Có phải là cách thực hành tốt nhất để đăng nhập riêng cho một tên miền cho quản trị viên tên miền?

Tôi thường muốn thiết lập các thông tin đăng nhập riêng cho mình, một thông tin có quyền người dùng thông thường và một thông tin riêng cho các tác vụ quản trị. Ví dụ: nếu tên miền là XXXX, tôi sẽ thiết lập một tài khoản XXXX \ bpeike và tài khoản XXXX \ adminbp. Tôi đã luôn làm điều đó bởi vì thật lòng tôi không tin tưởng mình sẽ đăng nhập với tư cách quản trị viên, nhưng ở mọi nơi tôi làm việc, các quản trị viên hệ thống dường như chỉ thêm tài khoản thông thường của họ vào nhóm Quản trị viên tên miền.

Có thực hành tốt nhất? Tôi đã thấy một bài viết từ MS có vẻ như nói rằng bạn nên sử dụng Run As và không đăng nhập với tư cách quản trị viên, nhưng họ không đưa ra ví dụ về việc triển khai và tôi chưa bao giờ thấy ai khác làm điều đó.

"Thực tiễn tốt nhất" thường ra lệnh LPU (người dùng ít đặc quyền nhất) ... nhưng bạn đã đúng (cũng như ETL và Joe nên +1) mà mọi người hiếm khi theo mô hình này.

Hầu hết các đề xuất là làm như bạn nói ... tạo 2 tài khoản và không chia sẻ các tài khoản đó với người khác. Một tài khoản không nên có quyền quản trị trên ngay cả máy trạm cục bộ mà bạn đang sử dụng trên lý thuyết, nhưng một lần nữa, người tuân theo quy tắc đó, đặc biệt là với UAC ngày nay (theo lý thuyết nên được bật).

Có nhiều yếu tố tại sao bạn muốn đi tuyến đường này mặc dù. Bạn phải có yếu tố bảo mật, tiện lợi, chính sách công ty, hạn chế quy định (nếu có), rủi ro, v.v.

Giữ cho các nhóm cấp Domain Adminsvà Administratorstên miền tốt và sạch sẽ với các tài khoản tối thiểu luôn là một ý tưởng tốt. Nhưng đừng đơn giản chia sẻ tài khoản quản trị miền phổ biến nếu bạn có thể tránh. Mặt khác, có nguy cơ ai đó đang làm gì đó và sau đó dùng ngón tay trỏ vào giữa các hệ thống "không phải tôi đã sử dụng tài khoản đó". Tốt hơn là có tài khoản cá nhân hoặc sử dụng một cái gì đó như CyberArk EPA để kiểm toán chính xác.

Ngoài ra trên các dòng này, Schema Adminsnhóm của bạn phải luôn là EMPTY trừ khi bạn thực hiện thay đổi cho lược đồ và sau đó bạn đặt tài khoản vào, thực hiện thay đổi và xóa tài khoản. Điều tương tự có thể được nói cho Enterprise Adminsđặc biệt là trong một mô hình miền duy nhất.

Bạn cũng KHÔNG nên cho phép các tài khoản đặc quyền VPN vào mạng. Sử dụng một tài khoản bình thường và sau đó nâng lên theo yêu cầu một lần bên trong.

Cuối cùng, bạn nên sử dụng SCOM hoặc Netwrix hoặc một số phương pháp khác để kiểm tra bất kỳ nhóm đặc quyền nào và thông báo cho nhóm thích hợp trong CNTT bất cứ khi nào bất kỳ thành viên nào trong nhóm này thay đổi. Điều này sẽ cung cấp cho bạn một cái đầu để nói "chờ một chút, tại sao lại như vậy và đột nhiên một Quản trị viên tên miền?" v.v.

Vào cuối ngày, có một lý do gọi là "Thực tiễn tốt nhất" chứ không phải "Chỉ thực hành" ... có những lựa chọn được chấp nhận bởi các nhóm CNTT dựa trên nhu cầu và triết lý của riêng họ về vấn đề này. Một số người (như Joe nói) chỉ đơn giản là lười biếng ... trong khi những người khác chỉ đơn giản là không quan tâm vì họ không quan tâm đến việc cắm một lỗ hổng bảo mật khi có hàng trăm đám cháy đã xảy ra và hàng ngày để chiến đấu. Tuy nhiên, bây giờ bạn đã đọc tất cả những điều này, hãy coi mình là một trong những người sẽ chiến đấu tốt và làm những gì bạn có thể để giữ mọi thứ an toàn. :)

Tài liệu tham khảo:

http://www.microsoft.com/en-us/doad/details.aspx?id=4868

http://technet.microsoft.com/en-us/l Library / cc700846.aspx

http://technet.microsoft.com/en-us/l Library / bb456992.aspx

AFAIK, được coi là cách tốt nhất để quản trị viên tên miền / mạng có tài khoản người dùng chuẩn để đăng nhập vào máy trạm của họ để thực hiện các tác vụ "người dùng" thông thường (email, tài liệu, v.v.) và có tài khoản quản trị có tên phù hợp thành viên nhóm để cho phép họ thực hiện các nhiệm vụ hành chính.

Đây là mô hình tôi cố gắng làm theo, mặc dù khó thực hiện nếu nhân viên CNTT hiện tại không quen làm theo cách này.

Cá nhân, nếu tôi thấy một nhân viên CNTT đã cố gắng di chuyển theo hướng này, tôi cho rằng họ lười biếng, thiếu kinh nghiệm hoặc họ không hiểu thực tiễn quản trị hệ thống.

Đây là một thực tiễn tốt nhất vì lý do bảo mật. Như những người khác đã đề cập, nó ngăn bạn vô tình làm điều gì đó hoặc khiến bạn bị xâm phạm khi duyệt mạng. Nó cũng hạn chế thiệt hại mà trình duyệt cá nhân của bạn có thể gây ra - lý tưởng nhất là công việc hàng ngày của bạn thậm chí không nên có đặc quyền quản trị viên cục bộ, quản trị viên tên miền ít hơn nhiều.

Nó cũng cực kỳ hữu ích để chống lại các vụ tấn công mã thông báo xác thực Hash hoặc Windows. ( Ví dụ ) Một bài kiểm tra thâm nhập thích hợp sẽ chứng minh điều này một cách dễ dàng. Cụ thể, một khi kẻ tấn công giành được quyền truy cập vào tài khoản quản trị viên cục bộ, chúng sẽ sử dụng sức mạnh đó để di chuyển vào một quy trình với mã thông báo Quản trị viên tên miền. Sau đó, họ có hiệu quả có những quyền lực.

Đối với một ví dụ về những người sử dụng này, công ty của tôi làm! (200 người, nhóm 6 người đàn ông) Trên thực tế, Quản trị viên tên miền của chúng tôi có tài khoản -THREE-. Một cho sử dụng hàng ngày, một cho quản trị / cài đặt phần mềm PC cục bộ. Thứ ba là tài khoản Quản trị viên tên miền và chỉ được sử dụng để quản trị máy chủ và tên miền. Nếu chúng tôi muốn hoang tưởng / an toàn hơn, một phần tư có thể sẽ theo thứ tự.

Trong công ty cũ của tôi, tôi đã nhấn mạnh rằng tất cả Quản trị viên hệ thống có 2 tài khoản, nghĩa là:

• TÊN MIỀN \ st19085
• DOMAIN \ st19085a ("a" cho quản trị viên)

Các đồng nghiệp ban đầu miễn cưỡng nhưng nó đã trở thành một quy tắc, sau khi câu hỏi điển hình về mối đe dọa vi-rút "chúng tôi có một phần mềm chống vi-rút" đã được gỡ lỗi bởi một cơ sở dữ liệu vi rút lỗi thời ...

• Như bạn đã đề cập, lệnh RUNAS có thể được sử dụng (Tôi đã từng có một tập lệnh bó, trình bày một menu tùy chỉnh, khởi chạy các tác vụ cụ thể bằng lệnh RUNAS).

• Một điều nữa là việc sử dụng Microsoft Management Console , bạn có thể lưu các công cụ bạn cần và khởi chạy chúng bằng một cú nhấp chuột phải , Chạy dưới dạng ... và tài khoản Quản trị viên tên miền của bạn.

• Lần cuối cùng nhưng không kém phần quan trọng, tôi đã từng khởi chạy trình bao PowerShell với tư cách Quản trị viên tên miền và khởi chạy những thứ tôi cần từ đó.

Tôi đã làm việc ở những nơi thực hiện cả hai cách và thường thích có một tài khoản riêng. Cách đó thực sự dễ dàng hơn rất nhiều, trái với những gì người dùng / khách hàng miễn cưỡng của joeqwerty dường như nghĩ:

Ưu điểm của việc sử dụng tài khoản thông thường, hàng ngày của bạn cho các hoạt động quản trị viên tên miền: Yay, tất cả các công cụ quản trị đều hoạt động trên máy trạm của tôi mà không cần runas! W00t!

Nhược điểm của việc sử dụng tài khoản hàng ngày, bình thường của bạn cho các hoạt động quản trị viên tên miền: Sợ hãi. ;) Công nghệ máy tính để bàn yêu cầu bạn nhìn vào một chiếc máy bởi vì anh ta không thể tìm ra cái gì sai với nó, bạn đăng nhập, nó có virus. Rút cáp mạng, thay đổi mật khẩu (ở một nơi khác). Khi người quản lý hỏi bạn tại sao bạn không nhận được email công việc trên blackberry cá nhân thông qua nhà cung cấp điện thoại di động, bạn có thể giải thích rằng họ lưu mật khẩu DOMAIN ADMIN của bạn trên máy chủ của họ khi bạn làm điều đó. V.v. Mật khẩu đặc quyền cao của bạn được sử dụng cho những thứ như ... webmail, vpn, đăng nhập vào trang web này. (Ew.) (Công bằng mà nói, tài khoản của tôi đã bị chặn khỏi trang web "thay đổi mật khẩu của bạn", vì vậy ít nhất là có. Nếu tôi muốn thay đổi mật khẩu LDAP cũ mà trang web đã đồng bộ hóa, tôi phải đi đến bàn của đồng nghiệp.)

Ưu điểm của việc sử dụng một tài khoản khác nhau cho các hoạt động quản trị miền: Ý định. Tài khoản đó được dành cho các công cụ quản trị, v.v., chứ không phải cho email, webmail, vpn, thông tin đăng nhập trang web, v.v.

Nhược điểm của việc sử dụng tài khoản khác nhau cho các hoạt động quản trị viên tên miền: Tôi phải sử dụng runas cho các công cụ quản trị. Điều đó không đau đớn lắm.

Phiên bản TL; DR: Có một tài khoản riêng biệt dễ dàng hơn. Đó cũng là cách thực hành tốt nhất, vì đó là đặc quyền ít cần thiết nhất .

Least Priv nên có đủ lý do, nhưng trong trường hợp không, cũng nên cân nhắc rằng nếu bạn sử dụng tài khoản có cùng quyền với người dùng của mình, bạn có nhiều khả năng phải chịu bất kỳ vấn đề nào họ làm - và bạn có thể gỡ lỗi chúng trên tài khoản của mình quá - thường trước khi họ thậm chí nhìn thấy chúng!

Không có gì tệ hơn một quản trị viên nói rằng "nó hoạt động với tôi" và đóng vé :)

Trong tất cả các lý thuyết, tốt nhất là bạn không sử dụng đăng nhập quản trị viên hàng đầu cho các hoạt động hàng ngày của bạn. Có rất nhiều lý do như vi-rút - nếu bạn bị nhiễm vi-rút và bạn đang chạy đăng nhập Quản trị viên tên miền, thì vi-rút có một cách dễ dàng để truy cập mạng của bạn, truy cập đầy đủ! Những sai lầm có thể dễ dàng hơn để chắc chắn nhưng tôi không xem đó là thách thức lớn nhất. Nếu bạn đi xung quanh khuôn viên của bạn và đăng nhập với quản trị viên hàng đầu của bạn, ai đó có thể đang nhìn qua vai bạn để tìm mật khẩu của bạn. Tất cả những thứ như thế.

Nhưng nó có thực tế không? Tôi thấy khó theo quy tắc đó, nhưng tôi muốn tuân theo nó.

thêm 2 xu của tôi dựa trên kinh nghiệm thực tế ..

biết và biết rằng bạn đang sử dụng tài khoản quản trị viên cho công việc hàng ngày khiến bạn rất thận trọng với bất cứ điều gì bạn làm. vì vậy bạn không chỉ cần nhấp vào email / liên kết hoặc chỉ chạy bất kỳ ứng dụng nào mà không cần kiểm tra ba lần. Tôi nghĩ rằng nó giữ cho bạn trên ngón chân của bạn.

sử dụng một tài khoản đặc quyền tối thiểu cho công việc hàng ngày của bạn làm cho một người bất cẩn.