การปฏิบัติที่ดีที่สุดคือมีการเข้าสู่ระบบแยกต่างหากสำหรับโดเมนสำหรับผู้ดูแลโดเมนหรือไม่

โดยทั่วไปฉันต้องการตั้งค่าการเข้าสู่ระบบแยกต่างหากสำหรับตัวเองส่วนหนึ่งด้วยสิทธิ์ผู้ใช้ปกติและอีกรายการหนึ่งสำหรับงานด้านการดูแลระบบ ตัวอย่างเช่นหากโดเมนเป็น XXXX ฉันจะตั้งค่า XXXX \ bpeikes และบัญชี XXXX \ adminbp ฉันทำมาตลอดเพราะฉันไม่เชื่อว่าตนเองจะเข้าสู่ระบบในฐานะผู้ดูแลระบบ แต่ในทุก ๆ ที่ที่ฉันทำงานผู้ดูแลระบบดูเหมือนจะเพิ่มบัญชีปกติของพวกเขาไปยังกลุ่ม Domain Admins

มีวิธีปฏิบัติที่ดีที่สุดหรือไม่? ฉันเคยเห็นบทความจาก MS ที่ดูเหมือนว่าคุณควรใช้ Run As และไม่ใช่เข้าสู่ระบบในฐานะผู้ดูแลระบบ แต่พวกเขาไม่ได้ยกตัวอย่างของการนำไปใช้และฉันไม่เคยเห็นใครทำเลย

"แนวปฏิบัติที่ดีที่สุด" โดยทั่วไปจะกำหนด LPU (ผู้ใช้ที่มีสิทธิ์น้อยที่สุด) ... แต่คุณถูกต้อง (เช่น ETL และ Joe ดังนั้น +1) ที่ผู้คนไม่ค่อยติดตามรุ่นนี้

คำแนะนำส่วนใหญ่จะทำตามที่คุณพูดว่า ... สร้าง 2 บัญชีและไม่แชร์บัญชีเหล่านั้นกับผู้อื่น บัญชีหนึ่งไม่ควรมีสิทธิ์ของผู้ดูแลระบบแม้กระทั่งเวิร์กสเตชันท้องถิ่นที่คุณใช้ในทางทฤษฎี แต่อีกครั้งที่ปฏิบัติตามกฎนั้นโดยเฉพาะกับ UAC ในทุกวันนี้ (ซึ่งในทางทฤษฎีควรเปิดใช้งาน)

มีหลายปัจจัยที่ทำให้คุณอยากไปเส้นทางนี้ คุณต้องคำนึงถึงความปลอดภัยความสะดวกสบายนโยบายขององค์กรข้อ จำกัด ด้านกฎระเบียบ (ถ้ามี) ความเสี่ยง ฯลฯ

การรักษาDomain AdminsและAdministratorsกลุ่มระดับโดเมนให้ดีและสะอาดด้วยบัญชีน้อยที่สุดเป็นความคิดที่ดีเสมอ แต่อย่าแชร์บัญชีผู้ดูแลโดเมนทั่วไปหากคุณสามารถหลีกเลี่ยงได้ ไม่อย่างนั้นมีความเสี่ยงที่จะมีคนทำบางสิ่งบางอย่างจากนั้นใช้นิ้วชี้ไปมาระหว่าง sysadmins ของ "ไม่ใช่ฉันที่ใช้บัญชีนั้น" ดีกว่าที่จะมีบัญชีบุคคลหรือใช้สิ่งที่ต้องการ CyberArk EPA เพื่อตรวจสอบได้อย่างถูกต้อง

นอกจากนี้ในบรรทัดเหล่านี้Schema Adminsกลุ่มของคุณควรว่างเปล่าเสมอเว้นแต่คุณจะทำการเปลี่ยนแปลงสคีมาแล้วจึงใส่บัญชีเข้าทำการเปลี่ยนแปลงและนำบัญชีออก เช่นเดียวกันอาจกล่าวได้ว่าEnterprise Adminsโดยเฉพาะในรูปแบบโดเมนเดียว

คุณไม่ควรอนุญาตให้บัญชีที่มีสิทธิพิเศษให้ VPN เข้าสู่เครือข่าย ใช้บัญชีปกติแล้วยกระดับตามที่ต้องการเมื่ออยู่ภายใน

ท้ายที่สุดคุณควรใช้ SCOM หรือ Netwrix หรือวิธีอื่นในการตรวจสอบกลุ่มที่มีสิทธิพิเศษใด ๆ และแจ้งกลุ่มที่เหมาะสมในด้านไอทีเมื่อใดก็ตามที่สมาชิกของกลุ่มเหล่านี้มีการเปลี่ยนแปลง สิ่งนี้จะช่วยให้คุณพูดได้ว่า "รอสักครู่ทำไมจึงเป็นเช่นนั้นผู้ดูแลโดเมน" เป็นต้น

ในตอนท้ายของวันมีเหตุผลที่เรียกว่า "การปฏิบัติที่ดีที่สุด" และไม่ใช่ "การฝึกฝนเท่านั้น" ... มีกลุ่มตัวเลือกที่ยอมรับได้ซึ่งขึ้นอยู่กับความต้องการและปรัชญาของพวกเขาเอง บางคน (เช่นโจพูด) ขี้เกียจ ... ในขณะที่คนอื่นไม่สนใจเพราะพวกเขาไม่สนใจที่จะเสียบช่องโหว่ด้านความปลอดภัยหนึ่งช่องเมื่อมีคนนับร้อยและยิงทุกวันเพื่อต่อสู้ อย่างไรก็ตามเมื่อคุณได้อ่านสิ่งเหล่านี้แล้วให้พิจารณาหนึ่งในตัวคุณที่จะต่อสู้กับการต่อสู้ที่ดีและทำสิ่งที่คุณทำได้เพื่อรักษาความปลอดภัย :)

อ้างอิง:

http://www.microsoft.com/en-us/download/details.aspx?id=4868

http://technet.microsoft.com/en-us/library/cc700846.aspx

http://technet.microsoft.com/en-us/library/bb456992.aspx

AFAIK ถือว่าเป็นแนวปฏิบัติที่ดีที่สุดสำหรับผู้ดูแลระบบโดเมน / เครือข่ายที่มีบัญชีผู้ใช้มาตรฐานสำหรับการเข้าสู่ระบบเวิร์กสเตชันเพื่อทำงาน "ผู้ใช้" ตามปกติ (อีเมลเอกสาร ฯลฯ ) และมีบัญชีผู้ดูแลระบบที่เหมาะสม การเป็นสมาชิกกลุ่มเพื่อให้พวกเขาสามารถทำงานด้านการดูแลระบบได้

นี่คือรูปแบบที่ฉันพยายามติดตามแม้ว่าจะเป็นเรื่องยากที่จะนำไปปฏิบัติหากพนักงานไอทีที่มีอยู่ไม่คุ้นเคยกับการทำเช่นนี้

โดยส่วนตัวแล้วถ้าฉันพบว่าพนักงานไอทีที่มีความสามารถที่จะก้าวไปในทิศทางนี้ฉันเห็นว่าพวกเขาขี้เกียจไม่มีประสบการณ์หรือพวกเขาไม่เข้าใจวิธีการบริหารระบบ

นี่เป็นวิธีปฏิบัติที่ดีที่สุดสำหรับเหตุผลด้านความปลอดภัย ดังที่คนอื่น ๆ พูดถึงมันป้องกันคุณจากการทำบางอย่างโดยไม่ตั้งใจหรือจากการที่คุณถูกโจมตีจากการเบราส์เครือข่าย นอกจากนี้ยังจำกัดความเสียหายที่การเรียกดูส่วนตัวของคุณสามารถทำได้ - โดยเฉพาะอย่างยิ่งการทำงานประจำวันของคุณไม่ควรมีสิทธิ์ผู้ดูแลระบบท้องถิ่น

นอกจากนี้ยังมีประโยชน์อย่างเหลือเชื่อในการตอบโต้Pass the Hashหรือ Windows hijacks token authentication ( ตัวอย่าง ) การทดสอบการเจาะที่เหมาะสมจะพิสูจน์ได้อย่างง่ายดาย กล่าวคือเมื่อผู้โจมตีเข้าถึงบัญชีผู้ดูแลระบบในพื้นที่พวกเขาจะใช้พลังนั้นในการโยกย้ายเข้าสู่กระบวนการด้วยโทเค็น Domain Admin จากนั้นพวกเขาก็มีพลังเหล่านั้นอย่างมีประสิทธิภาพ

สำหรับตัวอย่างของคนที่ใช้สิ่งนี้ บริษัท ของฉันทำ! (200ish คน, 6 คนเลือกทีม) อันที่จริงผู้ดูแลโดเมนของเรามีบัญชี -THREE- หนึ่งสำหรับการใช้งานทุกวันหนึ่งสำหรับการจัดการ / ติดตั้งซอฟต์แวร์ในเครื่อง ที่สามคือบัญชี Domain Admin และใช้เพื่อการจัดการเซิร์ฟเวอร์และโดเมนเท่านั้น ถ้าเราต้องการที่จะหวาดระแวง / ปลอดภัยมากขึ้นที่สี่อาจจะอยู่ในลำดับ

ในอดีต บริษัท ของฉันฉันยืนยันว่าผู้ดูแลระบบทั้งหมดมี 2 บัญชีคือ:

• โดเมน \ st19085
• DOMAIN \ st19085a ("a" สำหรับผู้ดูแลระบบ)

เพื่อนร่วมงานลังเลในตอนแรก แต่มันกลายเป็นกฎง่ายๆเมื่อคำถามทั่วไปเกี่ยวกับภัยคุกคามไวรัส "เราได้รับโปรแกรมป้องกันไวรัส" ถูก debunked โดยฐานข้อมูลไวรัสที่ล้าสมัย ...

• ตามที่คุณกล่าวถึงคำสั่งRUNASสามารถใช้ได้ (ฉันเคยมีแบตช์สคริปต์นำเสนอเมนูที่กำหนดเองเรียกใช้งานเฉพาะด้วยคำสั่ง RUNAS)

• สิ่งหนึ่งคือการใช้ของของ Microsoft Management Consoleคุณสามารถบันทึกเครื่องมือที่คุณต้องการและการเปิดตัวพวกเขาด้วยการคลิกขวา , Run เป็น ...และบัญชีผู้ดูแลระบบโดเมนของคุณ

• สุดท้าย แต่ไม่ท้ายสุดฉันเคยเปิดตัว PowerShell shell ในฐานะ Domain Admin และเปิดสิ่งที่ฉันต้องการจากที่นั่น

ฉันได้ทำงานในสถานที่ที่ทำได้ทั้งสองทางและโดยทั่วไปแล้วต้องการมีบัญชีแยกต่างหาก จริงๆแล้วมันเป็นวิธีที่ง่ายกว่ามากตรงกันข้ามกับสิ่งที่ผู้ใช้ / ลูกค้าไม่เต็มใจที่ดูเหมือนจะคิดของ joeqwerty:

ข้อดีของการใช้บัญชีปกติของคุณทุกวันสำหรับกิจกรรมการดูแลโดเมน: Yay เครื่องมือการดูแลทั้งหมดทำงานบนเวิร์กสเตชันของฉันโดยไม่มี Runas! w00t!

ข้อเสียของการใช้บัญชีปกติของคุณทุกวันสำหรับกิจกรรมการดูแลโดเมน: กลัว ;) เทคโนโลยีเดสก์ท็อปขอให้คุณดูเครื่องเพราะเขาไม่สามารถเข้าใจได้ว่ามีอะไรผิดปกติคุณเข้าสู่ระบบมีไวรัส ถอดสายเคเบิลเครือข่ายเปลี่ยนรหัสผ่าน (ที่อื่น) เมื่อผู้จัดการถามคุณว่าทำไมคุณไม่ได้รับอีเมลที่ทำงานบน blackberry ส่วนตัวของคุณผ่านผู้ให้บริการโทรศัพท์มือถือคุณจะได้รับอธิบายว่าพวกเขาเก็บรหัสผ่าน DOMAIN ADMIN ของคุณไว้บนเซิร์ฟเวอร์เมื่อคุณทำเช่นนั้น ฯลฯ รหัสผ่านที่มีสิทธิ์สูงของคุณใช้สำหรับสิ่งต่าง ๆ เช่น ... เว็บเมล, VPN, เข้าสู่ระบบบนหน้าเว็บนี้ (เช่น) (เพื่อความเป็นธรรมบัญชีของฉันถูกบล็อกจากหน้าเว็บ "เปลี่ยนรหัสผ่านของคุณ" ดังนั้นอย่างน้อยก็มีเช่นนั้นถ้าฉันต้องการเปลี่ยนรหัสผ่าน LDAP เก่าของฉันซึ่งหน้าเว็บซิงค์แล้วฉันต้องไป ไปที่โต๊ะทำงานของเพื่อนร่วมงาน)

ข้อดีของการใช้บัญชีอื่นสำหรับกิจกรรมการดูแลโดเมน: เจตนา บัญชีดังกล่าวมีไว้สำหรับเครื่องมือการดูแลระบบและไม่ใช่สำหรับอีเมล, เว็บเมล, VPN, การเข้าสู่ระบบหน้าเว็บ ฯลฯ ดังนั้นจึงไม่กลัวว่ากิจกรรม "ผู้ใช้" ปกติของฉันจะทำให้ทั้งโดเมนมีความเสี่ยง

ข้อเสียของการใช้บัญชีอื่นสำหรับกิจกรรมการดูแลโดเมน: ฉันต้องใช้ runas สำหรับเครื่องมือการดูแลระบบ นั่นไม่ใช่ความเจ็บปวด

รุ่น TL; DR: การมีบัญชีแยกต่างหากนั้นง่ายกว่าเดิม นอกจากนี้ยังเป็นวิธีที่ดีที่สุดเป็นมันน้อยสิทธิ์ที่จำเป็น

Least Priv ควรมีเหตุผลเพียงพอ แต่ในกรณีที่ไม่ใช่นั้นให้พิจารณาด้วยเช่นกันว่าหากคุณใช้บัญชีที่มีสิทธิ์เช่นเดียวกับผู้ใช้ของคุณคุณมีแนวโน้มที่จะประสบปัญหาใด ๆ บ่อยเกินไปก่อนที่พวกเขาจะได้เห็นพวกเขา!

ไม่มีอะไรเลวร้ายไปกว่าผู้ดูแลระบบที่บอกว่า "ใช้งานได้สำหรับฉัน" และปิดตั๋ว :)

ในทุกทฤษฎีเป็นการดีที่สุดที่คุณจะไม่ใช้การเข้าสู่ระบบของผู้ดูแลระบบระดับสูงสำหรับกิจกรรมประจำวันของคุณ มีเหตุผลมากมายเช่นไวรัส - หากคุณได้รับไวรัสและคุณใช้การเข้าสู่ระบบ Domain Admin แล้วไวรัสมีวิธีที่ง่ายในการเข้าถึงเครือข่ายของคุณเข้าถึงแบบเต็ม! ความผิดพลาดที่เป็นไปได้นั้นง่ายกว่าที่จะทำอย่างแน่นอน แต่ฉันไม่เห็นว่าเป็นความท้าทายที่ยิ่งใหญ่ที่สุด หากคุณไปรอบ ๆ มหาวิทยาลัยและเข้าสู่ระบบด้วยผู้ดูแลระบบระดับสูงของคุณอาจมีบางคนมองข้ามรหัสผ่านของคุณ ทุกสิ่งเช่นนั้น

แต่มันใช้ได้จริงไหม? ฉันพบว่ามันยากที่จะปฏิบัติตามกฎนั้น แต่ฉันต้องการที่จะปฏิบัติตาม

เพิ่ม 2 เซนต์ของฉันตามประสบการณ์จริง ..

การรู้และตระหนักว่าคุณกำลังใช้บัญชีผู้ดูแลระบบสำหรับงานประจำวันของคุณทำให้คุณระมัดระวังในทุกสิ่งที่คุณทำ ดังนั้นคุณจึงไม่เพียงแค่คลิกที่อีเมล / ลิงค์หรือเพียงแค่เรียกใช้แอปพลิเคชันใด ๆ โดยไม่ต้องตรวจสอบสามครั้ง ฉันคิดว่ามันทำให้คุณอยู่ที่นิ้วเท้าของคุณ

การใช้บัญชีที่มีสิทธิ์น้อยที่สุดสำหรับงานประจำวันของคุณจะทำให้คุณขาดความระมัดระวัง