Non sei loggato come amministratore per tutto il tempo?

Nell'ufficio in cui lavoro, tre degli altri membri dello staff IT sono sempre collegati ai loro computer con account membri del gruppo degli amministratori di dominio.

Ho serie preoccupazioni riguardo all'accesso con diritti di amministratore (locale o per il dominio). Come tale, per l'uso quotidiano del computer, uso un account che ha solo i privilegi di utenti regolari. Ho anche un account diverso che fa parte del gruppo amministratori di dominio. Uso questo account quando devo fare qualcosa che richiede privilegi elevati sul mio computer, su uno dei server o sul computer di un altro utente.

Qual è la migliore pratica qui? Gli amministratori di rete devono essere registrati con i diritti per l'intera rete in qualsiasi momento (o anche il loro computer locale per quella materia)?

La migliore pratica assoluta è quella di utenti live, radice di lavoro . L'utente che ha effettuato l'accesso come quando si preme refresh su Server Fault ogni 5 minuti dovrebbe essere un utente normale. Quello che usi per diagnosticare i problemi di routing di Exchange dovrebbe essere Admin. Ottenere questa separazione può essere difficile, poiché almeno in Windows richiede sessioni di accesso doppie e ciò significa in qualche modo due computer.

• Le VM funzionano davvero bene per questo, ed è così che lo risolvo.
• Ho sentito parlare di organizzazioni che limitano l'accesso ai loro account elevati a determinate macchine virtuali speciali ospitate internamente e gli amministratori fanno affidamento su RDP per l'accesso.
• Controllo dell'account utente aiuta a limitare ciò che un amministratore può fare (accedendo a programmi speciali), ma i suggerimenti continui possono essere altrettanto fastidiosi che dover eseguire il remote in un'altra macchina per fare ciò che deve fare.

Perché questa è una buona pratica? In parte è perché l'ho detto , e così anche molti altri. SysAdminning non ha un corpo centrale che imposta le migliori pratiche in alcun modo definitivo. Nell'ultimo decennio abbiamo pubblicato alcune best practice per la sicurezza IT che suggeriscono che usi i privilegi elevati solo quando ne hai effettivamente bisogno. alcune delle migliori pratiche sono impostate attraverso la gestalt dell'esperienza degli amministratori di sistema negli ultimi 40+ anni. Un articolo di LISA 1993 ( link ), un esempio di SANS ( link , un PDF), una sezione tratta dai "controlli di sicurezza critici" di SANS tocca questo ( link ).

Poiché si tratta di un dominio Windows, è probabile che gli account che stanno utilizzando abbiano un accesso completo alla rete a tutte le workstation, quindi se succede qualcosa di brutto, può trovarsi attraverso la rete in pochi secondi. Il primo passo è assicurarsi che tutti gli utenti svolgano il lavoro quotidiano, navigino sul Web, scrivano documenti, ecc. In conformità con il principio dell'accesso per l' utente minimo .

La mia pratica è quindi quella di creare un account di dominio e assegnare a tale account i privilegi di amministratore su tutte le workstation (PC-admin) e un account di dominio separato per il lavoro di amministrazione del server (server-admin). Se sei preoccupato che i tuoi server siano in grado di comunicare tra loro, puoi avere account individuali per ogni macchina (<x> -admin, <y> -admin). Prova sicuramente a usare un altro account per eseguire i lavori di amministrazione del dominio.

In questo modo, se stai facendo qualcosa su una workstation compromessa con l'account PC-admin e aumenta la possibilità che tu abbia i privilegi di amministratore per provare ad accedere ad altre macchine sulla rete, non sarà in grado di fare nulla brutto per i tuoi server. Avere questo account significa anche che non può fare nulla per i tuoi dati personali.

Devo dire, tuttavia, che in un posto so dove lo staff ha lavorato con i principi della LUA, durante i tre anni che ho visto non hanno avuto un'infestazione da virus adeguata; un altro dipartimento nello stesso posto che aveva tutti con amministratore locale e personale IT con amministratore del server ha avuto diversi focolai, uno dei quali ha impiegato una settimana di tempo IT per ripulire a causa della diffusione dell'infezione attraverso la rete.

Ci vuole un po 'di tempo per l'installazione, ma i potenziali risparmi sono enormi se si è colpiti da problemi.

Conti separati per compiti separati è il modo migliore per esaminarlo. Il principio del privilegio minimo è il nome del gioco. Limitare l'uso degli account "admin" alle attività che devono essere eseguite come "admin".

Le opinioni differiscono in qualche modo tra Windows e * nix ma la tua menzione di amministratori di dominio mi fa pensare che tu stia parlando di Windows, quindi è in questo contesto che sto rispondendo.

Normalmente su una workstation non è necessario essere admin, quindi la risposta alla tua domanda nella maggior parte dei casi sarà NO. Tuttavia, ci sono molte eccezioni e dipende davvero esattamente da quello che la persona sta facendo sulla macchina.

Su un server è argomento di molti dibattiti. La mia opinione è che accedo a un server solo per fare il lavoro di amministratore, quindi non ha senso accedere come utente e quindi eseguire ogni strumento separato usando run-as, che francamente è sempre stato un vero dolore nel tu-sai-cosa e per la maggior parte dei lavori rende semplicemente la vita di un amministratore eccessivamente difficile e che richiede tempo. Poiché la maggior parte del lavoro dell'amministratore di Windows viene eseguito utilizzando gli strumenti della GUI, esiste un certo grado di sicurezza, ad esempio un amministratore Linux che lavora sulla riga di comando, dove un semplice errore di battitura potrebbe mandarlo a cercare il nastro di backup della notte scorsa.

la mia vita è semplice ... l'account ha un nome distinto e tutti hanno password diverse.

Account God - admin di dominio per fare tutto il lavoro lato server

account semidio per amministrare i PC - non ha diritti su condivisioni / server - solo sui PC

utente debole - Mi concedo il power user sul mio PC, ma non ho nemmeno quei diritti su altri PC

le ragioni della separazione sono molte. non ci dovrebbero essere discussioni, fallo e basta!

A rischio di essere votato all'inferno, devo dire che dipende dal flusso di lavoro dell'amministratore. Per me personalmente, la stragrande maggioranza delle cose che sto facendo sulla mia workstation mentre sul lavoro avrà bisogno di quelle credenziali di amministratore. Hai cose integrate come strumenti di gestione del dominio, console di gestione di terze parti, unità mappate, strumenti di accesso remoto da riga di comando, script, ecc. L'elenco continua. Dover digitare le credenziali per quasi ogni singola cosa che apri sarebbe un incubo.

Le uniche cose che di solito non richiedono i privilegi di amministratore sono il mio browser Web, client di posta elettronica, client di messaggistica istantanea e visualizzatore di PDF. E la maggior parte di queste cose rimane aperta dal momento in cui accedo al momento in cui mi disconnetto. Quindi accedo con le mie credenziali di amministratore e poi corro come tutte le mie app a basso priv con un account a basso priv. È molto meno seccante e non mi sento meno sicuro per farlo.