È consigliabile disporre di un accesso separato per un dominio per gli amministratori di dominio?

In genere mi piace impostare accessi separati per me stesso, uno con autorizzazioni utente regolari e uno separato per le attività amministrative. Ad esempio, se il dominio fosse XXXX, avrei impostato un account XXXX \ bpeikes e un XXXX \ adminbp. L'ho sempre fatto perché sinceramente non mi fido di essere registrato come amministratore, ma in ogni luogo in cui ho lavorato, gli amministratori di sistema sembrano semplicemente aggiungere i loro soliti account al gruppo Domain Admins.

Ci sono delle migliori pratiche? Ho visto un articolo di MS che sembra dire che dovresti usare Esegui come e non accedere come amministratore, ma non danno un esempio di implementazione e non ho mai visto nessun altro farlo.

"Best Practice" in genere impone LPU (utente meno privilegiato) ... ma hai ragione (come ETL e Joe quindi +1) che le persone raramente seguono questo modello.

La maggior parte dei consigli è fare come dici tu ... creare 2 account e non condividerli con altri. Un account non dovrebbe avere i diritti di amministratore anche sulla workstation locale che stai usando in teoria, ma di nuovo chi segue questa regola, specialmente con l'UAC in questi giorni (che in teoria dovrebbe essere abilitato).

Ci sono molti fattori nel perché vuoi percorrere questa strada però. Devi tener conto di sicurezza, convenienza, politica aziendale, restrizioni normative (se presenti), rischio, ecc.

Mantenere il Domain Adminse Administratorslivello di dominio gruppi bello e pulito con i conti minimo è sempre una buona idea. Ma non condividere semplicemente gli account di amministratore di dominio comuni se puoi evitarlo. Altrimenti c'è il rischio che qualcuno faccia qualcosa e poi il dito indichi tra gli amministratori di "non sono stato io a usare quell'account". Meglio avere account individuali o usare qualcosa come CyberArk EPA per controllarlo correttamente.

Anche su queste righe, il tuo Schema Adminsgruppo dovrebbe essere sempre VUOTO a meno che tu non stia apportando una modifica allo schema e quindi inserisca l'account, apporti la modifica e rimuova l'account. Lo stesso si può dire Enterprise Adminssoprattutto in un singolo modello di dominio.

NON devi inoltre consentire agli account con privilegi di accedere alla rete VPN. Usa un account normale e poi elevalo come richiesto una volta dentro.

Infine, dovresti usare SCOM o Netwrix o qualche altro metodo per controllare qualsiasi gruppo privilegiato e informare il gruppo appropriato in IT ogni volta che uno qualsiasi dei membri di questo gruppo è cambiato. Questo ti darà un avvertimento per dire "aspetta un minuto, perché è così e così all'improvviso un amministratore di dominio?" eccetera.

Alla fine della giornata c'è un motivo per cui si chiama "Best Practice" e non "Only Practice" ... ci sono scelte accettabili fatte dai gruppi IT in base alle proprie esigenze e filosofie su questo. Alcuni (come ha detto Joe) sono semplicemente pigri ... mentre altri semplicemente non si preoccupano perché non sono interessati a tappare una falla di sicurezza quando ci sono già centinaia e fuochi quotidiani da combattere. Tuttavia, ora che hai letto tutto questo, considerati uno di quelli che combatteranno la buona battaglia e faranno il possibile per proteggere le cose. :)

Riferimenti:

http://www.microsoft.com/en-us/download/details.aspx?id=4868

http://technet.microsoft.com/en-us/library/cc700846.aspx

http://technet.microsoft.com/en-us/library/bb456992.aspx

AFAIK, si ritiene che gli amministratori di dominio / rete dispongano di un account utente standard per accedere alla propria stazione di lavoro per eseguire le attività di routine "utente" (e-mail, documentazione, ecc.) E disporre di un account amministrativo denominato con appartenenza al gruppo per consentire loro di svolgere attività amministrative.

Questo è il modello che cerco di seguire, sebbene sia difficile da implementare se lo staff IT esistente non è abituato a farlo in questo modo.

Personalmente, se trovo uno staff IT che è reticente a muoversi in questa direzione, sono dell'opinione che siano pigri, inesperti o non capiscano la pratica dell'amministrazione del sistema.

Questa è una best practice per motivi di sicurezza. Come altri hanno già detto, ti impedisce di fare qualcosa per errore o di essere compromesso dalla navigazione in rete. Limita anche il danno che la tua navigazione personale può fare - idealmente, il tuo lavoro quotidiano non dovrebbe nemmeno avere privilegi di amministratore locale, tanto meno amministratore di dominio.

È anche incredibilmente utile per contrastare i dirottamenti dei token di autenticazione Pass the Hash o Windows. ( Esempio ) Un test di penetrazione adeguato lo dimostrerà facilmente. Vale a dire, una volta che un utente malintenzionato ottiene l'accesso a un account di amministratore locale, utilizzerà tale potere per migrare in un processo con un token di amministratore di dominio. Quindi hanno effettivamente quei poteri.

Per quanto riguarda un esempio di persone che usano questo, la mia azienda lo fa! (200 persone, 6 team operativi) In effetti, i nostri Domain Admins hanno account-TRE. Uno per l'uso quotidiano, uno per l'amministrazione del PC / l'installazione del software a livello locale. Il terzo è rappresentato dagli account di amministratore del dominio e utilizzato esclusivamente per l'amministrazione dei server e del dominio. Se volessimo essere più paranoici / sicuri, un quarto sarebbe probabilmente in ordine.

Nella mia ex azienda, ho insistito sul fatto che tutti gli amministratori di sistema avevano 2 account, vale a dire:

• DOMINIO \ st19085
• DOMAIN \ st19085a ("a" per admin)

I colleghi all'inizio erano riluttanti, ma divenne una regola empirica, dopo che la tipica domanda sulla minaccia del virus "abbiamo un antivirus" è stata smentita da un database di virus obsoleto ...

• Come hai detto, il comando RUNAS poteva essere usato (avevo uno script batch, presentavo un menu personalizzato, avviavo compiti specifici con il comando RUNAS).

• Un'altra cosa è l'uso della Microsoft Management Console , è possibile salvare gli strumenti necessari e avviarli con un clic destro , Esegui come ... e il proprio account di amministratore di dominio.

• L'ultimo ma non meno importante, ho usato per lanciare una shell PowerShell come amministratore di dominio e avviare le cose che mi servivano da lì.

Ho lavorato in posti che lo fanno in entrambi i modi e generalmente preferisco avere un account separato. In realtà è molto più semplice in questo modo, contrariamente a quanto sembrano pensare gli utenti / clienti riluttanti di joeqwerty:

Pro dell'utilizzo del normale account quotidiano per le attività di amministrazione del dominio: Sì, tutti gli strumenti di amministrazione funzionano sulla mia workstation senza rune! W00t!

Contro dell'utilizzo del normale account quotidiano per le attività di amministrazione del dominio: Paura. ;) La tecnologia desktop ti chiede di guardare una macchina perché non riesce a capire cosa c'è che non va, accedi, ha un virus. Scollegare il cavo di rete, cambiare la password (da qualche altra parte). Quando i manager ti chiedono perché non ricevi la tua e-mail di lavoro sul tuo blackberry personale tramite il tuo gestore di telefonia mobile, ti spieghi che memorizzano la tua password DOMAIN ADMIN sui loro server quando lo fai. Ecc. Ecc. La tua password altamente privilegiata viene utilizzata per cose come ... webmail, vpn, accedere a questa pagina web. (Ew.) (Per essere onesti, il mio account è stato bloccato dalla pagina web "cambia la tua password", quindi almeno c'era quello. Se volevo cambiare la mia vecchia password LDAP, che la pagina web ha sincronizzato, dovrei andare alla scrivania di un collega.)

Pro dell'utilizzo di un account diverso per le attività di amministrazione del dominio: Intento. È previsto tale account agli strumenti di amministrazione, ecc. E non a e-mail, webmail, VPN, accessi a pagine Web, ecc. Quindi, meno paura che le mie normali attività "utente" espongano l'intero dominio a rischio.

Contro di usare un altro account per le attività di amministrazione del dominio: devo usare le rune per gli strumenti di amministrazione. Non è poi così doloroso.

La versione TL; DR: avere un account separato è semplicemente più semplice. È anche la migliore pratica, in quanto privilegio meno necessario .

Il privilegio minimo dovrebbe essere un motivo sufficiente, ma nel caso non lo sia, considera anche che se usi un account con le stesse autorizzazioni dei tuoi utenti, è più probabile che tu soffra di tutti i problemi che lo fanno - e puoi eseguirne il debug sul tuo account troppo spesso prima ancora di averli visti!

Niente di peggio di un amministratore che dice "funziona per me" e chiude il biglietto :)

In teoria, è meglio non utilizzare un accesso amministratore principale per le attività quotidiane. Ci sono molte ragioni come i virus: se si ottiene un virus e si esegue l'accesso con Domain Admin, il virus ha un modo semplice per accedere alla rete, accesso completo! I possibili errori sono più facili da accertare, ma non la vedo come la più grande sfida. Se vai in giro per il campus e accedi con il tuo principale amministratore, qualcuno potrebbe cercare la tua password. Tutte le cose del genere.

Ma è pratico? Trovo difficile seguire questa regola, ma vorrei seguirla.

aggiungendo i miei 2 centesimi in base all'esperienza reale ..

sapere e tenere presente che stai utilizzando un account amministratore per il tuo lavoro quotidiano ti rende molto cauto su qualsiasi cosa tu faccia. quindi non basta fare clic su un indirizzo e-mail / collegamento o semplicemente eseguire qualsiasi applicazione senza un triplo controllo. penso che ti tiene in guardia.

l'uso di un account con privilegi minimi per il tuo lavoro quotidiano ti fa trascurare.