Etki alanı yöneticileri için bir etki alanı için ayrı giriş yapmak en iyi yöntem midir?

33

Genelde kendim için, biri düzenli kullanıcı izinlerine sahip, biri de idari görevler için ayrı girişler ayarlamayı seviyorum. Örneğin, eğer alan adı XXXX ise, bir XXXX \ bpeikes ve bir XXXX \ adminbp hesabı kurardım. Her zaman yaptım çünkü açıkçası yönetici olarak oturum açtığım için kendime güvenmiyorum, ancak çalıştığım her yerde, sistem yöneticileri normal hesaplarını Domain Admins grubuna eklediler.

En iyi uygulamalar var mı? MS'ten Farklı Çalıştır kullanmanız gerektiğini ve yönetici olarak oturum açmamanız gerektiğini belirten bir makale gördüm, ancak bir uygulama örneği vermediler ve başka hiç kimsenin yaptığını görmedim.

active-directory  security  domain-controller  best-practices 
Benjamin Peikes
kaynak
1
Öncelikle Linux / Unix'te çalışan ve bir Windows uzmanı olmayan biri olarak, bu tam olarak UAC'nin düzeltmesi gereken şey değil midir? Demek istediğim, bir hesap kullanabilir, ancak yine de yalnızca yetkili işlemlere sahip olabilirsiniz.
Dolda2000
@ Dolda2000 UAC, yerel makinelerinde yönetici olarak çalışma alışkanlığındaki son kullanıcılar için daha fazladı. Yerel makinenizde bir etki alanı yöneticisi olarak çalışırken ek endişeler vardır - kimlik bilgileriniz ve erişiminiz, makinenizde virüs yüklemek yerine çok daha kötüsü olabilir; tüm etki alanı.
UmutsuzN00b
1
@ ÜmitsizN00b: Ve sen diyorsun ki UAC bu şeylere uygulanmıyor mu? Neden olmasın? Teknik sebepler var mı, yoksa uygulama basit değil mi?
Dolda2000
2
@ Dolda2000 Pekala, UAC'nin, kötü amaçlı yazılımın, son kullanıcıların ve tüketicilerin bilgisayarlarına kendisini kurmak için oturum açmış yönetici kullanıcının kullanıcı içeriğini kullanmasıyla ilgili sorunu çözmesi gerekiyordu. Ve öyle. Ayrıca, belirli bir vektörün, yerel olarak kötü amaçlı yazılım yüklemek için etki alanı yöneticisinin kullanıcı bağlamını kullanmasını engeller; ancak, sınırlı bir kullanıcı yerine etki alanı yöneticisi olarak çalışmanın içerdiği güvenlik kaygılarının kapsamı bu değildir.
UmutsuzN00b
1
@ Dolda2000 UAC, işlemlerin yerel makinede ayrıcalıklı işlevleri yürütmesini önler. Etki Alanı Yöneticisi olarak oturum açtıysanız, diğer makinelerde uzaktan ayrıcalıklı komutlar çalıştırabilirsiniz ve UAC isteminde bulunmadan uzaktaki makinelerde yükseltilmiş olarak çalıştırılırlar. Bu nedenle, özellikle bundan yararlanmak için tasarlanan kötü amaçlı yazılımlar, bir UAC isteminde bulunmadan tüm etki alanınızı etkileyebilir (ve ardından yerel makinenize başka bir uzak makine kullanarak bulaşabilir).
Monstieur

Yanıtlar:

25

"En İyi Uygulama" genellikle LPU'yu (en az ayrıcalıklı kullanıcı) belirler ... ancak haklısınız (ETL ve Joe ve + 1 olduğu gibi), kişilerin bu modeli nadiren takip ettiği doğru.

Önerilerin çoğu, söylediğin gibi yapmak ... 2 hesap oluşturmak ve bu hesapları başkalarıyla paylaşmamak. Bir hesap teoride kullandığınız yerel iş istasyonunda bile yönetici haklarına sahip olmamalı, ancak yine de bu kuralı izleyenler, özellikle bugünlerde UAC ile (ki teoride etkinleştirilmesi gerekir).

Bu rotaya neden gitmek istemenizin birçok faktörü var. Güvenlik, uygunluk, şirket politikası, yasal kısıtlamalar (varsa), risk vb. Faktörleri hesaba katmanız gerekir.

Tutulması Domain Adminsve Administratorsasgari hesaplarla alan adı düzeyinde gruplar güzel ve temiz her zaman iyi bir fikirdir. Ancak, kaçınabilmeniz için genel olarak etki alanı yöneticisi hesaplarını paylaşmayın. Aksi halde birinin bir şey yapması riski vardır ve daha sonra "bu hesabı kullanan ben değildim" sysadmins'i işaret eder. Bireysel hesaplara sahip olmak veya doğru bir şekilde denetlemek için CyberArk EPA gibi bir şey kullanmak daha iyidir.

Ayrıca bu satırlarda, Schema Adminsşemada değişiklik yapmadığınız ve hesabınızı girdiğiniz, değişikliği yapıp hesabı kaldıramadığınız sürece grubunuz her zaman EMPTY olmalıdır. Aynısı Enterprise Adminsözellikle tek bir alan modelinde söylenebilir .

Ayrıca, ayrıcalıklı hesapların ağda VPN'ye izin vermemelisiniz. Normal bir hesap kullanın ve daha sonra içeride bir kez gerektiği kadar yükseltin.

Son olarak, ayrıcalıklı bir grubu denetlemek için SCOM veya Netwrix veya başka bir yöntem kullanmalı ve bu grubun herhangi bir üyesi değiştiğinde BT'ye uygun grubu bildirmelisiniz. Bu size "bir dakika bekleyin, neden bu kadar aniden bir Etki Alanı Yöneticisi?" vb.

Günün sonunda “En İyi Uygulama” olarak adlandırılan ve “Sadece Uygulama” olarak adlandırılan bir neden var ... BT gruplarının kendi ihtiyaç ve felsefelerine dayanarak yaptıkları kabul edilebilir seçimler var. Bazıları (Joe'nun dediği gibi) tembeldir ... bazıları ise umursamaz çünkü zaten yüzlerce ve günlük olarak savaşacak yangınlar varken bir güvenlik deliğini kapatmakla ilgilenmezler. Ancak, şimdi tüm bunları okuduğunuza göre, kendinizi iyi dövüşle savaşacak olanlardan birisini düşünün ve işleri güvende tutmak için elinizden geleni yapın. :)

Referanslar:

http://www.microsoft.com/en-us/download/details.aspx?id=4868

http://technet.microsoft.com/en-us/library/cc700846.aspx

http://technet.microsoft.com/en-us/library/bb456992.aspx

Temizleyici
kaynak
En düşük ayrıcalık, çoğunlukla yönetici olmayan hesaplar için geçerlidir. Kimlik ayrımı, daha düşük bir özel bakış açısıyla, eğer daha düşük ayrıcalıklı referans tarafından tehlikeye atılmış kirli bir sistemde kullanılırsa, yardımcı olmaz.
Jim B
Doğru, ancak "LPU" yu yalnızca ayrıcalıklı gruplara gereken şekilde erişim izni vermek anlamına geldiğini düşünüyorum. Çok fazla BT borcu var. DA erişimini sağlayın, çünkü sayısız erişim talebiyle uğraşmaktan daha kolay.
TheCleaner,
28

AFAIK, etki alanı / ağ yöneticilerinin rutin "kullanıcı" görevlerini (e-posta, dokümantasyon vb.) Gerçekleştirmek için iş istasyonlarında oturum açmak için standart bir kullanıcı hesabına sahip olmaları ve uygun olan bir adlandırılmış idari hesaba sahip olmaları en iyi yöntem olarak kabul edilir. Yönetimsel görevleri yapmalarına izin vermek için grup üyeliği.

Bu, takip etmeye çalıştığım model, mevcut BT personelinin bu şekilde yapmaya alışık olmaması durumunda, uygulanması zor olsa da.

Şahsen, bu yöne doğru hareket etmek konusunda tereddüt eden bir BT personeli bulursam, onların tembel, deneyimsiz ya da sistem yönetimi pratiğini anlamadıklarını düşünüyorum.

joeqwerty
kaynak
12

Güvenlik nedeniyle bu en iyi uygulamadır. Diğerlerinin de belirttiği gibi, yanlışlıkla bir şey yapmanızı veya ağa göz atmaktan ödün vermenizi önler. Ayrıca, kişisel göz atma işleminizin yapabileceği zararı da sınırlar - ideal olarak, günlük işlerinizde yerel yönetici ayrıcalıklarına sahip olmamalı, daha az etki alanı yöneticisi olmamalıdır.

Aynı zamanda , Hash veya Windows kimlik doğrulama belirteci korsanlıklarından geçmek için inanılmaz derecede faydalıdır . ( Örnek ) Uygun bir penetrasyon testi bunu kolayca kanıtlayacaktır. Yani, bir saldırgan yerel bir yönetici hesabına eriştiğinde, bu gücü bir Etki Alanı Yöneticisi belirteçiyle bir işleme geçirmek için kullanır. Sonra etkili bir şekilde bu güçlere sahipler.

Bunu kullanan insanlara bir örnek, şirketim yapar! (200ish kişi, 6 adam ops ekibi) Aslında, Domain Admins'in ÜÇ-hesabı var. Günlük kullanım için bir tane, yerel olarak bilgisayar yönetimi / yazılımı yüklemek için. Üçüncüsü, Etki Alanı Yöneticisi hesaplarıdır ve yalnızca sunucuları ve etki alanını yönetmek için kullanılır. Daha fazla paranoyak / güvenli olmak isteseydik dördüncü muhtemelen olur.

Christopher Karel
kaynak
Üç hesap ... ilginç ... benim şirkette başgösteren etki alanı değişikliği için düşünmek zorundayım ...
pepoluan
1
Şirketimde aynı. Normal masaüstü hesabı, istemci bilgisayarlarda yerel yönetici erişimi için yönetici hesabı VE ayrı bir sunucu yöneticisi hesabı. Her iki yönetici hesabında da e-posta yok ve internet erişimi yok. Tek sorun, sunucu-yönetici hesabının iş istasyonunda yerel yönetici haklarına ihtiyaç duyması veya UAC'nin MMC'yi yerel olarak sunucu-yönetici hesabı olarak RunA'larla çalıştırmasını engellemesidir. (RDP'yi bir sunucuya kullanabilir ve her şeyi oradan çalıştırabilir, ancak masaüstü hesabında çalışan verileri kopyalamanız / yapıştırmanız veya karşılaştırmanız gerektiğinde bu durum gerçekten zor olabilir.)
Tonny
Domain Admins RDP’nizi, yönetim çalışmaları için bir sunucuya koymak konusunda oldukça başarılı olduk. Kopyala ve Yapıştır aslında RDP'de inanılmaz derecede iyi ilerliyor. Ve bu tek sunucu zaten kurulu olan tüm yönetim araçlarımıza sahip. Ancak söyleniyor ... Domain Admins grubunun varsayılan olarak yerel yönetici haklarına sahip olduğuna inanıyorum. Sadece bu kimlik bilgilerinin hiçbir zaman masaüstüne dokunmamasını, belirteci hırsızlığına ve benzeri şeylere karşı önlem almayı tercih ediyorum.
Christopher Karel
8

Eski şirketimde, tüm Sistem Yöneticilerinin 2 hesap almasında ısrar ettim, örneğin:

  • DOMAIN \ st19085
  • DOMAIN \ st19085a (yönetici için "a")

Meslektaşları ilk başta isteksizdi, ancak virüs tehdidi hakkında tipik bir soru olan "bir virüsten koruma yazılımı var" sorusunun ardından eski bir virüs veri tabanı tarafından harap edildi.

  • Bahsettiğiniz gibi, RUNAS komutu kullanılabilir (RUNAS komutuyla belirli görevleri başlatan bir toplu komut dosyası kullanıyordum, özel bir menü sunuyordum).

  • Başka bir şey kullanılmasıdır Microsoft Yönetim Konsolu , size gereken araçları kaydetmek ve onları başlatabilirsiniz sağ tıklama , Farklı Çalıştır ... ve Alan Yönetici hesabı.

  • Sonuncusu ama en az olmayanı, bir PowerShell kabuğunu Etki Alanı Yöneticisi olarak başlatır ve ihtiyaç duyduğum eşyaları oradan başlatırdım.
Camille Le Mouëllic
kaynak
6
Bu aslında benim söylediğim her yerde kullandığım (ve herkesi zorladığım) uygulama. Bilgisayarınıza giriş yapın ve günlük işlerinizi normal bir kullanıcı olarak yapın, diğerleri gibi. Yönetici haklarına gerektiğinde, Run As/ Run as Administratorve yönetici kullanıcı hesabı kullanın. Her şey için sadece bir hesap kullanmak kötü bir güvenlik uygulamasıdır ve deneyimlerime göre, itiraz eden insanlar, her şeyi yine de yönetici olarak çalıştırmaktan en fazla izole edilmesi gereken insanlar.
UmutsuzN00b
@ HopelessN00b tarafından yapılan +1 büyük gözlem: "itiraz eden insanlar, her şeyi yine de yönetici olarak çalıştırmaktan en fazla izole edilmeleri gereken insanlardır"
mr.b
Aslında sadece yönetici çalıştırmak için kilitlenmiş ayrı bir iş istasyonu kullanıyor olmalısınız
Jim B
4

Her iki şekilde de yapan yerlerde çalıştım ve genellikle ayrı bir hesap açmayı tercih ediyorum. Bu, joeqwerty'nin isteksiz kullanıcılarının / müşterilerinin düşündüklerinin aksine, bu şekilde çok daha kolaydır:

Etki alanınızın yönetim faaliyetlerinde normal, her gün hesabınızı kullanmanın artıları: Yay, tüm yönetim araçları iş istasyonumda runas olmadan çalışıyor! W00t!

Etki alanınızın yönetimindeki etkinlikler için normal, her gün hesabınızı kullanmanız gerekenler: Fear. ;) Masaüstü teknolojisi sizden bir makineye bakmanızı ister çünkü neyin yanlış olduğunu çözemez, giriş yaparsınız, bir virüsü vardır. Ağ kablosunu çıkarın, şifreyi değiştirin (başka bir yerde). Yöneticiler size iş e-postanızı kişisel böğürtleninizde neden cep telefonu sağlayıcınız aracılığıyla almadığınızı sorduğunda, DOMAIN ADMIN şifrenizi sunucularında sakladıklarını açıklarsınız. Vb, vb. Çok ayrıcalıklı şifreniz, webmail, vpn, bu web sayfasında oturum açma gibi şeyler için kullanılır. (Ew.) (Adil olmak gerekirse, hesabım "şifrenizi değiştir" web sayfasından engellendi, bu yüzden en azından öyle oldu. Web sayfasının senkronize edildiği eski LDAP şifremi değiştirmek istersem, gitmek zorunda kalacağım Bir iş arkadaşınızın masasına.)

Etki alanı yöneticisi etkinlikleri için farklı bir hesap kullanmanın artıları: Amaç. Bu hesap, e-posta, web posta, vpn, web sayfası girişleri, vb. İçin yönetimsel araçlar vb. İçin tasarlanmıştır . Bu nedenle, normal "kullanıcı" faaliyetlerimin tüm etki alanını riske sokması korkusundan daha az korkar.

Etki alanı yöneticisi etkinlikleri için farklı bir hesap kullanmanın eksileri: Yönetici araçları için runas kullanmam gerekiyor. Bu o kadar acı verici değil.

TL; DR sürümü: Ayrı bir hesaba sahip olmak daha kolay. Ayrıca, en az gerekli ayrıcalık olduğundan en iyi uygulamadır .

Katherine Villyard
kaynak
2

En Az Priv yeterli sebep olmalı, ancak böyle bir durumda, kullanıcılarınızla aynı izinlere sahip bir hesap kullanırsanız, yaptıkları herhangi bir sorunla karşılaşma olasılığınızın daha yüksek olduğunu ve kendi hesabınızla hata ayıklayabileceğinizi de düşünün. çok - sık sık onları görmeden önce!

"Benim için çalışıyor" yazan ve bileti kapatan bir yöneticiden daha kötü bir şey yok :)

Tom Newton
kaynak
Kullanıcı düzeyinde bir hesabın günlük kullanımının sorun giderme etkinliğini arttırdığını bilmek için +1.
Ben Reinstate Monica
1

Tüm teoride, günlük aktiviteleriniz için en üst yönetici oturumunu kullanmamanız en iyisidir. Virüsler gibi birçok neden var - bir virüs kapıyorsanız ve Domain Admin oturum açıyorsanız virüsün ağınıza erişmesi kolay bir yoludur, tam erişim! Muhtemel hataların kesinliği daha kolaydır ancak bunu en büyük zorluk olarak görmüyorum. Kampüste dolaşıp üst yöneticinizle oturum açarsanız, şifreniz için biri omzunuzun üzerinden bakıyor olabilir. Bunun gibi şeyler.

Ama pratik mi? Bu kurala uymayı zor buluyorum, ama uymak istiyorum.

ETL
kaynak
0

2 kuruş ekleyerek gerçek deneyime göre ..

Günlük işlerinizde bir yönetici hesabı kullandığınızı bilmek ve bunu bilmek, yaptığınız her şeyde sizi çok dikkatli yapar. bu yüzden sadece bir e-postaya / bağlantıya tıklamıyor veya herhangi bir uygulamayı üçlü kontrol etmeden çalıştırmıyorsunuz. Sanırım seni ayak parmaklarında tutuyor.

Günlük işlerinizde en az bir imtiyaz hesabı kullanmak bir tane dikkatsiz yapar.

badbanana
kaynak
Güzel bir teori ama benim deneyimlerime göre çalışmıyor (en azından herkes için değil). Meslektaşlarımdan büyük miktarda veriyi üretim sistemlerinden hatalarla silerken gördüm (komut satırında yanlış yerde boşluk bırakmak yeterlidir).
Gerald Schneider
Bir teori değil, burada uygularız ;-) deneyimlerime göre, bu ayrıcalıkları vereceğin insanları veterinere çağırıyorsun ve sadece sormak için teslim etmiyorsun.
badbanana
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.