переходу в процес із маркером домену адміністратора. Тоді вони фактично мають ці повноваження.

Що стосується прикладу людей, які використовують це, моя компанія робить! (200 осіб, команда з 6 чоловік) Насправді, наші адміністратори домену мають -ТРИ-акаунти. Один для щоденного використання, один - для адміністрування / встановлення ПК на місцевому рівні. Третій - це облікові записи адміністратора домену та використовуються виключно для адміністрування серверів та домену. Якби ми хотіли бути більш параноїчними / захищеними, напевне, був би поряд.

У своїй колишній компанії я наполягав на тому, щоб усі адміністратори системи отримали 2 рахунки, тобто:

• ДОМАН \ st19085
• DOMAIN \ st19085a ("a" для адміністратора)

Колеги спочатку неохоче ставилися, але це стало правилом, після типового питання про вірусну загрозу "ми отримали антивірус" було розблоковано застарілою базою вірусів ...

• Як ви вже згадували, команда RUNAS могла бути використана (у мене був пакетний сценарій, представлення користувальницького меню, запуск конкретних завдань за допомогою команди RUNAS).

• Інша справа - використання консолі управління Microsoft , ви можете зберегти потрібні інструменти та запустити їх клацанням правою кнопкою миші , запустити як ... та свій обліковий запис адміністратора домену.

• І останнє, але не менш важливе, я запускав оболонку PowerShell як адміністратор домену та запускав потрібні мені речі звідти.

Я працював у місцях, які роблять це обома способами, і, як правило, волію мати окремий обліковий запис. Це насправді набагато простіше таким чином, всупереч тому, що, здається, думають неохочі користувачі / клієнти Joeqwerty:

Плюси використання вашого звичайного щоденного рахунку для діяльності адміністратора домену: Так, усі адміністративні інструменти працюють на моїй робочій станції без рун! W00t!

Мінуси використання вашого звичайного щоденного рахунку для діяльності адміністратора домену: Страх. ;) Технологія настільних ПК просить вас подивитися на машину, оскільки він не може зрозуміти, що з цим не так, ви ввійдете, у неї є вірус. Відключіть мережевий кабель, змініть пароль (де-небудь ще). Коли менеджери запитують вас, чому ви не отримуєте свою електронну пошту на особисту ожину через свого мобільного оператора, ви пояснюєте, що вони зберігають ваш пароль DOMAIN ADMIN на своїх серверах, коли ви це робите. І т. Д. Ваш високо привілейований пароль використовується для таких речей, як ... веб-пошта, vpn, увійдіть на цю веб-сторінку. (Справедливо). Для справедливості мій обліковий запис був заблокований із веб-сторінки "змінити пароль", так що принаймні там було це. Якщо я хотів би змінити свій старий пароль LDAP, який веб-сторінка синхронізувала, я б повинен був перейти до столу колеги.)

Плюси використання іншого облікового запису для діяльності адміністратора домену: Намір. Цей обліковий запис призначений для адміністративних інструментів тощо, а не для електронної пошти, веб-пошти, vpn, входу на веб-сторінки тощо. Отже, менше побоювання, що мої звичайні дії "користувача" піддають ризику весь домен.

Мінуси використання іншого облікового запису для діяльності адміністратора домену: я повинен використовувати руни для адміністративних інструментів. Це просто не так боляче.

Версія TL; DR: мати окремий обліковий запис просто простіше. Це також найкраща практика, оскільки це найменш необхідна пільга .

Найменше Priv має бути достатньою причиною, але якщо це не так, також врахуйте, що якщо ви користуєтесь обліковим записом з тими ж дозволами, що і ваші користувачі, ви, швидше за все, зазнаєте будь-яких проблем, які вони роблять, - і ви зможете налагодити їх у власному обліковому записі теж - часто до того, як вони навіть їх бачили!

Нічого гіршого, ніж адміністратор, який каже "це працює на мене" і закриває квиток :)

Загалом, найкраще, щоб ви не використовували топ-адміністратора для щоденних заходів. Причин, таких як віруси, є безліч - якщо ви заразилися вірусом і працюєте на вході в систему адміністратора домену, то вірус має простий спосіб потрапити у вашу мережу, повний доступ! Можливі помилки простіше зробити точно, але я не вважаю це найбільшою проблемою. Якщо ви об’їжджаєте свій кампус та входите у свого головного адміністратора, хтось може шукати через ваше плече ваш пароль. Усякі подібні речі.

Але чи це практично? Мені важко дотримуватися цього правила, але я хотів би його дотримуватися.

додавши мої 2 копійки на основі фактичного досвіду ..

знаючи та розуміючи, що ти використовуєш обліковий запис адміністратора для своєї щоденної роботи, ти дуже обережно ставишся до всього, що робиш. тому ви не просто натискаєте на електронну пошту / посилання або просто запускаєте будь-які програми без потрійної перевірки. я думаю, що це тримає тебе на носках.

використання щонайменше пільгового рахунку для щоденної роботи робить одного необережним.