ฉันทำงานในองค์กรขนาดเล็กที่มีเซิร์ฟเวอร์ 2 เครื่องและลูกค้า 30 ราย เราเป็น Windows Server 2003 / XP อย่างสมบูรณ์ นอกจากนี้ฉันผู้อำนวยการฝ่ายปฏิบัติการและ บริษัท ที่ปรึกษาด้านไอทีของเราต้องเข้าถึงบัญชีผู้ดูแลโดเมน
เราควรมีบัญชีผู้ดูแลโดเมนหลายบัญชีไม่ว่าด้วยเหตุผลใดก็ตาม (เปลี่ยนการบันทึกความปลอดภัยหรืออื่น ๆ ) มีเหตุผลที่จะไม่มีบัญชีผู้ดูแลโดเมนหลายบัญชีหรือไม่
คำตอบ:
ผู้ใช้แต่ละคนที่ดำเนินกิจกรรมการดูแลระบบควรมีบัญชีเฉพาะเพื่อดำเนินกิจกรรมเหล่านั้น ในระบบ Windows บัญชีผู้ดูแลระบบในตัว (RID 500) ควรมีการตั้งค่ารหัสผ่านที่ซับซ้อนพิมพ์และล็อคไว้ในที่ปลอดภัย ฯลฯ สำหรับกรณีฉุกเฉิน
หลักการรักษาความปลอดภัยทั่วไปมีลักษณะดังนี้: คุณต้องการทราบว่าใครกำลังทำกิจกรรม (ในกรณีนี้คือการบริหาร) (เช่นมีหลักฐานการตรวจสอบบัญชีการใช้งานร่วมกันจะพัดจากน้ำ
นอกจากนี้คุณต้องการที่จะตัดการเข้าถึงของแต่ละบุคคลในกรณีที่การละเมิดความปลอดภัยของรหัสผ่านการเลิกจ้างและอื่น ๆ บัญชีที่ใช้ร่วมกันไม่ตรงตามเกณฑ์นั้น
แชร์แล้ว, บัญชีทั่วไปใช้งานประเภทใดควรได้รับการพิจารณาที่น่าสงสัยอย่างมากในค่า แต่ข้อมูลประจำตัวของการบริหารงานร่วมกันเสมอไม่ดี
เรื่องการพิจารณาที่เฉพาะเจาะจงของ Windows เช่นการเชื่อมต่อบริการเดสก์ท็อป / เทอร์มินัลระยะไกลที่ จำกัด : ขอให้ผู้ดูแลระบบเพื่อนร่วมงานของคุณและอย่าปล่อยให้เซสชันที่ไม่เหมาะสมวางลง ฉันพบว่าแรงกดดันทางสังคมทำงานได้ดีในองค์กรขนาดเล็ก (กล่าวถึงบ่อยครั้งและดังว่าผู้ดูแลระบบ XXX ไม่จำที่จะออกจากเซิร์ฟเวอร์) คุณสามารถบูตเซสชันที่ไม่ได้เชื่อมต่อกับผู้ใช้รายอื่นได้หากต้องการ มันอาจจะเพิ่มความพยายามในการเชื่อมต่อ 30 วินาที ในองค์กรขนาดใหญ่หรือหากเป็นปัญหาใหญ่คุณอาจลองใช้การหมดเวลาของเซสชันที่ไม่ได้เชื่อมต่อ
เล็ก ๆ น้อย ๆ แต่ที่น่าจะเป็นในหัวข้อตั้งแต่คุณพูดถึงที่ปรึกษาด้านไอที: ในฐานะผู้รับเหมาด้านไอทีตัวเองฉันมักจะขอบัญชีการจัดการโดยเฉพาะสำหรับตัวเองและฉันต้องการที่จะไม่ทราบข้อมูลประจำตัวของการบริหาร มันปกป้องทั้งสองฝ่ายและให้เส้นทางการตรวจสอบ ฉันต้องการให้ลูกค้าของฉันรู้สึกเหมือนว่าพวกเขาสามารถ "ปิดกั้นฉัน" ได้ในเวลาหนึ่ง (และมีความสามารถนั้นด้วย) เพราะฉันเชื่อว่ามันส่งข้อความที่ทรงพลังซึ่งฉันมั่นใจในความสามารถในการรักษาความสัมพันธ์กับ พวกเขาขึ้นอยู่กับข้อดีของทักษะของฉันและคุณค่าที่ฉันมีให้ไม่ใช่ความรู้สึกที่คลุมเครือว่าพวกเขา "ถูกขังอยู่" กับฉัน
เหตุผลหนึ่งที่ไม่มีบัญชีหลายบัญชี:
หากคุณจัดการทุกอย่างโดยใช้เดสก์ท็อประยะไกลคุณอาจมีข้อ จำกัด เหล่านั้น ถ้าคนเพิ่งปิดเซสชันเดสก์ท็อประยะไกลโดยไม่ต้องออกจากระบบพวกเขาจะถูกผูกไว้อย่างรวดเร็ว
เหตุผลที่มีหลายบัญชี:
คุณสามารถดูได้ว่าใครเข้าสู่ระบบเมื่อหากสิ่งที่ไม่ดีเกิดขึ้น แม้ว่าจริง ๆ แล้วถ้าคุณมีสภาพแวดล้อมของทีมที่ดีใครก็ตามที่ทำอะไรบางอย่างจะยอมรับมัน
คำตอบของอีวานนั้นดี โปรดจำไว้ว่าคุณไม่ควรใช้บัญชีผู้ดูแลระบบของคุณสำหรับงานประจำวัน - ใช้คำสั่งผู้ดูแลระบบด้วย Runas หรือสิ่งที่คล้ายกันเสมอหากคุณใช้งานบางอย่างบนเวิร์กสเตชันของคุณโดยตรง
สำหรับบัญชีบริการคุณสามารถปิดใช้งานการเข้าสู่ระบบแบบโต้ตอบเพื่อให้ปลอดภัยยิ่งขึ้น
จุดสุดท้ายหนึ่งตรวจสอบให้แน่ใจว่าคุณเปิดการตรวจสอบความปลอดภัยบนเซิร์ฟเวอร์ของคุณและตรวจสอบให้แน่ใจว่าบันทึกเหตุการณ์ความปลอดภัยมีขนาดใหญ่พอ (ฉันมักจะตั้งไว้ที่ 20MB หรือมากกว่า)