È consigliabile disporre di un accesso separato per un dominio per gli amministratori di dominio?


33

In genere mi piace impostare accessi separati per me stesso, uno con autorizzazioni utente regolari e uno separato per le attività amministrative. Ad esempio, se il dominio fosse XXXX, avrei impostato un account XXXX \ bpeikes e un XXXX \ adminbp. L'ho sempre fatto perché sinceramente non mi fido di essere registrato come amministratore, ma in ogni luogo in cui ho lavorato, gli amministratori di sistema sembrano semplicemente aggiungere i loro soliti account al gruppo Domain Admins.

Ci sono delle migliori pratiche? Ho visto un articolo di MS che sembra dire che dovresti usare Esegui come e non accedere come amministratore, ma non danno un esempio di implementazione e non ho mai visto nessun altro farlo.


1
Come uno che si occupa principalmente di Linux / Unix e non è un esperto di Windows, non è esattamente ciò che UAC dovrebbe risolvere? Con questo intendo, in modo che uno possa usare un account ma abbia ancora privilegi amministrativi solo i processi autorizzati.
Dolda 2000

@ Dolda2000 UAC era più per gli utenti finali con l'abitudine di eseguire come amministratore sul proprio computer locale. Ci sono ulteriori preoccupazioni quando si esegue come amministratore di dominio sul proprio computer locale: le credenziali e l'accesso possono essere usati molto peggio dell'installazione di un virus sul proprio computer, visto che si hanno diritti elevati per la maggior parte delle cose in l'intero dominio.
HopelessN00b,

1
@ HopelessN00b: E stai dicendo che UAC non si applica a quelle cose? Perchè no? Ci sono ragioni tecniche o l'implementazione è semplicemente carente?
Dolda 2000

2
@ Dolda2000 Bene, UAC avrebbe dovuto risolvere il problema con il malware in grado di utilizzare il contesto utente dell'utente amministrativo connesso per installarsi sui PC degli utenti finali e dei consumatori. E lo fa. Impedirebbe inoltre a quel vettore specifico di utilizzare il contesto utente di un amministratore di dominio per installare malware localmente, tuttavia, ciò non è l'entità dei problemi di sicurezza legati all'esecuzione come amministratore di dominio anziché come utente limitato.
HopelessN00b,

1
@ Dolda2000 UAC impedisce ai processi di eseguire funzioni privilegiate sul computer locale. Se si è effettuato l'accesso come amministratore di dominio, è possibile eseguire comandi privilegiati in remoto su altri computer e verranno eseguiti su computer remoti senza un prompt UAC. Pertanto, il malware appositamente progettato per sfruttarlo può infettare l'intero dominio (e quindi infettare il tuo computer locale utilizzando un altro computer remoto) senza che tu abbia mai visto un prompt UAC.
Monstieur,

Risposte:


25

"Best Practice" in genere impone LPU (utente meno privilegiato) ... ma hai ragione (come ETL e Joe quindi +1) che le persone raramente seguono questo modello.

La maggior parte dei consigli è fare come dici tu ... creare 2 account e non condividerli con altri. Un account non dovrebbe avere i diritti di amministratore anche sulla workstation locale che stai usando in teoria, ma di nuovo chi segue questa regola, specialmente con l'UAC in questi giorni (che in teoria dovrebbe essere abilitato).

Ci sono molti fattori nel perché vuoi percorrere questa strada però. Devi tener conto di sicurezza, convenienza, politica aziendale, restrizioni normative (se presenti), rischio, ecc.

Mantenere il Domain Adminse Administratorslivello di dominio gruppi bello e pulito con i conti minimo è sempre una buona idea. Ma non condividere semplicemente gli account di amministratore di dominio comuni se puoi evitarlo. Altrimenti c'è il rischio che qualcuno faccia qualcosa e poi il dito indichi tra gli amministratori di "non sono stato io a usare quell'account". Meglio avere account individuali o usare qualcosa come CyberArk EPA per controllarlo correttamente.

Anche su queste righe, il tuo Schema Adminsgruppo dovrebbe essere sempre VUOTO a meno che tu non stia apportando una modifica allo schema e quindi inserisca l'account, apporti la modifica e rimuova l'account. Lo stesso si può dire Enterprise Adminssoprattutto in un singolo modello di dominio.

NON devi inoltre consentire agli account con privilegi di accedere alla rete VPN. Usa un account normale e poi elevalo come richiesto una volta dentro.

Infine, dovresti usare SCOM o Netwrix o qualche altro metodo per controllare qualsiasi gruppo privilegiato e informare il gruppo appropriato in IT ogni volta che uno qualsiasi dei membri di questo gruppo è cambiato. Questo ti darà un avvertimento per dire "aspetta un minuto, perché è così e così all'improvviso un amministratore di dominio?" eccetera.

Alla fine della giornata c'è un motivo per cui si chiama "Best Practice" e non "Only Practice" ... ci sono scelte accettabili fatte dai gruppi IT in base alle proprie esigenze e filosofie su questo. Alcuni (come ha detto Joe) sono semplicemente pigri ... mentre altri semplicemente non si preoccupano perché non sono interessati a tappare una falla di sicurezza quando ci sono già centinaia e fuochi quotidiani da combattere. Tuttavia, ora che hai letto tutto questo, considerati uno di quelli che combatteranno la buona battaglia e faranno il possibile per proteggere le cose. :)

Riferimenti:

http://www.microsoft.com/en-us/download/details.aspx?id=4868

http://technet.microsoft.com/en-us/library/cc700846.aspx

http://technet.microsoft.com/en-us/library/bb456992.aspx


Il privilegio minimo si applica principalmente agli account non amministratori. La separazione delle credenziali non aiuta dal punto di vista del minimo privato se il credito viene utilizzato su un sistema sporco compromesso dal credito con privilegi inferiori.
Jim B,

Vero, ma ritengo che "LPU" significhi anche dare accesso a gruppi privilegiati solo se necessario. Molti dipartimenti IT. fornire l'accesso DA semplicemente perché è più facile che gestire la miriade di richieste di accesso.
TheCleaner

28

AFAIK, si ritiene che gli amministratori di dominio / rete dispongano di un account utente standard per accedere alla propria stazione di lavoro per eseguire le attività di routine "utente" (e-mail, documentazione, ecc.) E disporre di un account amministrativo denominato con appartenenza al gruppo per consentire loro di svolgere attività amministrative.

Questo è il modello che cerco di seguire, sebbene sia difficile da implementare se lo staff IT esistente non è abituato a farlo in questo modo.

Personalmente, se trovo uno staff IT che è reticente a muoversi in questa direzione, sono dell'opinione che siano pigri, inesperti o non capiscano la pratica dell'amministrazione del sistema.


12

Questa è una best practice per motivi di sicurezza. Come altri hanno già detto, ti impedisce di fare qualcosa per errore o di essere compromesso dalla navigazione in rete. Limita anche il danno che la tua navigazione personale può fare - idealmente, il tuo lavoro quotidiano non dovrebbe nemmeno avere privilegi di amministratore locale, tanto meno amministratore di dominio.

È anche incredibilmente utile per contrastare i dirottamenti dei token di autenticazione Pass the Hash o Windows. ( Esempio ) Un test di penetrazione adeguato lo dimostrerà facilmente. Vale a dire, una volta che un utente malintenzionato ottiene l'accesso a un account di amministratore locale, utilizzerà tale potere per migrare in un processo con un token di amministratore di dominio. Quindi hanno effettivamente quei poteri.

Per quanto riguarda un esempio di persone che usano questo, la mia azienda lo fa! (200 persone, 6 team operativi) In effetti, i nostri Domain Admins hanno account-TRE. Uno per l'uso quotidiano, uno per l'amministrazione del PC / l'installazione del software a livello locale. Il terzo è rappresentato dagli account di amministratore del dominio e utilizzato esclusivamente per l'amministrazione dei server e del dominio. Se volessimo essere più paranoici / sicuri, un quarto sarebbe probabilmente in ordine.


Tre account ... interessante ... Devo considerare che per l'incombente cambio di dominio nella mia azienda ...
pepoluan,

1
Lo stesso nella mia compagnia. Account desktop normale, account amministratore per l'accesso dell'amministratore locale sui computer client E un account amministratore del server separato. Entrambi gli account amministratore non ricevono e-mail e accesso a Internet. L'unico problema è che l'account server-admin necessita dei diritti di amministratore locale sulla workstation oppure UAC interferisce con l'esecuzione di MMC localmente con RunAs come account server-admin. (Può usare RDP su un server ed eseguire tutto da lì, ma questo a volte ostacola davvero se è necessario copiare / incollare o confrontare con i dati che girano sull'account desktop.)
Tonny

Siamo riusciti a fare abbastanza bene con il nostro Domain Admins RDP su un server per il loro lavoro di gestione. Copia e incolla in realtà si muove incredibilmente bene attraverso RDP. E quel singolo server ha già installato tutte le nostre utility di gestione. Detto questo ... Credo che il gruppo Domain Admins abbia i diritti di amministratore locale per impostazione predefinita. Preferisco solo che quelle credenziali non tocchino mai i desktop, per prevenire il furto di token e simili.
Christopher Karel,

8

Nella mia ex azienda, ho insistito sul fatto che tutti gli amministratori di sistema avevano 2 account, vale a dire:

  • DOMINIO \ st19085
  • DOMAIN \ st19085a ("a" per admin)

I colleghi all'inizio erano riluttanti, ma divenne una regola empirica, dopo che la tipica domanda sulla minaccia del virus "abbiamo un antivirus" è stata smentita da un database di virus obsoleto ...

  • Come hai detto, il comando RUNAS poteva essere usato (avevo uno script batch, presentavo un menu personalizzato, avviavo compiti specifici con il comando RUNAS).

  • Un'altra cosa è l'uso della Microsoft Management Console , è possibile salvare gli strumenti necessari e avviarli con un clic destro , Esegui come ... e il proprio account di amministratore di dominio.

  • L'ultimo ma non meno importante, ho usato per lanciare una shell PowerShell come amministratore di dominio e avviare le cose che mi servivano da lì.

6
Questa è essenzialmente l'implementazione che ho usato (e costretto a tutti gli altri) ovunque abbia avuto voce in capitolo. Accedi al tuo computer e svolgi le tue attività quotidiane come un normale utente, proprio come tutti gli altri. Quando hai bisogno dei diritti di amministratore, tu Run As/ Run as Administratore usi l'account utente amministrativo. Usare un solo account per ogni cosa è una cattiva pratica di sicurezza e, nella mia esperienza, le persone che si oppongono sono le persone che hanno più bisogno di essere isolate dall'eseguire tutto come amministratore comunque.
HopelessN00b,

+1 grande osservazione di @ HopelessN00b: "le persone che obiettano sono le persone che hanno più bisogno di essere isolate dall'eseguire tutto come amministratore comunque"
mr.b

In realtà dovresti usare una workstation separata che è stata bloccata per eseguire solo admin
Jim B

4

Ho lavorato in posti che lo fanno in entrambi i modi e generalmente preferisco avere un account separato. In realtà è molto più semplice in questo modo, contrariamente a quanto sembrano pensare gli utenti / clienti riluttanti di joeqwerty:

Pro dell'utilizzo del normale account quotidiano per le attività di amministrazione del dominio: Sì, tutti gli strumenti di amministrazione funzionano sulla mia workstation senza rune! W00t!

Contro dell'utilizzo del normale account quotidiano per le attività di amministrazione del dominio: Paura. ;) La tecnologia desktop ti chiede di guardare una macchina perché non riesce a capire cosa c'è che non va, accedi, ha un virus. Scollegare il cavo di rete, cambiare la password (da qualche altra parte). Quando i manager ti chiedono perché non ricevi la tua e-mail di lavoro sul tuo blackberry personale tramite il tuo gestore di telefonia mobile, ti spieghi che memorizzano la tua password DOMAIN ADMIN sui loro server quando lo fai. Ecc. Ecc. La tua password altamente privilegiata viene utilizzata per cose come ... webmail, vpn, accedere a questa pagina web. (Ew.) (Per essere onesti, il mio account è stato bloccato dalla pagina web "cambia la tua password", quindi almeno c'era quello. Se volevo cambiare la mia vecchia password LDAP, che la pagina web ha sincronizzato, dovrei andare alla scrivania di un collega.)

Pro dell'utilizzo di un account diverso per le attività di amministrazione del dominio: Intento. È previsto tale account agli strumenti di amministrazione, ecc. E non a e-mail, webmail, VPN, accessi a pagine Web, ecc. Quindi, meno paura che le mie normali attività "utente" espongano l'intero dominio a rischio.

Contro di usare un altro account per le attività di amministrazione del dominio: devo usare le rune per gli strumenti di amministrazione. Non è poi così doloroso.

La versione TL; DR: avere un account separato è semplicemente più semplice. È anche la migliore pratica, in quanto privilegio meno necessario .


2

Il privilegio minimo dovrebbe essere un motivo sufficiente, ma nel caso non lo sia, considera anche che se usi un account con le stesse autorizzazioni dei tuoi utenti, è più probabile che tu soffra di tutti i problemi che lo fanno - e puoi eseguirne il debug sul tuo account troppo spesso prima ancora di averli visti!

Niente di peggio di un amministratore che dice "funziona per me" e chiude il biglietto :)


+1 per riconoscere che l'uso quotidiano di un account a livello di utente migliora l'efficacia della risoluzione dei problemi.
Dico Reinstate Monica il

1

In teoria, è meglio non utilizzare un accesso amministratore principale per le attività quotidiane. Ci sono molte ragioni come i virus: se si ottiene un virus e si esegue l'accesso con Domain Admin, il virus ha un modo semplice per accedere alla rete, accesso completo! I possibili errori sono più facili da accertare, ma non la vedo come la più grande sfida. Se vai in giro per il campus e accedi con il tuo principale amministratore, qualcuno potrebbe cercare la tua password. Tutte le cose del genere.

Ma è pratico? Trovo difficile seguire questa regola, ma vorrei seguirla.


0

aggiungendo i miei 2 centesimi in base all'esperienza reale ..

sapere e tenere presente che stai utilizzando un account amministratore per il tuo lavoro quotidiano ti rende molto cauto su qualsiasi cosa tu faccia. quindi non basta fare clic su un indirizzo e-mail / collegamento o semplicemente eseguire qualsiasi applicazione senza un triplo controllo. penso che ti tiene in guardia.

l'uso di un account con privilegi minimi per il tuo lavoro quotidiano ti fa trascurare.


Questa è una buona teoria ma nella mia esperienza non funziona (almeno non per tutti). Ho visto colleghi che cancellano enormi quantità di dati dai sistemi di produzione per errore (è sufficiente uno spazio vuoto nella posizione sbagliata nella riga di comando).
Gerald Schneider,

non una teoria, la pratichiamo qui ;-) nella mia esperienza, controlli le persone a cui darai tali privilegi e non li consegni solo per chiedere.
badbanana,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.