Có phải là cách thực hành tốt nhất để đăng nhập riêng cho một tên miền cho quản trị viên tên miền?


33

Tôi thường muốn thiết lập các thông tin đăng nhập riêng cho mình, một thông tin có quyền người dùng thông thường và một thông tin riêng cho các tác vụ quản trị. Ví dụ: nếu tên miền là XXXX, tôi sẽ thiết lập một tài khoản XXXX \ bpeike và tài khoản XXXX \ adminbp. Tôi đã luôn làm điều đó bởi vì thật lòng tôi không tin tưởng mình sẽ đăng nhập với tư cách quản trị viên, nhưng ở mọi nơi tôi làm việc, các quản trị viên hệ thống dường như chỉ thêm tài khoản thông thường của họ vào nhóm Quản trị viên tên miền.

Có thực hành tốt nhất? Tôi đã thấy một bài viết từ MS có vẻ như nói rằng bạn nên sử dụng Run As và không đăng nhập với tư cách quản trị viên, nhưng họ không đưa ra ví dụ về việc triển khai và tôi chưa bao giờ thấy ai khác làm điều đó.


1
Là một người giao dịch chủ yếu trong Linux / Unix và không phải là chuyên gia Windows, đây không phải là chính xác những gì UAC cần phải sửa chữa? Ý tôi là, để người ta có thể sử dụng một tài khoản nhưng vẫn chỉ có các quy trình được ủy quyền nhận đặc quyền quản trị.
Dolda2000

@ Dolda2000 UAC dành cho người dùng cuối theo thói quen chạy như một quản trị viên trên máy cục bộ của họ. Có thêm mối lo ngại khi bạn đang chạy với tư cách quản trị viên tên miền trên máy cục bộ của mình - thông tin đăng nhập và quyền truy cập của bạn có thể bị sử dụng tồi tệ hơn nhiều so với cài đặt vi-rút trên máy của bạn, xem như bạn đã nâng cao quyền đối với hầu hết mọi thứ trong toàn bộ miền.
HoplessN00b

1
@ HoplessN00b: Và bạn đang nói UAC không áp dụng cho những điều đó? Tại sao không? Có lý do kỹ thuật, hoặc việc thực hiện đơn giản là thiếu?
Dolda2000

2
@ Dolda2000 Vâng, UAC được cho là đã khắc phục sự cố với phần mềm độc hại có thể sử dụng bối cảnh người dùng quản trị viên đã đăng nhập để cài đặt trên PC của người dùng cuối và người tiêu dùng. Và nó làm. Tuy nhiên, nó cũng sẽ chặn vectơ cụ thể đó sử dụng bối cảnh người dùng của quản trị viên tên miền để cài đặt phần mềm độc hại cục bộ, tuy nhiên, đó không phải là mức độ lo ngại về bảo mật liên quan đến việc chạy như một quản trị viên tên miền thay vì người dùng bị giới hạn.
HoplessN00b

1
@ Dolda2000 UAC ngăn các quá trình thực thi các chức năng đặc quyền trên máy cục bộ. Nếu bạn đăng nhập với tư cách Quản trị viên tên miền, bạn có thể chạy các lệnh đặc quyền từ xa trên các máy khác và chúng sẽ chạy trên các máy từ xa mà không cần dấu nhắc UAC. Do đó, phần mềm độc hại được thiết kế đặc biệt để khai thác điều này có thể lây nhiễm toàn bộ miền của bạn (và sau đó lây nhiễm máy cục bộ của bạn bằng một máy từ xa khác) mà bạn không bao giờ thấy dấu nhắc UAC.
Monstieur

Câu trả lời:


25

"Thực tiễn tốt nhất" thường ra lệnh LPU (người dùng ít đặc quyền nhất) ... nhưng bạn đã đúng (cũng như ETL và Joe nên +1) mà mọi người hiếm khi theo mô hình này.

Hầu hết các đề xuất là làm như bạn nói ... tạo 2 tài khoản và không chia sẻ các tài khoản đó với người khác. Một tài khoản không nên có quyền quản trị trên ngay cả máy trạm cục bộ mà bạn đang sử dụng trên lý thuyết, nhưng một lần nữa, người tuân theo quy tắc đó, đặc biệt là với UAC ngày nay (theo lý thuyết nên được bật).

Có nhiều yếu tố tại sao bạn muốn đi tuyến đường này mặc dù. Bạn phải có yếu tố bảo mật, tiện lợi, chính sách công ty, hạn chế quy định (nếu có), rủi ro, v.v.

Giữ cho các nhóm cấp Domain AdminsAdministratorstên miền tốt và sạch sẽ với các tài khoản tối thiểu luôn là một ý tưởng tốt. Nhưng đừng đơn giản chia sẻ tài khoản quản trị miền phổ biến nếu bạn có thể tránh. Mặt khác, có nguy cơ ai đó đang làm gì đó và sau đó dùng ngón tay trỏ vào giữa các hệ thống "không phải tôi đã sử dụng tài khoản đó". Tốt hơn là có tài khoản cá nhân hoặc sử dụng một cái gì đó như CyberArk EPA để kiểm toán chính xác.

Ngoài ra trên các dòng này, Schema Adminsnhóm của bạn phải luôn là EMPTY trừ khi bạn thực hiện thay đổi cho lược đồ và sau đó bạn đặt tài khoản vào, thực hiện thay đổi và xóa tài khoản. Điều tương tự có thể được nói cho Enterprise Adminsđặc biệt là trong một mô hình miền duy nhất.

Bạn cũng KHÔNG nên cho phép các tài khoản đặc quyền VPN vào mạng. Sử dụng một tài khoản bình thường và sau đó nâng lên theo yêu cầu một lần bên trong.

Cuối cùng, bạn nên sử dụng SCOM hoặc Netwrix hoặc một số phương pháp khác để kiểm tra bất kỳ nhóm đặc quyền nào và thông báo cho nhóm thích hợp trong CNTT bất cứ khi nào bất kỳ thành viên nào trong nhóm này thay đổi. Điều này sẽ cung cấp cho bạn một cái đầu để nói "chờ một chút, tại sao lại như vậy và đột nhiên một Quản trị viên tên miền?" v.v.

Vào cuối ngày, có một lý do gọi là "Thực tiễn tốt nhất" chứ không phải "Chỉ thực hành" ... có những lựa chọn được chấp nhận bởi các nhóm CNTT dựa trên nhu cầu và triết lý của riêng họ về vấn đề này. Một số người (như Joe nói) chỉ đơn giản là lười biếng ... trong khi những người khác chỉ đơn giản là không quan tâm vì họ không quan tâm đến việc cắm một lỗ hổng bảo mật khi có hàng trăm đám cháy đã xảy ra và hàng ngày để chiến đấu. Tuy nhiên, bây giờ bạn đã đọc tất cả những điều này, hãy coi mình là một trong những người sẽ chiến đấu tốt và làm những gì bạn có thể để giữ mọi thứ an toàn. :)

Tài liệu tham khảo:

http://www.microsoft.com/en-us/doad/details.aspx?id=4868

http://technet.microsoft.com/en-us/l Library / cc700846.aspx

http://technet.microsoft.com/en-us/l Library / bb456992.aspx


Đặc quyền tối thiểu áp dụng cho các tài khoản không phải quản trị viên. Phân tách tín dụng không giúp ích từ góc độ riêng tư tối thiểu nếu tín dụng được sử dụng trên một hệ thống bẩn bị tổn hại bởi tín dụng thấp hơn.
Jim B

Đúng, nhưng tôi coi "LPU" cũng có nghĩa là chỉ cấp quyền truy cập cho các nhóm đặc quyền theo yêu cầu. Rất nhiều IT depts. cung cấp quyền truy cập DA đơn giản vì nó dễ hơn là xử lý vô số yêu cầu truy cập.
TheCleaner

28

AFAIK, được coi là cách tốt nhất để quản trị viên tên miền / mạng có tài khoản người dùng chuẩn để đăng nhập vào máy trạm của họ để thực hiện các tác vụ "người dùng" thông thường (email, tài liệu, v.v.) và có tài khoản quản trị có tên phù hợp thành viên nhóm để cho phép họ thực hiện các nhiệm vụ hành chính.

Đây là mô hình tôi cố gắng làm theo, mặc dù khó thực hiện nếu nhân viên CNTT hiện tại không quen làm theo cách này.

Cá nhân, nếu tôi thấy một nhân viên CNTT đã cố gắng di chuyển theo hướng này, tôi cho rằng họ lười biếng, thiếu kinh nghiệm hoặc họ không hiểu thực tiễn quản trị hệ thống.


12

Đây là một thực tiễn tốt nhất vì lý do bảo mật. Như những người khác đã đề cập, nó ngăn bạn vô tình làm điều gì đó hoặc khiến bạn bị xâm phạm khi duyệt mạng. Nó cũng hạn chế thiệt hại mà trình duyệt cá nhân của bạn có thể gây ra - lý tưởng nhất là công việc hàng ngày của bạn thậm chí không nên có đặc quyền quản trị viên cục bộ, quản trị viên tên miền ít hơn nhiều.

Nó cũng cực kỳ hữu ích để chống lại các vụ tấn công mã thông báo xác thực Hash hoặc Windows. ( Ví dụ ) Một bài kiểm tra thâm nhập thích hợp sẽ chứng minh điều này một cách dễ dàng. Cụ thể, một khi kẻ tấn công giành được quyền truy cập vào tài khoản quản trị viên cục bộ, chúng sẽ sử dụng sức mạnh đó để di chuyển vào một quy trình với mã thông báo Quản trị viên tên miền. Sau đó, họ có hiệu quả có những quyền lực.

Đối với một ví dụ về những người sử dụng này, công ty của tôi làm! (200 người, nhóm 6 người đàn ông) Trên thực tế, Quản trị viên tên miền của chúng tôi có tài khoản -THREE-. Một cho sử dụng hàng ngày, một cho quản trị / cài đặt phần mềm PC cục bộ. Thứ ba là tài khoản Quản trị viên tên miền và chỉ được sử dụng để quản trị máy chủ và tên miền. Nếu chúng tôi muốn hoang tưởng / an toàn hơn, một phần tư có thể sẽ theo thứ tự.


Ba tài khoản ... thú vị ... Tôi phải xem xét điều đó đối với sự thay đổi tên miền lờ mờ trong công ty của tôi ...
pepoluan

1
Tương tự trong công ty của tôi. Tài khoản máy tính để bàn thông thường, tài khoản quản trị viên để truy cập quản trị viên cục bộ trên máy khách VÀ tài khoản quản trị máy chủ riêng. Cả hai tài khoản quản trị viên không nhận được email và không có truy cập internet. Một vấn đề duy nhất là tài khoản quản trị viên máy chủ cần quyền quản trị cục bộ trên máy trạm hoặc UAC khác can thiệp vào việc chạy MMC cục bộ với RunAs làm tài khoản quản trị viên máy chủ. (Có thể sử dụng RDP cho máy chủ và chạy mọi thứ từ đó, nhưng điều đó thực sự gây cản trở nếu bạn cần sao chép / dán hoặc so sánh với dữ liệu chạy trên tài khoản máy tính để bàn.)
Tonny

Chúng tôi đã quản lý để làm khá tốt với việc quản trị viên miền RDP của chúng tôi đến một máy chủ cho công việc quản lý của họ. Copy & Paste thực sự di chuyển trên RDP rất tốt. Và máy chủ duy nhất đó đã cài đặt tất cả các tiện ích quản lý của chúng tôi. Nhưng điều đó đang được nói ... Tôi tin rằng nhóm Quản trị viên tên miền có quyền quản trị cục bộ theo mặc định. Tôi chỉ thích những thông tin không bao giờ chạm vào máy tính để bàn, để tránh bị đánh cắp mã thông báo và những thứ tương tự.
Christopher Karel

8

Trong công ty cũ của tôi, tôi đã nhấn mạnh rằng tất cả Quản trị viên hệ thống có 2 tài khoản, nghĩa là:

  • TÊN MIỀN \ st19085
  • DOMAIN \ st19085a ("a" cho quản trị viên)

Các đồng nghiệp ban đầu miễn cưỡng nhưng nó đã trở thành một quy tắc, sau khi câu hỏi điển hình về mối đe dọa vi-rút "chúng tôi có một phần mềm chống vi-rút" đã được gỡ lỗi bởi một cơ sở dữ liệu vi rút lỗi thời ...

  • Như bạn đã đề cập, lệnh RUNAS có thể được sử dụng (Tôi đã từng có một tập lệnh bó, trình bày một menu tùy chỉnh, khởi chạy các tác vụ cụ thể bằng lệnh RUNAS).

  • Một điều nữa là việc sử dụng Microsoft Management Console , bạn có thể lưu các công cụ bạn cần và khởi chạy chúng bằng một cú nhấp chuột phải , Chạy dưới dạng ... và tài khoản Quản trị viên tên miền của bạn.

  • Lần cuối cùng nhưng không kém phần quan trọng, tôi đã từng khởi chạy trình bao PowerShell với tư cách Quản trị viên tên miền và khởi chạy những thứ tôi cần từ đó.

6
Đây thực chất là việc triển khai mà tôi đã sử dụng (và bắt buộc đối với mọi người khác) ở mọi nơi tôi đã có tiếng nói trong đó. Bạn đăng nhập vào máy tính và thực hiện các công việc hàng ngày như một người dùng bình thường, giống như mọi người khác. Khi bạn cần quyền quản trị, bạn Run As/ Run as Administratorvà sử dụng tài khoản người dùng quản trị. Chỉ cần sử dụng một tài khoản cho tất cả mọi thứ là một thực tiễn bảo mật tồi tệ và theo kinh nghiệm của tôi, những người phản đối là những người cần phải tách biệt khỏi việc chạy mọi thứ với tư cách quản trị viên.
HoplessN00b

+1 quan sát tuyệt vời của @ HoplessN00b: "những người phản đối là những người cần được cách ly nhất để chạy mọi thứ với tư cách quản trị viên"
mr.b

Trên thực tế, bạn nên sử dụng một máy trạm riêng biệt đã bị khóa để chỉ chạy quản trị viên
Jim B

4

Tôi đã làm việc ở những nơi thực hiện cả hai cách và thường thích có một tài khoản riêng. Cách đó thực sự dễ dàng hơn rất nhiều, trái với những gì người dùng / khách hàng miễn cưỡng của joeqwerty dường như nghĩ:

Ưu điểm của việc sử dụng tài khoản thông thường, hàng ngày của bạn cho các hoạt động quản trị viên tên miền: Yay, tất cả các công cụ quản trị đều hoạt động trên máy trạm của tôi mà không cần runas! W00t!

Nhược điểm của việc sử dụng tài khoản hàng ngày, bình thường của bạn cho các hoạt động quản trị viên tên miền: Sợ hãi. ;) Công nghệ máy tính để bàn yêu cầu bạn nhìn vào một chiếc máy bởi vì anh ta không thể tìm ra cái gì sai với nó, bạn đăng nhập, nó có virus. Rút cáp mạng, thay đổi mật khẩu (ở một nơi khác). Khi người quản lý hỏi bạn tại sao bạn không nhận được email công việc trên blackberry cá nhân thông qua nhà cung cấp điện thoại di động, bạn có thể giải thích rằng họ lưu mật khẩu DOMAIN ADMIN của bạn trên máy chủ của họ khi bạn làm điều đó. V.v. Mật khẩu đặc quyền cao của bạn được sử dụng cho những thứ như ... webmail, vpn, đăng nhập vào trang web này. (Ew.) (Công bằng mà nói, tài khoản của tôi đã bị chặn khỏi trang web "thay đổi mật khẩu của bạn", vì vậy ít nhất là có. Nếu tôi muốn thay đổi mật khẩu LDAP cũ mà trang web đã đồng bộ hóa, tôi phải đi đến bàn của đồng nghiệp.)

Ưu điểm của việc sử dụng một tài khoản khác nhau cho các hoạt động quản trị miền: Ý định. Tài khoản đó được dành cho các công cụ quản trị, v.v., chứ không phải cho email, webmail, vpn, thông tin đăng nhập trang web, v.v.

Nhược điểm của việc sử dụng tài khoản khác nhau cho các hoạt động quản trị viên tên miền: Tôi phải sử dụng runas cho các công cụ quản trị. Điều đó không đau đớn lắm.

Phiên bản TL; DR: Có một tài khoản riêng biệt dễ dàng hơn. Đó cũng là cách thực hành tốt nhất, vì đó là đặc quyền ít cần thiết nhất .


2

Least Priv nên có đủ lý do, nhưng trong trường hợp không, cũng nên cân nhắc rằng nếu bạn sử dụng tài khoản có cùng quyền với người dùng của mình, bạn có nhiều khả năng phải chịu bất kỳ vấn đề nào họ làm - và bạn có thể gỡ lỗi chúng trên tài khoản của mình quá - thường trước khi họ thậm chí nhìn thấy chúng!

Không có gì tệ hơn một quản trị viên nói rằng "nó hoạt động với tôi" và đóng vé :)


+1 để nhận ra rằng việc sử dụng tài khoản cấp người dùng hàng ngày giúp cải thiện hiệu quả khắc phục sự cố.
Tôi nói Phục hồi Monica

1

Trong tất cả các lý thuyết, tốt nhất là bạn không sử dụng đăng nhập quản trị viên hàng đầu cho các hoạt động hàng ngày của bạn. Có rất nhiều lý do như vi-rút - nếu bạn bị nhiễm vi-rút và bạn đang chạy đăng nhập Quản trị viên tên miền, thì vi-rút có một cách dễ dàng để truy cập mạng của bạn, truy cập đầy đủ! Những sai lầm có thể dễ dàng hơn để chắc chắn nhưng tôi không xem đó là thách thức lớn nhất. Nếu bạn đi xung quanh khuôn viên của bạn và đăng nhập với quản trị viên hàng đầu của bạn, ai đó có thể đang nhìn qua vai bạn để tìm mật khẩu của bạn. Tất cả những thứ như thế.

Nhưng nó có thực tế không? Tôi thấy khó theo quy tắc đó, nhưng tôi muốn tuân theo nó.


0

thêm 2 xu của tôi dựa trên kinh nghiệm thực tế ..

biết và biết rằng bạn đang sử dụng tài khoản quản trị viên cho công việc hàng ngày khiến bạn rất thận trọng với bất cứ điều gì bạn làm. vì vậy bạn không chỉ cần nhấp vào email / liên kết hoặc chỉ chạy bất kỳ ứng dụng nào mà không cần kiểm tra ba lần. Tôi nghĩ rằng nó giữ cho bạn trên ngón chân của bạn.

sử dụng một tài khoản đặc quyền tối thiểu cho công việc hàng ngày của bạn làm cho một người bất cẩn.


Đó là một lý thuyết hay nhưng theo kinh nghiệm của tôi thì nó không hoạt động (ít nhất là không dành cho tất cả mọi người). Tôi đã thấy các đồng nghiệp xóa một lượng lớn dữ liệu khỏi các hệ thống sản xuất do nhầm lẫn (một chỗ trống ở sai vị trí trong một dòng lệnh là đủ).
Gerald Schneider

không phải là một lý thuyết, chúng tôi thực hành nó ở đây ;-) theo kinh nghiệm của tôi, bạn sẽ kiểm tra những người mà bạn sẽ dành những đặc quyền đó và không chỉ trao cho họ để hỏi.
badbanana
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.