Я працюю в невеликій організації з 2 серверами та 30 клієнтами. Ми повністю Windows Server 2003 / XP. Окрім мене, Директору з операцій та нашій ІТ-консалтинговій компанії потрібен доступ до облікового запису адміністратора домену.
Чи повинні ми мати кілька облікових записів адміністратора домену з будь-якої причини (змінити журнал, безпеку чи інше)? Чи є причини не мати декількох облікових записів адміністратора домену?
Відповіді:
Кожен користувач, який здійснює адміністративні дії, повинен мати спеціальний обліковий запис для виконання цих заходів. У середовищі Windows, вбудований (RID 500) обліковий запис адміністратора повинен мати складний набір паролів, роздрукований та заблокований у сейфі тощо для надзвичайних ситуацій.
Загальний принцип безпеки виглядає так: Ви хочете знати, хто здійснює які (адміністративні, в даному випадку) дії (тобто, має аудиторський слід. Спільний доступ до рахунків виводить це з води.
Крім того, ви хочете мати можливість відрізати доступ особи у разі порушення безпеки пароля, припинення роботи тощо. Спільні облікові записи також не відповідають цим критеріям.
Спільні, загальнодоступні облікові записи будь-якого типу слід вважати дуже сумнівними у вартості, але спільні облікові дані адміністрації завжди погані.
re: Особливості Windows, такі як обмежені підключення до віддаленого робочого столу та терміналу: будьте уважні до своїх колег-адміністраторів і не залишайте відкладених сеансів. Я виявив, що соціальний тиск працює досить добре в малих організаціях (тобто часто і голосно згадується той факт, що адміністратор XXX не пам'ятає, щоб вийти з серверів). Ви завжди можете вимкнути відключені сеанси інших користувачів, якщо це дійсно потрібно. Можливо, це додає 30 секунд до спроби з'єднання. У більшій організації або якщо це стане головною проблемою, ви можете розглянути можливість застосування відключених тайм-аутів сеансу.
Трохи осторонь, але це, мабуть, тематично, оскільки ви згадали про ІТ-консультанта: Як сам ІТ-підрядник, я завжди прошу про себе спеціальний обліковий запис адміністратора, і я вимагаю не знати жодних "спільних" даних адміністрації. Він захищає обидві сторони та забезпечує аудиторський слід. Я завжди хочу, щоб мої Клієнти відчували, що вони можуть "зачинити мене" на мить (і насправді мати цю здатність теж), тому що я вважаю, що це надсилає потужне повідомлення, яке я впевнений у своїй здатності підтримувати стосунки з вони ґрунтуються на достоїнствах моїх навичок та цінності, яку я надаю, а не на певному розпливчастому відчутті, що вони "замкнуті" для мене.
Одна з причин не мати декількох облікових записів:
якщо ви керуєте всім, використовуючи віддалений робочий стіл, у вас може бути обмеження. Якщо люди просто закриють сеанс віддаленого робочого столу, не виходячи з системи, вони швидко зв’язуються.
Причина мати кілька облікових записів.
Ви можете бачити, хто входив у систему, коли трапляється щось погане. Дійсно, якщо у вас є гарне командне середовище, той, хто щось зробив, просто визнає це.
Відповідь Евана хороша. Також пам’ятайте, що не слід використовувати свій обліковий запис адміністратора для щоденної роботи - завжди запускайте команди адміністрування з рунами або подібними, якщо ви працюєте щось безпосередньо на своїй робочій станції.
Для службових облікових записів ви також можете відключити інтерактивний вхід, щоб зробити їх більш захищеними.
Останнє значення, переконайтеся, що ви включите аудит безпеки на своїх серверах і переконайтеся, що журнал подій безпеки є достатньо великим (я зазвичай встановлюю його на 20 Мб або більше)