Security

Рекомендуется ли иметь отдельный вход в домен для администраторов домена?

Обычно мне нравится создавать отдельные логины для себя, один с правами обычного пользователя, а другой для административных задач. Например, если домен XXXX, я бы создал учетную запись XXXX\bpeikes и XXXX\adminbp. Я всегда так делал, потому что, честно говоря, я не доверяю себе, когда вхожу в систему как администратор, но в каждом месте, где я работал, системные администраторы, похоже, просто добавляют свои обычные учетные записи в группу Domain Admins.

Есть ли какие-нибудь лучшие практики? Я видел статью от MS, в которой говорится, что вы должны использовать Run As, а не входить в систему как администратор, но они не приводят пример реализации, и я никогда не видел, чтобы кто-то еще так делал.

Ответ 1

«Лучшая практика» обычно диктует LPU (наименее привилегированный пользователь)... но вы правы, что люди редко следуют этой модели. Большинство рекомендаций сводится к тому, чтобы сделать так, как вы говорите создать 2 учетные записи и не делиться ими с другими. Одна учетная запись не должна иметь прав администратора даже на локальной рабочей станции, которую вы используете, в теории, но, опять же, кто следует этому правилу, особенно с UAC в наши дни (который в теории должен быть включен)?

Существует множество факторов, почему вы хотите пойти этим путем. Вы должны учитывать безопасность, удобство, корпоративную политику, нормативные ограничения (если они есть), риск и т. д. Сохранение групп доменного уровня Domain Admins и Administrators с минимальным количеством учетных записей всегда хорошая идея. Но не стоит просто разделять общие учетные записи администраторов домена, если вы можете этого избежать. В противном случае есть риск, что кто-то что-то сделает, а потом сисадмины будут указывать друг на друга: «Это не я использовал эту учетную запись». Лучше иметь отдельные учетные записи или использовать что-то вроде CyberArk EPA для правильного аудита.

Кроме того, группа Schema Admins всегда должна быть ПУСТОЙ, если только вы не вносите изменения в схему тогда вы вводите учетную запись, вносите изменения и удаляете ее. То же самое можно сказать и об администраторах предприятия, особенно в модели с одним доменом. Вы также НЕ должны позволять привилегированным учетным записям входить в сеть через VPN. Используйте обычную учетную запись, а затем повышайте уровень по мере необходимости, когда окажетесь внутри системы.

Наконец, вы должны использовать SCOM, Netwrix или другой метод для аудита любой привилегированной группы и уведомлять соответствующую группу в ИТ-отделе, когда любой из членов этой группы меняется. В конце концов, не зря это называется «Лучшей практикой», а не «Единственной практикой». Есть приемлемые решения, которые ИТ-группы принимают, исходя из своих собственных потребностей и философских взглядов на это. Некоторые ленивы, а другим просто все равно, потому что они не заинтересованы в решении проблем безопасности, когда их уже сотни и ежедневно приходится бороться с ними. Однако теперь, когда вы все это прочитали, считайте себя одним из тех, кто будет бороться за безопасность и делать все возможное для решения подобных проблем.

Ответ 2

Это лучшая практика по соображениям безопасности. Как уже отмечали другие, это предотвращает случайные действия или компрометацию при просмотре сети. Это также ограничивает вред, который может нанести ваш личный просмотр в идеале ваша повседневная работа не должна иметь привилегий даже локального администратора, не говоря уже об администраторе домена.

Это также невероятно полезно для борьбы с перехватом токена аутентификации Pass the Hash или Windows. (Пример) Правильное тестирование на проникновение легко докажет это, а именно: как только злоумышленник получает доступ к учетной записи локального администратора, он использует эти полномочия для перехода в процесс с маркером администратора домена. Тогда они фактически получат эти полномочия.

На самом деле, у наших администраторов домена ТРИ учетные записи. Одна для повседневного использования, другая для администрирования ПК/установки программного обеспечения локально. Третья это учетная запись администратора домена, которая используется исключительно для администрирования серверов и домена. 

Ответ 3

Я работал в местах, где это делается и так и так, и в целом предпочитаю иметь отдельную учетную запись. Это на самом деле намного проще, вопреки тому, что думают неохотно настроенные пользователи/клиенты joeqwerty:

Плюсы использования вашей обычной, повседневной учетной записи для администрирования домена: все административные инструменты работают на моей рабочей станции без проблем.

Минусы использования вашей обычной, повседневной учетной записи для администрирования домена: постоянное беспокойство ;) Техник просит вас посмотреть на машину, потому что не может понять, что с ней не так, вы входите, а там вирус. Отключите сетевой кабель, смените пароль. Когда менеджеры спрашивают вас, почему вы не получаете рабочую почту на свой личный блэкберри через провайдера сотовой связи, вы объясняете, что они хранят ваш пароль DOMAIN ADMIN на своих серверах, когда вы это делаете, и т. д., и т. п. Ваш высокопривилегированный пароль используется для таких вещей, как веб-почта, vpn, вход на эту веб-страницу. 

Плюсы использования другой учетной записи для администрирования домена: намерение. Эта учетная запись предназначена для административных инструментов и т. д., а не для электронной почты, веб-почты, vpn, входа на веб-страницы и т. д. Таким образом, меньше опасений, что мои обычные действия «пользователя» подвергают риску весь домен.

Минусы использования другой учетной записи для работы администратора домена: мне приходится использовать массу административных инструментов. Это просто не так болезненно.

Схожие статьи

Обфускация и деобфускация кода: всё про этот метод защиты ПО
Security

Обфускация и деобфускация кода: всё про этот метод защиты ПО

Security

Следует ли заставлять пользователей менять пароли каждые несколько дней/недель/месяцев?

Security

Посоветуйте систему обнаружения вторжений (IDS/IPS), стоят ли они того?

Security

Как защитить общедоступный сервер удаленного рабочего стола?