"แนวปฏิบัติที่ดีที่สุด" โดยทั่วไปจะกำหนด LPU (ผู้ใช้ที่มีสิทธิ์น้อยที่สุด) ... แต่คุณถูกต้อง (เช่น ETL และ Joe ดังนั้น +1) ที่ผู้คนไม่ค่อยติดตามรุ่นนี้
คำแนะนำส่วนใหญ่จะทำตามที่คุณพูดว่า ... สร้าง 2 บัญชีและไม่แชร์บัญชีเหล่านั้นกับผู้อื่น บัญชีหนึ่งไม่ควรมีสิทธิ์ของผู้ดูแลระบบแม้กระทั่งเวิร์กสเตชันท้องถิ่นที่คุณใช้ในทางทฤษฎี แต่อีกครั้งที่ปฏิบัติตามกฎนั้นโดยเฉพาะกับ UAC ในทุกวันนี้ (ซึ่งในทางทฤษฎีควรเปิดใช้งาน)
มีหลายปัจจัยที่ทำให้คุณอยากไปเส้นทางนี้ คุณต้องคำนึงถึงความปลอดภัยความสะดวกสบายนโยบายขององค์กรข้อ จำกัด ด้านกฎระเบียบ (ถ้ามี) ความเสี่ยง ฯลฯ
การรักษาDomain Admins
และAdministrators
กลุ่มระดับโดเมนให้ดีและสะอาดด้วยบัญชีน้อยที่สุดเป็นความคิดที่ดีเสมอ แต่อย่าแชร์บัญชีผู้ดูแลโดเมนทั่วไปหากคุณสามารถหลีกเลี่ยงได้ ไม่อย่างนั้นมีความเสี่ยงที่จะมีคนทำบางสิ่งบางอย่างจากนั้นใช้นิ้วชี้ไปมาระหว่าง sysadmins ของ "ไม่ใช่ฉันที่ใช้บัญชีนั้น" ดีกว่าที่จะมีบัญชีบุคคลหรือใช้สิ่งที่ต้องการ CyberArk EPA เพื่อตรวจสอบได้อย่างถูกต้อง
นอกจากนี้ในบรรทัดเหล่านี้Schema Admins
กลุ่มของคุณควรว่างเปล่าเสมอเว้นแต่คุณจะทำการเปลี่ยนแปลงสคีมาแล้วจึงใส่บัญชีเข้าทำการเปลี่ยนแปลงและนำบัญชีออก เช่นเดียวกันอาจกล่าวได้ว่าEnterprise Admins
โดยเฉพาะในรูปแบบโดเมนเดียว
คุณไม่ควรอนุญาตให้บัญชีที่มีสิทธิพิเศษให้ VPN เข้าสู่เครือข่าย ใช้บัญชีปกติแล้วยกระดับตามที่ต้องการเมื่ออยู่ภายใน
ท้ายที่สุดคุณควรใช้ SCOM หรือ Netwrix หรือวิธีอื่นในการตรวจสอบกลุ่มที่มีสิทธิพิเศษใด ๆ และแจ้งกลุ่มที่เหมาะสมในด้านไอทีเมื่อใดก็ตามที่สมาชิกของกลุ่มเหล่านี้มีการเปลี่ยนแปลง สิ่งนี้จะช่วยให้คุณพูดได้ว่า "รอสักครู่ทำไมจึงเป็นเช่นนั้นผู้ดูแลโดเมน" เป็นต้น
ในตอนท้ายของวันมีเหตุผลที่เรียกว่า "การปฏิบัติที่ดีที่สุด" และไม่ใช่ "การฝึกฝนเท่านั้น" ... มีกลุ่มตัวเลือกที่ยอมรับได้ซึ่งขึ้นอยู่กับความต้องการและปรัชญาของพวกเขาเอง บางคน (เช่นโจพูด) ขี้เกียจ ... ในขณะที่คนอื่นไม่สนใจเพราะพวกเขาไม่สนใจที่จะเสียบช่องโหว่ด้านความปลอดภัยหนึ่งช่องเมื่อมีคนนับร้อยและยิงทุกวันเพื่อต่อสู้ อย่างไรก็ตามเมื่อคุณได้อ่านสิ่งเหล่านี้แล้วให้พิจารณาหนึ่งในตัวคุณที่จะต่อสู้กับการต่อสู้ที่ดีและทำสิ่งที่คุณทำได้เพื่อรักษาความปลอดภัย :)
อ้างอิง:
http://www.microsoft.com/en-us/download/details.aspx?id=4868
http://technet.microsoft.com/en-us/library/cc700846.aspx
http://technet.microsoft.com/en-us/library/bb456992.aspx