Come posso gestire Windows come Linux / Unix: diritti amministrativi per l'appartenenza al gruppo senza incidenti e senza condividere la password dell'amministratore?

8

Sto apportando alcune modifiche fondamentali a un ambiente Windows Server 2003/2008. Sul lato Unix, i miei vincoli di sicurezza sono semplici:

  1. Gli utenti che dovrebbero avere diritti di amministratore appartengono a un gruppo speciale ("ruota" o simile).
  2. Quando tali utenti accedono a tali macchine, non dispongono ancora dei diritti di amministratore, fino a quando non eseguono esplicitamente un comando con tali diritti di amministratore ("comando sudo" o "su").
  3. Anche quando eseguono il comando con "su" (una specie di "runas"), devono comunque inserire una password: la propria.

In questo sistema, posso controllare chi ha i privilegi di amministratore (per appartenenza al gruppo), impedire loro di eseguire accidentalmente qualcosa con privilegi di amministratore (richiedendo "su" o "sudo") e non rivelare mai un "Amministratore" di base (es. "root"), poiché sono richiesti per la propria.

Come faccio a fare l'equivalente su Windows Server? Le opzioni come la vedo io sono:

  1. Aggiungi utente all'account degli amministratori locali: ma tutto ciò che fanno è come amministratore, rischiando errori.
  2. È necessario che facciano "runas Administrator": ma devono conoscere la password dell'amministratore, che non voglio condividere.

Esiste una soluzione in cui posso simultaneamente: controllare chi ha accesso tramite l'appartenenza al gruppo; impedire loro di fare accidentalmente cose dannose richiedendo una password separata; impedire loro di conoscere la password dell'amministratore?

windows  windows-server-2008  windows-server-2003 
Deitch
fonte

Risposte:

8

Prima di tutto, solo gli amministratori dovrebbero ottenere l'accesso come amministratore, quindi a meno che non ci sia un ENORME (non riesco a pensarne uno buono) per cui ne hanno bisogno, quindi dovrebbe essere lasciato agli amministratori; ci sono rare occasioni in cui un utente normale ottiene i privilegi di amministratore, e anche allora di solito sono scettico sul perché ne hanno bisogno.

In secondo luogo, è possibile realizzare ciò che si desidera fare utilizzando l'appartenenza al gruppo in Windows. Non hai detto che stavi utilizzando Active Directory, quindi non sono sicuro che tu abbia un dominio e lo stia facendo, ma puoi creare gruppi di sicurezza e aggiungere singoli account utente a loro. Vedere qui. Non aggiungerei utenti al gruppo degli amministratori locali sul server individualmente in quanto questo diventerà disordinato ed è difficile tenere traccia della strada, e causerà molto mal di testa per te e potenziali problemi di sicurezza. Quello che farei, come accennato in precedenza, è creare un gruppo di sicurezza e aggiungere i membri a cui si desidera avere accesso come amministratore a questo gruppo. Dovresti creare due account utente per i tuoi utenti; uno per l'accesso regolare e quindi un secondo account utilizzato solo per azioni elevate. Dovresti aggiungere l'account "superiore / privilegiato" degli utenti nel gruppo di sicurezza, quindi puoi inserire questo gruppo in un'appartenenza al gruppo locale elevata sul server effettivo, ad esempio Power Users. Ciò consentirà loro di svolgere molte funzioni senza essere amministratori.

Per quanto riguarda Esegui come amministratore, non devi farlo tutto il tempo. Il modo migliore per fare in modo che le persone eseguano le cose senza conoscere la password dell'amministratore o di qualsiasi amministratore è utilizzare Maiusc + clic con il pulsante destro del mouse, quindi selezionare Esegui come utente diverso oppure Fare clic con il pulsante destro del mouse ed Esegui come amministratore. Per prima cosa, vorrai creare un utente separato per loro che abbia diritti più elevati o diritti elevati come menzionato sopra (questo utente elevato verrà aggiunto di nuovo al gruppo di sicurezza come menzionato sopra) in quanto quindi questo utente potrebbe essere utilizzato per eseguire cose che richiede l'elevazione per tutto il tempo durante l'accesso con un account utente normale / standard. Vedi il mio screenshot:

inserisci qui la descrizione dell'immagine

Questo dovrebbe occuparsi di ciò che vuoi fare per quanto riguarda l'esecuzione di cose come admin. Un'ultima nota che potrei aggiungere è di mantenere UAC attivo. In tal caso, agli utenti verrà richiesto di digitare la loro password (elevata) e non una password dell'amministratore per le cose che fanno sul server. È un dolore quando devi scriverlo molto, ma per sicurezza ne vale la pena.

Brad Bouchard
fonte
questo è esattamente ciò che gli altri 2 hanno suggerito. Hai ragione, stiamo eseguendo AD e li aggiungeremo a un gruppo di amministratori dei server, che avrà i privilegi di amministratore locale.
Deitch,
RE: Run as Administratoreventuali credenziali amministrative lo faranno. Se l'account a cui hai effettuato l'accesso non dispone di credenziali amministrative, ti verranno richiesti sia un nome utente che una password e qui potrai inserire un account amministrativo. Il tuo post non lo chiarisce davvero.
HopelessN00b,
E in questo caso, sto parlando di amministratori di sistema. Una buona pratica di sicurezza è che i amministratori di sistema non dispongano di una password dell'account di produzione / di sistema, ma solo di eseguire le cose come proprio account. Voglio estenderlo ai amministratori di sistema.
Deitch,
1
@deitch Yup, questo è esattamente ciò che facciamo a $ [dayjob]. Tutte le persone IT hanno account utente normali e account amministrativi. Accedi a tutto come utenti limitati ed esegui l' Run as Administratoropzione per tutto ciò che richiede elevazione. gli utenti dell'amministratore locale non vengono utilizzati a meno che non debbano esserlo (dominio interrotto, ecc.)
HopelessN00b
2
@ HopelessN00bGeniusofnetwork, quindi RunAsAdministrator non significa "Esegui come account amministratore", significa "Esegui come qualsiasi account con privilegi di amministratore, purché tu possa fornire le credenziali per tale account"?
Deitch,
5

Lascia il loro account standard come "standard". Creare un secondo account privilegiato e aggiungerlo ai vari gruppi amministrativi. Usa "runas" con l'account privilegiato. (Potresti trovare utile disabilitare gli accessi interattivi con l'account admin, ma poi di nuovo - questo probabilmente diventerà fastidioso).

Sobrique
fonte
1
Capisco. Quindi hai 2 account: Sobrique e SobriqueA. SobriqueA è bloccato dall'accesso a qualsiasi sistema su una console / telecomando, può fare solo rune. SobriqueA è membro di un gruppo con privilegi di amministratore. L'utente accede come Sobrique, quindi esegue "runas SobriqueA" che richiede la password SobriqueA e tutti questi comandi vengono eseguiti con privilegi di amministratore completi. È un po 'contorto, ma potrebbe essere peggio.
Deitch,
2
È corretto.
Brad Bouchard,
1
+1 per l'indirizzamento disabilita gli accessi interattivi. In caso contrario, gli utenti accedono semplicemente con le credenziali dell'amministratore e sono soggetti alla preoccupazione di OP per ogni azione come amministratore.
Byron C.,
4

In Server 2003, è necessario utilizzare l' Run As...opzione per eseguire come account con privilegi di amministratore.

Con Server 2008+, usi UAC e / o l' Run as Administratoropzione che hai suggerito. Questo non richiede conoscere la password per il [locale] account amministrativo - eventuali credenziali amministrative faranno.

Quindi aggiungeresti i loro account ai gruppi amministrativi locali, o meglio, dal punto di vista della sicurezza, crei account amministrativi separati e li aggiungi ai gruppi amministrativi locali. Quindi, quando devono eseguire qualcosa con privilegi amministrativi, l'UAC richiederà credenziali amministrative e / o useranno l' opzione Run As.../ Run as Administrator.

HopelessN00b
fonte
Questo è molto simile alla risposta di @ sobrique. Quindi Win pensa che gli account abbiano o meno i privilegi di amministratore? E non ha il concetto di "questo account ha il diritto di eseguire le cose come amministratore se chiede esplicitamente e riautentica"?
Deitch,
1
Fondamentalmente no. Windows ha un sacco di diritti di sicurezza - di solito quei diritti sono dati a un gruppo (perché per utente è cattivo). L'appartenenza al gruppo conferisce i diritti. La pratica comune è semplicemente accedere utilizzando un account amministratore, perché è facile, ma ciò non significa che sia giusto. Abbiamo account utente locali e account amministratore di dominio che utilizziamo per accedere ai server di gestione (che hanno installato diversi strumenti di gestione di Windows).
Sobrique,
Si potrebbe violino con 'secpol.msc' e configurare un profilo diritti personalizzati - concedere l'accesso ad un 'non esattamente' amministratori di gruppo, e aggiungere gli account utente di base a quello. Ma probabilmente continuerai comunque a inciampare sulla necessità di avere un account amministratore "corretto".
Sobrique,
1
@deitch Bene, questo è essenzialmente ciò che UAC è / consente. Ti consente di essere eseguito come account amministrativo, ma ti viene richiesto per tutto ciò che richiede "elevazione". (Autenticazione con token diviso). Tecnicamente non si tratta della creazione di una dicotomia "Amministratore o non amministratore" da parte di Windows, ma che eseguire qualcosa come amministratore è una funzionalità talmente comune che viene fornita un'opzione di menu specifica. Nella maggior parte dei casi, questa opzione non è strettamente necessaria (potresti sempre eseguire solo come un altro utente, che sembra essere un amministratore), ma è solo più conveniente avere quell'opzione di menu lì.
HopelessN00b,
1
Bene, John dovrà ancora conoscere le credenziali per un account amministrativo per eseguire qualcosa come amministratore - semplicemente non deve essere l' account amministratore.
HopelessN00b,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.