Her zaman yönetici olarak oturum açmak kötü mü?

Çalıştığım ofiste, BT personelinin diğer üyelerinden üçü her zaman bilgisayarlarına etki alanı yöneticileri grubunun üyesi olan hesaplarla giriş yapıyor.

Yönetici haklarıyla (yerel veya alan adı için) oturum açmayla ilgili ciddi endişelerim var. Bu nedenle, günlük bilgisayar kullanımı için, sadece düzenli kullanıcı privelagesine sahip bir hesap kullanıyorum. Ayrıca, etki alanı yöneticileri grubunun bir parçası olan farklı bir hesabım var. Bilgisayarımda, sunuculardan birinde veya başka bir kullanıcının bilgisayarında yükseltilmiş ayrıcalıklar gerektiren bir şey yapmam gerektiğinde bu hesabı kullanıyorum.

Buradaki en iyi uygulama nedir? Ağ yöneticileri her zaman tüm ağın haklarıyla (ya da yerel bilgisayarlarıyla) oturum açmalı mıdır?

Mutlak en iyi uygulama Canlı Kullanıcı, Çalışma Kökü . Her 5 dakikada bir Sunucu Hatası'nda yenile düğmesine bastığınızda oturum açtığınız kullanıcı normal bir kullanıcı olmalıdır. Exchange yönlendirme sorunlarını tanılamak için kullandığınız Yönetici olmalıdır. Bu ayrımı elde etmek zor olabilir, çünkü Windows'da en azından çift oturum açma gerektirir ve bu da bir şekilde iki bilgisayar anlamına gelir.

• VM'ler bunun için gerçekten iyi çalışıyor ve bu şekilde çözüyorum.
• Yükseltilmiş hesaplarını dahili olarak barındırılan belirli VM'lerle giriş yapan ve kısıtlayan kuruluşları duydum ve yöneticiler erişim için RDP'ye güveniyor.
• UAC, bir yöneticinin yapabileceklerini sınırlamaya yardımcı olur (özel programlara erişerek), ancak sürekli istemler, yapılması gerekenleri yapmak için başka bir makineye uzaktan girmek zorunda olmak kadar can sıkıcı olabilir.

Bu neden en iyi uygulama? Kısmen bunu söylemiştim ve bir sürü başka şey yaptım. SysAdminning, en iyi uygulamaları herhangi bir kesin şekilde ayarlayan merkezi bir organa sahip değildir. Son on yılda, yalnızca gerçekten ihtiyaç duyduğunuzda yükseltilmiş özel kurallar kullandığınızı gösteren bazı IT Güvenliği en iyi uygulamalarını yayınladık. en iyi uygulamalardan bazıları, son 40+ yıl boyunca sistem yöneticilerinin deneyim gestalt aracılığıyla belirlenir. LISA 1993'ten bir makale ( link ), SANS'tan örnek bir makale ( link , PDF), SANS'ın kritik güvenlik kontrollerinden bir bölüm buna ( link ) değiniyor .

Bu bir Windows etki alanı olduğundan, kullandıkları hesapların tüm iş istasyonlarına tam ağ erişimi vardır, bu nedenle kötü bir şey olursa saniyeler içinde ağ üzerinden olabilir. İlk adım, en az Kullanıcı Erişimi ilkesine uygun olarak tüm kullanıcıların günlük işler yaptığından, web'e göz attığından, belge yazdığından vb. Emin olmaktır .

Benim uygulama daha sonra bir etki alanı hesabı oluşturmak ve bu hesap tüm iş istasyonları (PC-admin) üzerinde yönetici ayrıcalıkları ve sunucu yönetici çalışmaları için ayrı bir etki alanı hesabı (sunucu-yönetici) vermektir. Sunucularınızın birbirleriyle konuşabileceğinden endişe ediyorsanız, her makine için ayrı hesaplarınız olabilir (<x> -admin, <y> -admin). Alan adı yöneticisi işlerini çalıştırmak için kesinlikle başka bir hesap kullanmayı deneyin.

Bu şekilde, PC-admin hesabıyla güvenliği ihlal edilmiş bir iş istasyonunda bir şey yapıyorsanız ve ağ üzerindeki diğer makinelere erişmeye çalışmak için yönetici ayrıcalıklarına sahip olma şansınızı yakalarsanız, hiçbir şey yapamaz. sunucularınız için kötü. Bu hesaba sahip olmak, kişisel verilerinize hiçbir şey yapamayacağı anlamına da gelir.

Yine de şunu söylemeliyim ki, bir yerde personelin LUA ilkeleriyle nerede çalıştığını bildiğim, gördüğüm üç yıl boyunca uygun bir virüs istilası olmadı; aynı yerde yerel yöneticili herkesin ve sunucu yöneticili BT personelinin bulunduğu başka bir departmanın birkaç salgısı vardı, bunlardan biri ağ yoluyla enfeksiyonun yayılması nedeniyle bir hafta BT'nin temizlenmesi gerekiyordu.

Kurulması biraz zaman alır, ancak sorunlardan etkilenirseniz potansiyel tasarruflar çok büyüktür.

Ayrı görevler için ayrı hesaplar, ona bakmak için en iyi yoldur. En az privilage prensibi oyunun adıdır. "Admin" hesaplarının kullanımını "admin" olarak yapılması gereken görevlerle sınırlandırın.

Görüşler Windows ve * nix arasında biraz farklılık gösterir, ancak etki alanı yöneticilerinden bahsettiğinizde Windows hakkında konuştuğunuzu düşünüyorum, bu yüzden cevap verdiğim bağlam bu.

Bir iş istasyonunda normalde yönetici olmanız gerekmez, bu nedenle çoğu durumda sorunuzun cevabı HAYIR olacaktır. Bununla birlikte, çok sayıda istisna vardır ve bu gerçekten kişinin makinede ne yaptığına bağlıdır.

Bir sunucuda çok tartışılan bir konu. Kendi görüşüm, sadece yönetici işi yapmak için bir sunucuda oturum açmam, bu yüzden bir kullanıcı olarak oturum açmanın ve daha sonra her bir ayrı aracı run-as kullanarak çalıştırmanın mantıklı olmaması, ki açıkçası her zaman gerçek bir acı oldu bilirsiniz ve çoğu iş için bir yöneticinin hayatını aşırı derecede zor ve zaman alıcı hale getirir. Çoğu Windows yönetici işi GUI araçları kullanılarak yapıldığından, komut satırında çalışan bir Linux yöneticisi için basit bir yazım hatasıyla geçen gecenin yedekleme bandı için koşturma gönderebileceği bir güvenlik derecesi yoktur.

hayatım basit ... hesabın adı farklı ve hepsinin şifreleri farklı.

Tanrı hesabı - tüm sunucu tarafı işlerini yapmak için etki alanı yöneticisi

PC'leri yönetmek için demigod hesabı - paylaşımlar / sunucular üzerinde hiçbir hakkı yoktur - sadece PC'ler için

zayıf kullanıcı - Kendi bilgisayarımda kendime güç kullanıcısı veriyorum, ancak diğer bilgisayarlarda bu haklara bile sahip değilim

ayrılma nedenleri çoktur. hiçbir argüman olmamalı, sadece yap!

Aşağı cehenneme oy verme riski altındayken, yöneticinin iş akışına bağlı olduğunu söylemeliyim. Şahsen benim için iş yerimde iş istasyonumda yaptığım şeylerin büyük çoğunluğunun bu yönetici kimlik bilgilerine ihtiyacı olacak. Etki alanı yönetim araçları, 3. taraf yönetim konsolları, eşlenmiş sürücüler, komut satırı uzaktan erişim araçları, komut dosyaları vb. Gibi yerleşik öğeleriniz var. Liste devam ediyor. Açtığınız hemen hemen her şey için kimlik bilgilerini yazmak bir kabus olacaktır.

Genellikle yönetici ayrıcalıklarına ihtiyaç duymayan şeyler hakkında web tarayıcım, e-posta istemcim, IM istemcim ve PDF görüntüleyicim var. Ve bunların çoğu giriş yaptığım andan çıkış yaptığım zamana kadar açık kalıyor. Bu yüzden yönetici kimlik bilgilerimle giriş yapıyorum ve daha sonra düşük özel hesabımın tümü düşük bir özel hesaba sahip. Çok daha az güçlük çekiyor ve bunu yapmak için daha az güvenli hissetmiyorum.