ไม่ดีที่จะเข้าสู่ระบบในฐานะผู้ดูแลระบบตลอดเวลา?

20

ที่สำนักงานที่ฉันทำงานสมาชิกไอทีอีกสามคนของเจ้าหน้าที่ไอทีได้เข้าสู่ระบบคอมพิวเตอร์ของพวกเขาตลอดเวลาด้วยบัญชีที่เป็นสมาชิกของกลุ่มผู้ดูแลโดเมน

ฉันมีความกังวลอย่างมากเกี่ยวกับการเข้าสู่ระบบด้วยสิทธิ์ของผู้ดูแลระบบ (ภายในหรือสำหรับโดเมน) ดังนั้นสำหรับการใช้คอมพิวเตอร์ทุกวันฉันใช้บัญชีที่เพิ่งมีสิทธิ์ระดับผู้ใช้ปกติ ฉันมีบัญชีอื่นที่เป็นส่วนหนึ่งของกลุ่มผู้ดูแลโดเมน ฉันใช้บัญชีนี้เมื่อฉันต้องทำสิ่งที่ต้องใช้สิทธิ์ระดับสูงในคอมพิวเตอร์ของฉันหนึ่งในเซิร์ฟเวอร์หรือบนคอมพิวเตอร์ของผู้ใช้รายอื่น

การปฏิบัติที่ดีที่สุดที่นี่คืออะไร? ผู้ดูแลระบบเครือข่ายควรเข้าสู่ระบบด้วยสิทธิ์เครือข่ายทั้งหมดตลอดเวลา (หรือแม้แต่คอมพิวเตอร์ในพื้นที่ของพวกเขาสำหรับเรื่องนั้น)?

windows security best-practices

— โผล่
แหล่งที่มา

ฉันมักจะคิดว่ามันโง่ ฉันไม่เคยได้ยินเหตุผลที่ดีที่จะทำเช่นนั้น อาจให้บัญชีที่ จำกัด แก่ผู้ปกครองบน windows แต่เรากำลังพูดถึงการใช้บัญชีของเรา

เคยมีเด็ก ๆ วิ่งเล่นคลิกบนพีซีหรือไม่? วิธีการเกี่ยวกับการลบข้อมูลหลักร่วมกันโดยไม่ตั้งใจแทนที่จะเป็นโฟลเดอร์ mp3

— Barfieldmv

1

บางคนโปรดเพิ่มแท็ก "windows" ในคำถามนี้

— JoelFan

@Barfieldmv คำถามนี้เกี่ยวกับสภาพแวดล้อมการทำงานไม่ใช่พีซีในห้องรับรองของคุณ เด็ก ๆ ไม่ควรอยู่ใกล้ ๆ และลบข้อมูลโดยไม่ตั้งใจออกจากการสำรองข้อมูล

— John Gardeniers

36

แอ็บโซลูปฏิบัติที่ดีที่สุดคือการที่ผู้ใช้ชีวิตทำงานราก ผู้ใช้ที่คุณเข้าสู่ระบบเมื่อคุณกดรีเฟรชใน Server Fault ทุก ๆ 5 นาทีควรเป็นผู้ใช้ปกติ สิ่งที่คุณใช้เพื่อวินิจฉัยปัญหาการแลกเปลี่ยนเส้นทางควรเป็นผู้ดูแลระบบ การแยกตัวนี้อาจทำได้ยากเนื่องจากใน Windows อย่างน้อยต้องมีการเข้าสู่ระบบแบบคู่และนั่นหมายถึงคอมพิวเตอร์สองเครื่องในบางวิธี

VMs ทำงานได้ดีจริงสำหรับสิ่งนี้และนั่นคือวิธีที่ฉันจะแก้ปัญหา
ฉันได้ยินเกี่ยวกับองค์กรที่เข้าสู่ระบบ - จำกัด บัญชีที่ยกระดับของพวกเขาไปยัง VM พิเศษบางโฮสต์ภายในและผู้ดูแลระบบพึ่งพา RDP สำหรับการเข้าถึง
UAC ช่วย จำกัด สิ่งที่ผู้ดูแลระบบสามารถทำได้ (การเข้าถึงโปรแกรมพิเศษ) แต่การแจ้งเตือนอย่างต่อเนื่องอาจสร้างความรำคาญให้กับการใช้รีโมทจากเครื่องอื่น ๆ เพื่อทำสิ่งที่ต้องทำ

ทำไมนี่คือวิธีปฏิบัติที่ดีที่สุด ส่วนหนึ่งเป็นเพราะฉันพูดอย่างนั้นและทำคนอื่นมากมาย SysAdminning ไม่มีหน่วยงานกลางที่กำหนดแนวปฏิบัติที่ดีที่สุดในลักษณะที่ชัดเจนใด ๆ ในทศวรรษที่ผ่านมาเรามีวิธีปฏิบัติที่ดีที่สุดด้านความปลอดภัยด้านไอทีที่ได้รับการตีพิมพ์ซึ่งแนะนำว่าคุณจะต้องใช้สิทธิ์ส่วนตัวสูงเมื่อคุณต้องการ แนวปฏิบัติที่ดีที่สุดบางอย่างได้รับการกำหนดจากประสบการณ์โดย sysadmins ในช่วง 40 ปีที่ผ่านมา บทความจาก LISA 1993 ( ลิงก์ ) ตัวอย่างกระดาษจาก SANS ( ลิงก์ , PDF) ซึ่งเป็นส่วนหนึ่งจากการสัมผัสการควบคุมความปลอดภัยที่สำคัญของ SANS บนลิงค์นี้ ( ลิงก์ )

— sysadmin1138
แหล่งที่มา

6

โปรดทราบว่าใน Windows 7 บัญชีผู้ดูแลระบบมีข้อ จำกัด มากกว่าและไม่จำเป็นต้องมีการเข้าสู่ระบบแบบคู่ UAC ทำงานได้ค่อนข้างดี มันใช้งานได้น้อยกว่ามากใน Vista

— Ricket

6

@ Ricket ฉันไม่เห็นด้วยกับความคิดเห็นเกี่ยวกับ UAC อย่างน้อยก็สำหรับผู้ดูแลระบบ ฉันปิดมันบนเวิร์กสเตชันเพราะเกือบทุกซอฟต์แวร์ที่ฉันใช้ทำให้ UAC แจ้งให้ฉันขออนุญาต นั่นทำให้เกิดการระคายเคืองและทำให้ฉันช้าลงมาก ในการทำงาน "ค่อนข้างดี" ตามที่คุณวางไว้เราควรจะบอกให้อนุญาตหรือไม่อนุญาตซอฟต์แวร์ที่ระบุไว้เสมอ แต่แน่นอนว่ามันไม่ยืดหยุ่น ค่อนข้างง่ายมันเป็นความพยายามที่ยังไม่บรรลุนิติภาวะและไม่เหมาะสมในสิ่งที่วันหนึ่งอาจเป็นองค์ประกอบความปลอดภัยที่มีค่า

— John Gardeniers

1

^ หมายเหตุบทความ TechNet ที่เชื่อมโยงในความคิดเห็นด้านบนนั้นเก่าเขียนขึ้นก่อน Vista (เนื่องจากมันอ้างถึงชื่อรหัสว่า "Longhorn") แต่สำหรับผู้ใช้ XP มันถูกต้องมาก @ จอห์นฉันเดาว่าระยะทางของทุกคนจะแตกต่างกันไป แต่ฉันไม่เคยได้รับป๊อปอัป UAC เลยและฉันก็ใช้ซอฟต์แวร์ค่อนข้างน้อย ข้อยกเว้นเพียงอย่างเดียวคือตัวติดตั้ง (duh) และ Java updater ที่น่ารำคาญ Vista นั้นแย่กว่านั้นมากดังนั้นถ้าคุณไม่ได้ลอง UAC มาตั้งแต่ Windows 7 ฉันขอแนะนำให้เปิดเครื่องใหม่มิฉะนั้นฉันคิดว่าคุณแค่ใช้ซอฟต์แวร์ล้าสมัย / เขียนไม่ดี ไม่มีทางที่เกือบชิ้นส่วนของซอฟต์แวร์ที่แจ้งขออนุญาตผู้ดูแลระบบทุกเรื่อง ...

— ricket

1

@Ricket เราใช้ซอฟต์แวร์ที่แตกต่างกันอย่างชัดเจน ฉันนึกภาพเรายังทำงานที่แตกต่างกันมาก เพียงเพราะซอฟต์แวร์ที่คุณใช้ไม่ได้ทำให้ UAC ไม่ได้หมายความว่าจะมีผลกับซอฟต์แวร์ที่ผู้อื่นใช้ เมื่อคุณได้รับประสบการณ์คุณจะได้เรียนรู้สิ่งต่าง ๆ เหล่านี้ สิ่งที่ฉันพูดคือความจริง ทำไมคุณถึงตั้งคำถาม?

— John Gardeniers

1

@ Keith Stokes: คุณทำอะไรกับ PuTTY ที่ไม่ดีเพื่อที่จะให้คุณใช้ UAC? ฉาบไม่จำเป็นต้องยกระดับเพื่อให้ทำงานได้!

— Evan Anderson

12

เนื่องจากนี่เป็นโดเมน Windows อาจเป็นไปได้ว่าบัญชีที่พวกเขาใช้มีการเข้าถึงเครือข่ายอย่างสมบูรณ์ไปยังเวิร์กสเตชันทั้งหมดดังนั้นหากมีสิ่งใดไม่ดีเกิดขึ้น ขั้นตอนแรกคือเพื่อให้แน่ใจว่าผู้ใช้ทุกคนกำลังทำผลงานแบบวันต่อวันโดยการเรียกดูเว็บการเขียนเอกสารและอื่น ๆ ตามหลักการของการเข้าถึงของผู้ใช้น้อย

แนวปฏิบัติของฉันคือการสร้างบัญชีโดเมนและให้สิทธิ์ผู้ดูแลบัญชีนั้นในเวิร์กสเตชันทั้งหมด (ผู้ดูแลระบบ PC) และบัญชีโดเมนแยกต่างหากสำหรับการดูแลระบบเซิร์ฟเวอร์ (เซิร์ฟเวอร์ผู้ดูแลระบบ) หากคุณกังวลว่าเซิร์ฟเวอร์ของคุณจะสามารถพูดคุยกันได้คุณสามารถมีบัญชีแต่ละบัญชีสำหรับแต่ละเครื่อง (<x> -admin, <y> -admin) ลองใช้บัญชีอื่นในการเรียกใช้งานผู้ดูแลระบบโดเมนอย่างแน่นอน

ด้วยวิธีนี้ถ้าคุณทำอะไรบางอย่างบนเวิร์กสเตชันที่ถูกบุกรุกด้วยบัญชีผู้ดูแลระบบ PC และคว้าโอกาสที่คุณจะได้รับสิทธิ์ระดับผู้ดูแลระบบของคุณเพื่อลองใช้เครื่องอื่นผ่านเครือข่ายคุณจะไม่สามารถทำอะไรได้เลย น่ารังเกียจสำหรับเซิร์ฟเวอร์ของคุณ การมีบัญชีนี้หมายความว่าไม่สามารถทำอะไรกับข้อมูลส่วนบุคคลของคุณได้

ฉันต้องบอกว่าในที่เดียวที่ฉันรู้ว่าพนักงานทำงานกับหลักการของลัวะพวกเขาไม่มีการแพร่ระบาดของไวรัสที่เหมาะสมในช่วงสามปีที่ฉันเห็น แผนกอื่นในสถานที่เดียวกันที่มีทุกคนที่มีผู้ดูแลระบบในท้องถิ่นและพนักงานไอทีที่มีผู้ดูแลเซิร์ฟเวอร์มีการระบาดหลายครั้งซึ่งหนึ่งในนั้นใช้เวลาสัปดาห์ในการทำความสะอาดเนื่องจากการแพร่กระจายของการติดเชื้อผ่านเครือข่าย

อาจต้องใช้เวลาสักครู่ในการตั้งค่า แต่การประหยัดที่อาจเกิดขึ้นมีขนาดใหญ่หากคุณประสบปัญหา

— Iain Hallam
แหล่งที่มา

ฉันทำงานในลักษณะนี้และใช้บัญชีโดเมนสำหรับงานประจำวันของฉันและยกระดับไปยังบัญชีโดเมนผู้ดูแลระบบของฉันเมื่อฉันต้องการ เพื่อนร่วมงานคนอื่นของฉันหัวเราะเยาะฉันและฉันแทบอดใจรอไม่ไหวที่จะเห็นเวิร์คสเตชั่นของพวกเขาส่งผลกระทบอะไรบางอย่างที่น่ารังเกียจดังนั้นฉันจึงบอกได้เลยว่า

— songei2f

1

แยกบัญชีสำหรับงานที่แยกต่างหากเป็นวิธีที่ดีที่สุดในการดู หลักการของการแปรรูปน้อยที่สุดคือชื่อของเกม จำกัด การใช้งานบัญชี "ผู้ดูแลระบบ" ในงานที่ต้องทำในฐานะ "ผู้ดูแลระบบ"

— เลียม
แหล่งที่มา

1

ความคิดเห็นแตกต่างกันบ้างระหว่าง Windows และ * ระวัง แต่การกล่าวถึงผู้ดูแลโดเมนของคุณทำให้ฉันคิดว่าคุณกำลังพูดถึง Windows ดังนั้นนั่นคือบริบทที่ฉันตอบ

บนเวิร์กสเตชันปกติแล้วคุณไม่ควรจะเป็นผู้ดูแลดังนั้นคำตอบสำหรับคำถามของคุณในกรณีส่วนใหญ่จะไม่ใช่ อย่างไรก็ตามมีข้อยกเว้นมากมายและขึ้นอยู่กับสิ่งที่ผู้ใช้ทำบนเครื่อง

บนเซิร์ฟเวอร์มันเป็นหัวข้อที่ถกเถียงกันมาก มุมมองของฉันเองก็คือฉันเพียงเข้าสู่เซิร์ฟเวอร์เพื่อทำงานของผู้ดูแลระบบดังนั้นจึงไม่สมเหตุสมผลที่จะเข้าสู่ระบบในฐานะผู้ใช้และจากนั้นเรียกใช้เครื่องมือแต่ละตัวแยกกันโดยใช้การทำงานแบบซึ่งค่อนข้างตรงไปตรงมา ในสิ่งที่คุณรู้และสำหรับงานส่วนใหญ่มันทำให้ชีวิตของผู้ดูแลยากและเสียเวลามากเกินไป เนื่องจากการทำงานของผู้ดูแลระบบ Windows ส่วนใหญ่ใช้เครื่องมือ GUI จึงมีระดับความปลอดภัยที่ไม่ได้กล่าวถึงผู้ดูแลระบบ Linux ที่ทำงานบนบรรทัดคำสั่งซึ่งพิมพ์ผิดง่ายสามารถส่งเขากลับมาด้วยเทปสำรองข้อมูลเมื่อคืนที่ผ่านมา

— John Gardeniers
แหล่งที่มา

+1, "คุณทำอะไรในการเข้าสู่เซิร์ฟเวอร์" เป็นจุดสนใจหลักของการอภิปราย

— sysadmin1138

1

ชีวิตของฉันเป็นเรื่องง่าย ... บัญชีถูกตั้งชื่ออย่างชัดเจนและทุกคนมีรหัสผ่านที่แตกต่าง

บัญชี God - ผู้ดูแลโดเมนเพื่อทำงานด้านเซิร์ฟเวอร์ทั้งหมด

บัญชี demigod เพื่อจัดการพีซี - ไม่มีสิทธิ์ในการแชร์ / เซิร์ฟเวอร์ - เฉพาะกับพีซี

ผู้ใช้ที่อ่อนแอ - ฉันให้สิทธิ์ผู้ใช้ขั้นสูงกับพีซีของฉัน แต่ฉันไม่มีสิทธิ์เหล่านั้นบนพีซีเครื่องอื่น

เหตุผลในการแยกเป็นจำนวนมาก ไม่ควรมีข้อโต้แย้งเพียงทำมัน!

— cwheeler33
แหล่งที่มา

ฉันชอบการแยกสิทธิพิเศษในสามระดับ แต่ให้ผู้อื่นฝึกสิ่งที่คุณประกาศจะต้องปวดหัว

— songei2f

มันอาจขายยากในบางสภาพแวดล้อม แต่ถ้าคุณสามารถพิสูจน์ตัวเองกับผู้กำหนดนโยบายพวกเขาจะช่วยให้คุณทำตามนโยบายได้ Exec ไม่ต้องการที่จะทำให้ บริษัท ของพวกเขาหลวมเมื่อมีวิธีแก้ปัญหาที่ง่ายและฟรี

— cwheeler33

คุณลืม # 4: การตรวจสอบผู้ใช้ซึ่งบันทึกไว้ซึ่งไม่เช่นนั้นจะเป็นอิสระจากบัญชีอื่น ๆ ทั้งหมด ดังนั้นหากแฮ็กเกอร์บางคนทำให้เทพเจ้าของคุณกลับใจคุณก็รู้ว่ามันเกิดขึ้นได้อย่างไร

— คู่ปรับ Shot

0

ความเสี่ยงที่จะถูกโหวตให้ตกนรกต้องบอกว่าขึ้นอยู่กับขั้นตอนการทำงานของผู้ดูแลระบบ สำหรับฉันเป็นการส่วนตัวสิ่งที่ฉันทำในเวิร์กสเตชันส่วนใหญ่ในที่ทำงานจะต้องใช้ข้อมูลประจำตัวของผู้ดูแลระบบเหล่านั้น คุณมีสิ่งที่มีอยู่แล้วภายในเช่นเครื่องมือจัดการโดเมน, คอนโซลการจัดการของบุคคลที่สาม, ไดรฟ์ที่แมป, เครื่องมือเข้าถึงจากระยะไกลของบรรทัดคำสั่ง, สคริปต์ ฯลฯ รายการจะดำเนินต่อไป ต้องพิมพ์ข้อมูลประจำตัวสำหรับเกือบทุกสิ่งที่คุณเปิดจะเป็นฝันร้าย

เกี่ยวกับสิ่งเดียวที่ไม่จำเป็นต้องใช้กับผู้ดูแลระบบส่วนตัวคือเว็บเบราว์เซอร์ไคลเอนต์อีเมลไคลเอนต์ IM และโปรแกรมดู PDF และสิ่งเหล่านี้ส่วนใหญ่จะเปิดให้บริการตั้งแต่เวลาที่ฉันเข้าสู่ระบบจนถึงเวลาที่ฉันออกจากระบบ ดังนั้นฉันเข้าสู่ระบบด้วยข้อมูลประจำตัวของผู้ดูแลระบบของฉันแล้วฉัน RunAs แอปส่วนตัวที่ต่ำทั้งหมดของฉันด้วยบัญชีส่วนตัวที่ต่ำ มันยุ่งยากน้อยกว่ามากและฉันก็ไม่รู้สึกปลอดภัยที่จะทำเช่นนั้น

— Ryan Bolger
แหล่งที่มา

ทำงานเช่นเดียวกับ priv ต่ำจริง ๆ ไม่ได้ทำอะไรมากมายเพื่อความปลอดภัยเนื่องจากระบบกำลังทำงานอยู่กับบัญชีผู้ดูแล คุณให้ความรู้สึกที่ผิด ๆ กับความปลอดภัย ทำมันต่อไปเข้าสู่ระบบในฐานะผู้ใช้แล้วเรียกใช้ในฐานะผู้ดูแลระบบ ให้ผู้ใช้ที่มีพลังสำหรับการเข้าสู่ระบบของคุณหากคุณต้องการ แต่โปรดอย่าวิ่งตาม ADMIN ตลอดเวลา

— เลียม

+1 ดังที่ฉันพูดในคำตอบของฉัน "มันขึ้นอยู่กับสิ่งที่คนทำบนเครื่อง" แม้จะมีทฤษฎีทั้งหมดและเรียกว่า "แนวปฏิบัติที่ดีที่สุด" มีบางครั้งที่มันก็ไม่สมเหตุสมผลที่จะเข้าสู่ระบบในฐานะผู้ใช้ อย่างน้อยก็ไม่ใช่ในโลกของ Windows

— John Gardeniers

ฉันค่อนข้างแน่ใจว่าไม่มีสิทธิ์ผู้ใช้ที่มีประสิทธิภาพใน windows 7. goo.gl/fqYbb

— Luke99

@ เลียมไม่มีความผิด แต่คุณผิดที่บอกว่า RunAs ที่มีความเป็นส่วนตัวต่ำไม่ได้ทำอะไรมากมาย มันทำสิ่งที่ควรทำซึ่งป้องกันไม่ให้กระบวนการนั้น ๆ (และลูก ๆ ) ทำสิ่งใดด้วยสิทธิ์ระดับสูง และนี่คือสิ่งที่สมบูรณ์แบบสำหรับแอปพลิเคชั่นที่ไม่ต้องการการยกระดับสิทธิ์ส่วนตัวและมักจะเป็นเป้าหมายของมัลแวร์เช่นกัน

— Ryan Bolger