Apakah ini praktik terbaik untuk memiliki login terpisah untuk domain untuk admin domain?

33

Saya biasanya suka mengatur login terpisah untuk saya sendiri, satu dengan izin pengguna reguler, dan yang terpisah untuk tugas administratif. Misalnya, jika domainnya adalah XXXX, saya akan menyiapkan akun XXXX \ bpeikes dan XXXX \ adminbp. Saya selalu melakukannya karena terus terang saya tidak percaya diri untuk login sebagai administrator, tetapi di setiap tempat saya bekerja, administrator sistem tampaknya hanya menambahkan akun mereka yang biasa ke grup Admin Domain.

Apakah ada praktik terbaik? Saya telah melihat artikel dari MS yang sepertinya mengatakan bahwa Anda harus menggunakan Run As, dan tidak login sebagai admin, tetapi mereka tidak memberikan contoh implementasi dan saya belum pernah melihat orang lain melakukannya.

Benjamin Peikes
sumber
1
Sebagai orang yang berurusan terutama di Linux / Unix dan bukan ahli Windows, bukankan ini tepatnya yang seharusnya diperbaiki oleh UAC? Maksud saya, sehingga seseorang dapat menggunakan satu akun tetapi hanya memiliki proses yang diotorisasi menerima hak administratif.
Dolda2000
@ Dolda2000 UAC lebih untuk pengguna akhir dalam kebiasaan berjalan sebagai administrator di mesin lokal mereka. Ada kekhawatiran tambahan ketika Anda menjalankan sebagai admin domain di mesin lokal Anda - kredensial dan akses Anda dapat digunakan untuk jauh lebih buruk daripada menginstal virus di mesin Anda, mengingat bagaimana Anda mendapatkan hak tinggi untuk sebagian besar hal di seluruh domain.
HopelessN00b
1
@ HopelessN00b: Dan Anda mengatakan UAC tidak berlaku untuk hal-hal itu? Kenapa tidak? Apakah ada alasan teknis, atau apakah implementasinya kurang?
Dolda2000
2
@ Dolda2000 Yah, UAC seharusnya memperbaiki masalah dengan malware yang dapat menggunakan konteks pengguna pengguna administratif yang log-on untuk menginstal dirinya pada PC pengguna akhir dan konsumen. Dan itu benar. Itu juga akan memblokir vektor tertentu dari menggunakan konteks pengguna admin domain untuk menginstal malware secara lokal, namun, itu bukan sejauh mana masalah keamanan yang terlibat dalam menjalankan sebagai administrator domain, bukan pengguna terbatas.
HopelessN00b
1
@ Dolda2000 UAC mencegah proses dari mengeksekusi fungsi istimewa pada mesin lokal. Jika Anda masuk sebagai Admin Domain, Anda dapat menjalankan perintah istimewa dari jarak jauh di komputer lain dan perintah itu akan ditinggikan di mesin jarak jauh tanpa permintaan UAC. Dengan demikian malware yang dirancang khusus untuk mengeksploitasi ini dapat menginfeksi seluruh domain Anda (dan kemudian menginfeksi mesin lokal Anda menggunakan mesin remote lain) tanpa Anda pernah melihat prompt UAC.
Monstieur

Jawaban:

25

"Praktik Terbaik" biasanya menentukan LPU (pengguna dengan hak istimewa) ... tetapi Anda benar (seperti ETL dan Joe jadi +1) bahwa orang jarang mengikuti model ini.

Sebagian besar rekomendasi dilakukan seperti yang Anda katakan ... buat 2 akun dan jangan bagikan akun tersebut dengan yang lain. Satu akun seharusnya tidak memiliki hak admin bahkan pada workstation lokal yang Anda gunakan dalam teori, tetapi sekali lagi yang mengikuti aturan itu, terutama dengan UAC hari ini (yang secara teori harus diaktifkan).

Ada beberapa faktor mengapa Anda ingin menggunakan rute ini. Anda harus memperhitungkan faktor keamanan, kenyamanan, kebijakan perusahaan, batasan peraturan (jika ada), risiko, dll.

Menjaga agar Domain Adminsdan Administratorstingkat grup domain tetap bagus dan bersih dengan akun minimal selalu merupakan ide yang baik. Tetapi jangan hanya berbagi akun admin domain umum jika Anda dapat menghindarinya. Kalau tidak, ada risiko seseorang melakukan sesuatu dan kemudian menunjuk antara sysadmin dari "itu bukan saya yang menggunakan akun itu". Lebih baik memiliki akun sendiri atau menggunakan sesuatu seperti CyberArk EPA untuk mengauditnya dengan benar.

Juga pada baris ini, Schema Adminsgrup Anda harus selalu KOSONG kecuali Anda membuat perubahan pada skema dan kemudian Anda memasukkan akun, membuat perubahan, dan menghapus akun. Hal yang sama dapat dikatakan Enterprise Adminsterutama dalam model domain tunggal.

Anda juga TIDAK boleh mengizinkan akun istimewa ke VPN ke dalam jaringan. Gunakan akun normal dan kemudian naikkan sesuai kebutuhan begitu di dalam.

Terakhir, Anda harus menggunakan SCOM atau Netwrix atau metode lain untuk mengaudit grup istimewa dan memberi tahu grup yang sesuai dalam TI setiap kali ada anggota grup ini yang berubah. Ini akan memberi Anda kepala untuk mengatakan "tunggu sebentar, mengapa tiba-tiba seorang Admin Domain?" dll.

Pada akhirnya ada alasan yang disebut "Praktik Terbaik" dan bukan "Hanya Praktik" ... ada pilihan yang dapat diterima yang dibuat oleh kelompok TI berdasarkan kebutuhan dan filosofi mereka sendiri dalam hal ini. Beberapa (seperti kata Joe) benar-benar malas ... sementara yang lain tidak peduli karena mereka tidak tertarik untuk memasukkan satu lubang keamanan ketika sudah ada ratusan dan setiap hari api untuk berkelahi. Namun, sekarang setelah Anda membaca semua ini, anggap diri Anda salah satu dari yang akan berjuang melawan yang baik dan melakukan apa yang Anda bisa untuk menjaga semuanya tetap aman. :)

Referensi:

http://www.microsoft.com/en-us/download/details.aspx?id=4868

http://technet.microsoft.com/en-us/library/cc700846.aspx

http://technet.microsoft.com/en-us/library/bb456992.aspx

Pembersih
sumber
Hak istimewa paling tidak berlaku sebagian besar untuk akun non admin. Pemisahan kredensial tidak membantu dari sudut pandang privat sekurang-kurangnya jika kredit digunakan pada sistem kotor yang dikompromikan oleh kredit rahasia yang lebih rendah.
Jim B
Benar, tetapi saya menganggap "LPU" juga berarti hanya memberikan akses ke grup istimewa sebagaimana diperlukan. Banyak dept IT. memberikan akses DA hanya karena lebih mudah daripada berurusan dengan segudang permintaan untuk akses.
TheCleaner
28

AFAIK, dianggap praktik terbaik bagi administrator domain / jaringan untuk memiliki akun pengguna standar untuk masuk ke stasiun kerja mereka untuk melakukan tugas "pengguna" rutin (email, dokumentasi, dll.) Dan memiliki akun administratif bernama yang memiliki akun yang sesuai keanggotaan grup untuk memungkinkan mereka melakukan tugas administratif.

Ini adalah model yang saya coba ikuti, meskipun sulit untuk diterapkan jika staf TI yang ada tidak terbiasa melakukannya dengan cara ini.

Secara pribadi, jika saya menemukan staf TI yang enggan bergerak ke arah ini, saya berpendapat bahwa mereka malas, tidak berpengalaman, atau mereka tidak memahami praktik administrasi sistem.

joeqwerty
sumber
12

Ini adalah praktik terbaik untuk alasan keamanan. Seperti yang disebutkan orang lain, itu mencegah Anda melakukan sesuatu secara tidak sengaja, atau dari Anda berkompromi untuk menjelajahi jaringan. Ini juga membatasi kerusakan yang dapat dilakukan penelusuran pribadi Anda - idealnya, pekerjaan sehari-hari Anda seharusnya tidak memiliki hak admin lokal, apalagi admin domain.

Ini juga sangat berguna untuk melawan pembajakan token Pass Hash atau otentikasi Windows. ( Contoh ) Tes penetrasi yang tepat akan membuktikan ini dengan mudah. Yaitu, setelah penyerang mendapatkan akses ke akun admin lokal, mereka akan menggunakan kekuatan itu untuk bermigrasi ke proses dengan token Admin Domain. Maka mereka secara efektif memiliki kekuatan itu.

Adapun contoh orang yang menggunakan ini, perusahaan saya melakukannya! (200 orang, tim ops 6 orang). Bahkan, Admin Domain kami memiliki -TIGA- akun. Satu untuk penggunaan sehari-hari, satu untuk administrasi PC / menginstal perangkat lunak secara lokal. Yang ketiga adalah akun Admin Domain, dan digunakan hanya untuk mengelola server dan domain. Jika kita ingin menjadi lebih paranoid / aman, yang keempat mungkin akan beres.

Christopher Karel
sumber
Tiga akun ... menarik ... Saya harus mempertimbangkan bahwa untuk perubahan domain yang menjulang di perusahaan saya ...
pepoluan
1
Sama di perusahaan saya. Akun desktop normal, akun admin untuk akses admin lokal di komputer klien DAN akun admin server terpisah. Kedua akun admin tidak mendapat email dan tidak ada akses internet. Satu-satunya masalah adalah bahwa akun server-admin membutuhkan hak admin lokal di workstation atau jika tidak UAC mengganggu menjalankan MMC secara lokal dengan RunA sebagai akun server-admin. (Dapat menggunakan RDP ke server dan menjalankan semuanya dari sana, tapi itu kadang-kadang menghambat jika Anda perlu menyalin / menempel atau membandingkan dengan data yang berjalan di desktop-akun.)
Tonny
Kami telah berhasil melakukannya dengan baik dengan Admin Domain RDP kami ke server untuk pekerjaan manajemen mereka. Copy & Paste benar-benar bergerak melintasi RDP dengan sangat baik. Dan server tunggal itu sudah menginstal semua utilitas manajemen kami. Tapi itu dikatakan ... Saya yakin grup Admin Domain memiliki hak admin lokal secara default. Saya hanya lebih suka kredensial yang tidak pernah menyentuh desktop, untuk mencegah terhadap pencurian token, dan sejenisnya.
Christopher Karel
8

Di perusahaan lama saya, saya bersikeras bahwa semua Admin Sistem mendapat 2 akun, yaitu:

  • DOMAIN \ st19085
  • DOMAIN \ st19085a ("a" untuk admin)

Kolega awalnya enggan tetapi itu menjadi aturan praktis, setelah pertanyaan khas tentang ancaman virus "kami mendapat antivirus" dibantah oleh database virus yang sudah usang ...

  • Seperti yang Anda sebutkan, perintah RUNAS dapat digunakan (Saya dulu memiliki skrip batch, menyajikan menu khusus, meluncurkan tugas tertentu dengan perintah RUNAS).

  • Hal lain adalah penggunaan Konsol Manajemen Microsoft , Anda dapat menyimpan alat yang Anda butuhkan dan meluncurkannya dengan klik kanan , Jalankan Sebagai ... dan akun Domain Admin Anda.

  • Yang terakhir tetapi tidak sedikit, saya biasa meluncurkan shell PowerShell sebagai Admin Domain, dan meluncurkan hal-hal yang saya butuhkan dari sana.
Camille Le Mouëllic
sumber
6
Ini pada dasarnya adalah implementasi yang saya gunakan (dan dipaksakan pada orang lain) di mana pun saya memiliki suara di dalamnya. Anda masuk ke komputer Anda dan melakukan tugas sehari-hari Anda sebagai pengguna normal, sama seperti orang lain. Ketika Anda membutuhkan hak admin, Anda Run As/ Run as Administratordan menggunakan akun pengguna administratif. Hanya menggunakan satu akun untuk semuanya adalah praktik keamanan yang buruk, dan menurut pengalaman saya, orang-orang yang keberatan adalah orang yang paling perlu diisolasi dari menjalankan segala sesuatu sebagai admin.
HopelessN00b
+1 pengamatan hebat oleh @ HopelessN00b: "orang-orang yang keberatan adalah orang-orang yang paling perlu diisolasi dari menjalankan segala sesuatu sebagai admin"
mr.b
Sebenarnya Anda harus menggunakan workstation terpisah yang telah dikunci untuk menjalankan admin saja
Jim B
4

Saya telah bekerja di tempat yang melakukan keduanya, dan umumnya lebih suka memiliki akun terpisah. Sebenarnya jauh lebih mudah, bertentangan dengan apa yang tampaknya dipikirkan pengguna / pelanggan enggan joeqwerty:

Kelebihan menggunakan akun normal Anda, setiap hari untuk kegiatan admin domain: Yay, semua alat administratif bekerja di workstation saya tanpa runas! W00t!

Kontra menggunakan akun normal Anda, setiap hari untuk aktivitas admin domain: Ketakutan. ;) Desktop tech meminta Anda untuk melihat mesin karena dia tidak bisa mencari tahu apa yang salah dengan itu, Anda masuk, ia memiliki virus. Cabut kabel jaringan, ubah kata sandi (di tempat lain). Ketika manajer bertanya mengapa Anda tidak mendapatkan email kantor di blackberry pribadi Anda melalui penyedia ponsel, Anda bisa menjelaskan bahwa mereka menyimpan kata sandi DOMAIN ADMIN di server mereka ketika Anda melakukannya. Dll, dll. Kata sandi Anda yang sangat istimewa digunakan untuk hal-hal seperti ... webmail, vpn, masuk di halaman web ini. (Ew.) (Agar adil, akun saya diblokir dari halaman web "ubah kata sandi Anda", jadi setidaknya ada itu. Jika saya ingin mengubah kata sandi LDAP lama saya, yang disinkronkan halaman web, saya harus pergi ke meja rekan kerja.)

Kelebihan menggunakan akun yang berbeda untuk kegiatan admin domain: Intent. Akun itu dimaksudkan untuk alat administratif, dll., Dan bukan untuk email, webmail, vpn, login halaman web, dll. Jadi, kurang khawatir bahwa aktivitas "pengguna" normal saya membuat seluruh domain berisiko.

Kontra menggunakan akun yang berbeda untuk kegiatan admin domain: Saya harus menggunakan runas untuk alat administrasi. Itu tidak begitu menyakitkan.

Versi TL; DR: Memiliki akun terpisah sangat mudah. Ini juga praktik terbaik, karena ini adalah hak istimewa yang paling tidak perlu .

Katherine Villyard
sumber
2

Least Priv seharusnya menjadi alasan yang cukup, tetapi jika itu tidak terjadi, pertimbangkan juga bahwa jika Anda menggunakan akun dengan izin yang sama dengan pengguna Anda, Anda lebih mungkin menderita masalah apa pun yang mereka lakukan - dan Anda dapat men-debug mereka di akun Anda sendiri terlalu - sering bahkan sebelum mereka melihatnya!

Tidak ada yang lebih buruk daripada seorang administrator yang mengatakan "itu bekerja untuk saya" dan menutup tiket :)

Tom Newton
sumber
+1 untuk mengetahui bahwa penggunaan harian akun tingkat pengguna meningkatkan efektivitas pemecahan masalah.
Saya katakan Reinstate Monica
1

Dalam semua teori, yang terbaik adalah Anda tidak menggunakan login administrator top untuk kegiatan Anda sehari-hari. Ada banyak alasan seperti virus - jika Anda mendapatkan virus dan menjalankan logon Domain Admin, maka virus memiliki cara mudah untuk masuk ke jaringan Anda, akses penuh! Kesalahan yang mungkin lebih mudah untuk dipastikan tetapi saya tidak melihat itu sebagai tantangan terbesar. Jika Anda berkeliling kampus dan masuk dengan admin top Anda, seseorang mungkin mencari kata sandi Anda dari balik bahu Anda. Segala macam hal seperti itu.

Tetapi apakah ini praktis? Saya merasa sulit untuk mengikuti aturan itu, tetapi saya ingin mengikutinya.

ETL
sumber
0

menambahkan 2 sen saya berdasarkan pengalaman aktual ..

mengetahui dan tetap sadar bahwa Anda menggunakan akun admin untuk pekerjaan sehari-hari membuat Anda sangat berhati-hati pada apa pun yang Anda lakukan. jadi Anda tidak hanya mengklik email / tautan atau menjalankan aplikasi apa pun tanpa memeriksa tiga kali. saya pikir itu membuat Anda tetap pada jari kaki Anda.

menggunakan akun privilege paling sedikit untuk pekerjaan sehari-hari Anda membuat orang lalai.

badbanana
sumber
Itu teori yang bagus tapi menurut pengalaman saya itu tidak berhasil (setidaknya tidak untuk semua orang). Saya telah melihat kolega menghapus sejumlah besar data dari sistem produksi oleh kesalahan (kosong di tempat yang salah di baris perintah sudah cukup).
Gerald Schneider
bukan teori, kami praktikkan di sini ;-) dalam pengalaman saya, Anda memeriksa orang-orang yang akan Anda berikan hak istimewa tersebut dan tidak hanya menyerahkan mereka untuk diminta.
badbanana