Xấu khi đăng nhập với tư cách quản trị viên mọi lúc?

20

Tại văn phòng nơi tôi làm việc, ba trong số các thành viên khác của nhân viên CNTT luôn đăng nhập vào máy tính của họ với các tài khoản là thành viên của nhóm quản trị viên tên miền.

Tôi có những lo ngại nghiêm trọng về việc đăng nhập bằng quyền quản trị (địa phương hoặc cho tên miền). Như vậy, đối với việc sử dụng máy tính hàng ngày, tôi sử dụng một tài khoản chỉ có quyền riêng tư của người dùng thông thường. Tôi cũng có một tài khoản khác là một phần của nhóm quản trị viên tên miền. Tôi sử dụng tài khoản này khi tôi cần làm một cái gì đó yêu cầu quyền riêng tư nâng cao trên máy tính của tôi, một trong các máy chủ hoặc trên máy tính của người dùng khác.

Thực hành tốt nhất ở đây là gì? Quản trị viên mạng có nên đăng nhập với quyền đối với toàn bộ mạng mọi lúc (hoặc thậm chí máy tính cục bộ của họ cho vấn đề đó) không?

windows  security  best-practices 

nguồn
Tôi luôn nghĩ rằng đó là ngu ngốc. Tôi chưa bao giờ nghe về một lý do tốt để làm điều đó. Có thể cung cấp tài khoản giới hạn cho phụ huynh trên windows nhưng chúng tôi đang nói về việc sử dụng tài khoản của chúng tôi
Đã bao giờ có một đứa trẻ chạy xung quanh nhấp vào công cụ trên máy tính của họ? Làm thế nào về việc vô tình xóa chia sẻ dữ liệu chính thay vì thư mục mp3 của bạn.
Barfieldmv
1
ai đó vui lòng thêm thẻ "windows" vào câu hỏi này
JoelFan
@Barfieldmv, câu hỏi này là về môi trường làm việc, không phải PC trong phòng chờ của bạn. Trẻ em không nên ở bất cứ nơi nào gần nó và việc xóa ngẫu nhiên có thể được khôi phục từ bản sao lưu.
John Gardeniers

Câu trả lời:

36

Thực hành tốt nhất tuyệt đối là Live User, Work Root . Người dùng mà bạn đã đăng nhập như khi bạn nhấn refresh trên Server Fault cứ sau 5 phút sẽ là một người dùng bình thường. Người bạn sử dụng để chẩn đoán các sự cố định tuyến Exchange phải là Quản trị viên. Việc tách biệt này có thể khó khăn, vì trong Windows ít nhất nó yêu cầu các phiên đăng nhập kép và điều đó có nghĩa là hai máy tính theo một cách nào đó.

  • Máy ảo hoạt động rất tốt cho việc này và đó là cách tôi giải quyết nó.
  • Tôi đã nghe nói về các tổ chức đăng nhập giới hạn tài khoản nâng cao của họ đối với một số máy ảo đặc biệt được lưu trữ nội bộ và quản trị viên dựa vào RDP để truy cập.
  • UAC giúp hạn chế những gì quản trị viên có thể làm (truy cập các chương trình đặc biệt), nhưng các lời nhắc liên tục có thể gây khó chịu như phải điều khiển từ xa vào toàn bộ máy khác để làm những gì cần làm.

Tại sao đây là một thực hành tốt nhất? Một phần là vì tôi đã nói như vậy , và nhiều người khác cũng vậy. SysAdminning không có cơ quan trung tâm đặt ra các thực tiễn tốt nhất theo bất kỳ cách thức dứt khoát nào. Trong thập kỷ qua, chúng tôi đã có một số thực tiễn tốt nhất về Bảo mật CNTT được công bố cho thấy rằng bạn chỉ sử dụng quyền riêng tư nâng cao khi bạn thực sự cần chúng. một số thực hành tốt nhất được thiết lập thông qua kinh nghiệm của các sysadins trong hơn 40 năm qua. Một bài viết từ LISA 1993 ( liên kết ), một bài viết ví dụ từ Sans ( liên kết , PDF), một phần từ Sans 'các điều khiển bảo mật quan trọng' chạm vào điều này ( liên kết ).

sysadmin1138
nguồn
6
Lưu ý rằng trong Windows 7, tài khoản Quản trị viên bị hạn chế hơn rất nhiều và không yêu cầu phiên đăng nhập kép. UAC hoạt động khá độc đáo. Nó hoạt động ít hơn đáng kể trong Vista.
Ricket
6
@Ricket, tôi không đồng ý với nhận xét về UAC, ít nhất là đối với quản trị viên. Tôi đã tắt nó trên máy trạm của mình vì gần như mọi phần mềm tôi sử dụng đều khiến UAC nhắc tôi xin phép. Điều đó thật khó chịu và làm tôi chậm lại rất nhiều mặt tích cực của nó vượt xa những tiêu cực của nó. Để hoạt động "khá độc đáo", như bạn nói, chúng ta có thể yêu cầu nó luôn cho phép hoặc không cho phép phần mềm được chỉ định nhưng tất nhiên nó không linh hoạt. Nói một cách đơn giản, đó là một nỗ lực chưa trưởng thành và không được coi là một ngày nào đó có thể là một thành phần bảo mật có giá trị.
John Gardeniers
1
^ Lưu ý bài viết TechNet được liên kết trong nhận xét trên là cũ, được viết trước Vista (vì nó đề cập đến tên mã của nó, "Longhorn"). Nhưng đối với người dùng XP thì nó rất hợp lệ. @ John Tôi đoán số dặm của mọi người khác nhau, nhưng tôi không bao giờ nhận được các quảng cáo UAC và tôi sử dụng khá nhiều phần mềm. Ngoại lệ duy nhất là trình cài đặt (duh) và trình cập nhật Java gây phiền nhiễu. Vista tồi tệ hơn nhiều, vì vậy nếu bạn chưa thử UAC kể từ Windows 7, tôi chắc chắn khuyên bạn nên bật lại, nếu không tôi đoán bạn chỉ đang sử dụng phần mềm đã bị lỗi thời / viết kém. Không có cách nào gần như mọi phần mềm nhắc nhở cho phép quản trị viên ...
Ricket
1
@Ricket, rõ ràng chúng tôi sử dụng phần mềm rất khác nhau. Tôi hình ảnh chúng tôi cũng thực hiện các nhiệm vụ rất khác nhau. Chỉ vì phần mềm BẠN sử dụng không kích hoạt UAC không có nghĩa là áp dụng cho phần mềm được người khác sử dụng. Khi bạn có được kinh nghiệm, bạn sẽ học được những điều này. Những gì tôi nói là sự thật. Tại sao bạn lại đặt câu hỏi cho nó?
John Gardeniers
1
@Keith Stokes: Bạn đã làm gì với PuTTY tội nghiệp để khiến nó nhắc bạn về UAC? PuTTY không cần độ cao để chạy!
Evan Anderson
12

Vì đây là miền Windows, nên có khả năng các tài khoản họ đang sử dụng có quyền truy cập mạng hoàn chỉnh vào tất cả các máy trạm, vì vậy nếu có điều gì xấu xảy ra, nó có thể xuất hiện trên mạng trong vài giây. Bước đầu tiên là đảm bảo tất cả người dùng đang làm việc hàng ngày, duyệt web, viết tài liệu, v.v. theo nguyên tắc Truy cập người dùng ít nhất .

Cách làm của tôi sau đó là tạo một tài khoản miền và cung cấp đặc quyền quản trị viên tài khoản đó trên tất cả các máy trạm (PC-admin) và một tài khoản miền riêng cho công việc quản trị viên máy chủ (máy chủ-quản trị viên). Nếu bạn lo lắng về việc các máy chủ của bạn có thể nói chuyện với nhau, bạn có thể có các tài khoản riêng cho từng máy (<x> -admin, <y> -admin). Chắc chắn cố gắng sử dụng một tài khoản khác để chạy các công việc quản trị viên tên miền.

Theo cách đó, nếu bạn đang làm gì đó trên máy trạm bị xâm nhập bằng tài khoản quản trị viên PC và nó sẽ có cơ hội có đặc quyền quản trị viên của bạn để thử truy cập vào các máy khác qua mạng, bạn sẽ không thể làm gì khó chịu với máy chủ của bạn. Có tài khoản này cũng có nghĩa là nó không thể làm gì với dữ liệu cá nhân của bạn.

Tuy nhiên, tôi phải nói rằng ở một nơi tôi biết nơi các nhân viên làm việc với các nguyên tắc LUA, họ đã không có sự lây nhiễm virus thích hợp trong suốt ba năm tôi thấy; một bộ phận khác ở cùng nơi có tất cả mọi người có quản trị viên địa phương và nhân viên CNTT có quản trị viên máy chủ đã có một vài đợt bùng phát, một trong số đó mất một tuần thời gian để dọn dẹp do lây nhiễm qua mạng.

Sẽ mất một chút thời gian để thiết lập, nhưng khoản tiết kiệm tiềm năng là rất lớn nếu bạn gặp phải vấn đề.

Iain Hallam
nguồn
Tôi hành xử theo cách này và sử dụng tài khoản miền cho công việc hàng ngày của mình và nâng lên tài khoản miền quản trị đặc quyền của tôi khi tôi cần. Các đồng nghiệp khác của tôi cười nhạo tôi, và tôi không thể chờ đợi để thấy các máy trạm của họ tác động đến một cái gì đó một cách khó chịu để tôi có thể nói rằng tôi đã nói với bạn như vậy.
songei2f
1

Tài khoản riêng cho các nhiệm vụ riêng biệt là cách tốt nhất để xem xét nó. Nguyên tắc tối thiểu của tư nhân là tên của trò chơi. Giới hạn việc sử dụng tài khoản "quản trị viên" đối với các tác vụ phải được thực hiện dưới dạng "quản trị viên".

Liam
nguồn
1

Ý kiến ​​khác nhau đôi chút giữa Windows và * nix nhưng việc bạn đề cập đến quản trị viên tên miền khiến tôi nghĩ rằng bạn đang nói về Windows, vì vậy đó là bối cảnh tôi đang trả lời.

Trên máy trạm, thông thường bạn không cần phải là quản trị viên, vì vậy câu trả lời cho câu hỏi của bạn trong hầu hết các trường hợp sẽ là KHÔNG. Tuy nhiên, có rất nhiều trường hợp ngoại lệ và nó thực sự phụ thuộc vào chính xác những gì người đó đang làm trên máy.

Trên máy chủ, đây là một chủ đề tranh luận. Quan điểm riêng của tôi là tôi chỉ đăng nhập vào một máy chủ để thực hiện công việc quản trị viên, vì vậy việc đăng nhập với tư cách là một người dùng và sau đó chạy từng công cụ riêng biệt bằng cách sử dụng run-as, điều này thực sự luôn là một nỗi đau thực sự trong những gì bạn biết và đối với hầu hết các công việc, điều đó chỉ khiến cuộc sống của quản trị viên trở nên quá khó khăn và tốn thời gian. Bởi vì hầu hết các công việc quản trị viên Windows được thực hiện bằng các công cụ GUI, có một mức độ an toàn không có mặt để nói rằng một quản trị viên Linux làm việc trên dòng lệnh, trong đó một lỗi đánh máy đơn giản có thể khiến anh ta lục lọi trong băng dự phòng tối qua.

John Gardeniers
nguồn
+1, "Bạn đăng nhập như thế nào trên máy chủ" là một trọng tâm của cuộc tranh luận.
sysadmin1138
1

cuộc sống của tôi rất đơn giản ... tài khoản được đặt tên riêng biệt và tất cả đều có mật khẩu khác nhau.

Tài khoản thượng đế - quản trị viên tên miền để thực hiện tất cả công việc phía máy chủ

tài khoản demigod để quản trị PC - không có quyền đối với cổ phần / máy chủ - chỉ đối với PC

Người dùng yếu đuối - Tôi cấp cho mình người dùng quyền lực trên máy tính của riêng tôi, nhưng tôi thậm chí không có các quyền đó trên các PC khác

những lý do cho sự tách biệt là rất nhiều. không nên tranh cãi, cứ làm đi!

bánh xe33
nguồn
Tôi thích sự tách biệt đặc quyền ở ba cấp độ, nhưng để người khác thực hành những gì bạn giảng phải là một vấn đề đau đầu.
songei2f
Nó có thể là một bán khó khăn trong một số môi trường. Nhưng nếu bạn có thể chứng minh bản thân với các nhà hoạch định chính sách, thì họ sẽ giúp bạn biến nó thành một chính sách tuân theo. Không Exec muốn mất công ty của họ khi có một giải pháp đơn giản và miễn phí.
cwheeler33
Bạn đã quên # 4: kiểm tra người dùng đăng nhập vào vị thần nào, độc lập với tất cả các tài khoản khác. Vì vậy, nếu một số hacker làm cho thần của bạn trở nên báo thù, bạn sẽ biết điều đó đã xảy ra như thế nào.
Bắn Parthian
0

Có nguy cơ bị bỏ phiếu xuống địa ngục, tôi phải nói rằng nó phụ thuộc vào quy trình làm việc của quản trị viên. Đối với cá nhân tôi, phần lớn những việc tôi đang làm trên máy trạm của mình trong khi làm việc sẽ cần những thông tin quản trị viên đó. Bạn đã tích hợp sẵn các công cụ như công cụ quản lý miền, bảng điều khiển quản lý bên thứ 3, ổ đĩa được ánh xạ, công cụ truy cập từ xa dòng lệnh, tập lệnh, v.v. Phải gõ thông tin đăng nhập cho hầu hết mọi thứ bạn mở sẽ là một cơn ác mộng.

Về những thứ duy nhất thường không cần quyền quản trị viên là trình duyệt web, ứng dụng email, ứng dụng khách IM và trình xem PDF của tôi. Và hầu hết những thứ đó vẫn mở từ khi tôi đăng nhập đến khi tôi đăng xuất. Vì vậy, tôi đăng nhập bằng thông tin quản trị viên của mình và sau đó tôi chạy tất cả các ứng dụng riêng tư thấp của mình với tài khoản riêng tư thấp. Nó ít rắc rối hơn và tôi không cảm thấy an toàn hơn khi làm như vậy.

Ryan Bolger
nguồn
chạy như với mức độ riêng tư thấp thực sự không ảnh hưởng nhiều đến bảo mật vì hệ thống đã chạy bằng tài khoản quản trị viên. Bạn đã cho mình một cảm giác an toàn sai lầm. Làm điều đó ngược lại, đăng nhập với tư cách người dùng, sau đó chạy với tư cách quản trị viên. Cung cấp cho bản thân người dùng quyền lực để đăng nhập nếu bạn muốn NHƯNG Vui lòng KHÔNG CHẠY NHƯ QUẢNG CÁO mọi lúc.
Liam
+1 Như tôi đã nói trong câu trả lời của mình, "nó thực sự phụ thuộc vào chính xác những gì người đó đang làm trên máy". Bất chấp tất cả các lý thuyết và được gọi là "thực tiễn tốt nhất", đôi khi nó không có ý nghĩa để đăng nhập như một người dùng. Ít nhất là không trong thế giới Windows.
John Gardeniers
Tôi khá chắc chắn rằng không có quyền sử dụng năng lượng trong windows 7. goo.gl/fqYbb
Luke99
@Liam Không xúc phạm, nhưng bạn đã sai khi nói rằng RunAs với mức độ riêng tư thấp không làm được gì nhiều. Nó thực hiện chính xác những gì nó phải làm là ngăn chặn quá trình cụ thể đó (và con của nó) làm bất cứ điều gì với các đặc quyền nâng cao. Và điều này là hoàn hảo cho các ứng dụng không cần tư nhân nâng cao và thường có xu hướng bị phần mềm độc hại nhắm mục tiêu nhiều nhất.
Ryan Bolger
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.