Apakah ini praktik terbaik untuk memiliki login terpisah untuk domain untuk admin domain?

Saya biasanya suka mengatur login terpisah untuk saya sendiri, satu dengan izin pengguna reguler, dan yang terpisah untuk tugas administratif. Misalnya, jika domainnya adalah XXXX, saya akan menyiapkan akun XXXX \ bpeikes dan XXXX \ adminbp. Saya selalu melakukannya karena terus terang saya tidak percaya diri untuk login sebagai administrator, tetapi di setiap tempat saya bekerja, administrator sistem tampaknya hanya menambahkan akun mereka yang biasa ke grup Admin Domain.

Apakah ada praktik terbaik? Saya telah melihat artikel dari MS yang sepertinya mengatakan bahwa Anda harus menggunakan Run As, dan tidak login sebagai admin, tetapi mereka tidak memberikan contoh implementasi dan saya belum pernah melihat orang lain melakukannya.

"Praktik Terbaik" biasanya menentukan LPU (pengguna dengan hak istimewa) ... tetapi Anda benar (seperti ETL dan Joe jadi +1) bahwa orang jarang mengikuti model ini.

Sebagian besar rekomendasi dilakukan seperti yang Anda katakan ... buat 2 akun dan jangan bagikan akun tersebut dengan yang lain. Satu akun seharusnya tidak memiliki hak admin bahkan pada workstation lokal yang Anda gunakan dalam teori, tetapi sekali lagi yang mengikuti aturan itu, terutama dengan UAC hari ini (yang secara teori harus diaktifkan).

Ada beberapa faktor mengapa Anda ingin menggunakan rute ini. Anda harus memperhitungkan faktor keamanan, kenyamanan, kebijakan perusahaan, batasan peraturan (jika ada), risiko, dll.

Menjaga agar Domain Adminsdan Administratorstingkat grup domain tetap bagus dan bersih dengan akun minimal selalu merupakan ide yang baik. Tetapi jangan hanya berbagi akun admin domain umum jika Anda dapat menghindarinya. Kalau tidak, ada risiko seseorang melakukan sesuatu dan kemudian menunjuk antara sysadmin dari "itu bukan saya yang menggunakan akun itu". Lebih baik memiliki akun sendiri atau menggunakan sesuatu seperti CyberArk EPA untuk mengauditnya dengan benar.

Juga pada baris ini, Schema Adminsgrup Anda harus selalu KOSONG kecuali Anda membuat perubahan pada skema dan kemudian Anda memasukkan akun, membuat perubahan, dan menghapus akun. Hal yang sama dapat dikatakan Enterprise Adminsterutama dalam model domain tunggal.

Anda juga TIDAK boleh mengizinkan akun istimewa ke VPN ke dalam jaringan. Gunakan akun normal dan kemudian naikkan sesuai kebutuhan begitu di dalam.

Terakhir, Anda harus menggunakan SCOM atau Netwrix atau metode lain untuk mengaudit grup istimewa dan memberi tahu grup yang sesuai dalam TI setiap kali ada anggota grup ini yang berubah. Ini akan memberi Anda kepala untuk mengatakan "tunggu sebentar, mengapa tiba-tiba seorang Admin Domain?" dll.

Pada akhirnya ada alasan yang disebut "Praktik Terbaik" dan bukan "Hanya Praktik" ... ada pilihan yang dapat diterima yang dibuat oleh kelompok TI berdasarkan kebutuhan dan filosofi mereka sendiri dalam hal ini. Beberapa (seperti kata Joe) benar-benar malas ... sementara yang lain tidak peduli karena mereka tidak tertarik untuk memasukkan satu lubang keamanan ketika sudah ada ratusan dan setiap hari api untuk berkelahi. Namun, sekarang setelah Anda membaca semua ini, anggap diri Anda salah satu dari yang akan berjuang melawan yang baik dan melakukan apa yang Anda bisa untuk menjaga semuanya tetap aman. :)

Referensi:

http://www.microsoft.com/en-us/download/details.aspx?id=4868

http://technet.microsoft.com/en-us/library/cc700846.aspx

http://technet.microsoft.com/en-us/library/bb456992.aspx

AFAIK, dianggap praktik terbaik bagi administrator domain / jaringan untuk memiliki akun pengguna standar untuk masuk ke stasiun kerja mereka untuk melakukan tugas "pengguna" rutin (email, dokumentasi, dll.) Dan memiliki akun administratif bernama yang memiliki akun yang sesuai keanggotaan grup untuk memungkinkan mereka melakukan tugas administratif.

Ini adalah model yang saya coba ikuti, meskipun sulit untuk diterapkan jika staf TI yang ada tidak terbiasa melakukannya dengan cara ini.

Secara pribadi, jika saya menemukan staf TI yang enggan bergerak ke arah ini, saya berpendapat bahwa mereka malas, tidak berpengalaman, atau mereka tidak memahami praktik administrasi sistem.

Ini adalah praktik terbaik untuk alasan keamanan. Seperti yang disebutkan orang lain, itu mencegah Anda melakukan sesuatu secara tidak sengaja, atau dari Anda berkompromi untuk menjelajahi jaringan. Ini juga membatasi kerusakan yang dapat dilakukan penelusuran pribadi Anda - idealnya, pekerjaan sehari-hari Anda seharusnya tidak memiliki hak admin lokal, apalagi admin domain.

Ini juga sangat berguna untuk melawan pembajakan token Pass Hash atau otentikasi Windows. ( Contoh ) Tes penetrasi yang tepat akan membuktikan ini dengan mudah. Yaitu, setelah penyerang mendapatkan akses ke akun admin lokal, mereka akan menggunakan kekuatan itu untuk bermigrasi ke proses dengan token Admin Domain. Maka mereka secara efektif memiliki kekuatan itu.

Adapun contoh orang yang menggunakan ini, perusahaan saya melakukannya! (200 orang, tim ops 6 orang). Bahkan, Admin Domain kami memiliki -TIGA- akun. Satu untuk penggunaan sehari-hari, satu untuk administrasi PC / menginstal perangkat lunak secara lokal. Yang ketiga adalah akun Admin Domain, dan digunakan hanya untuk mengelola server dan domain. Jika kita ingin menjadi lebih paranoid / aman, yang keempat mungkin akan beres.

Di perusahaan lama saya, saya bersikeras bahwa semua Admin Sistem mendapat 2 akun, yaitu:

• DOMAIN \ st19085
• DOMAIN \ st19085a ("a" untuk admin)

Kolega awalnya enggan tetapi itu menjadi aturan praktis, setelah pertanyaan khas tentang ancaman virus "kami mendapat antivirus" dibantah oleh database virus yang sudah usang ...

• Seperti yang Anda sebutkan, perintah RUNAS dapat digunakan (Saya dulu memiliki skrip batch, menyajikan menu khusus, meluncurkan tugas tertentu dengan perintah RUNAS).

• Hal lain adalah penggunaan Konsol Manajemen Microsoft , Anda dapat menyimpan alat yang Anda butuhkan dan meluncurkannya dengan klik kanan , Jalankan Sebagai ... dan akun Domain Admin Anda.

• Yang terakhir tetapi tidak sedikit, saya biasa meluncurkan shell PowerShell sebagai Admin Domain, dan meluncurkan hal-hal yang saya butuhkan dari sana.

Saya telah bekerja di tempat yang melakukan keduanya, dan umumnya lebih suka memiliki akun terpisah. Sebenarnya jauh lebih mudah, bertentangan dengan apa yang tampaknya dipikirkan pengguna / pelanggan enggan joeqwerty:

Kelebihan menggunakan akun normal Anda, setiap hari untuk kegiatan admin domain: Yay, semua alat administratif bekerja di workstation saya tanpa runas! W00t!

Kontra menggunakan akun normal Anda, setiap hari untuk aktivitas admin domain: Ketakutan. ;) Desktop tech meminta Anda untuk melihat mesin karena dia tidak bisa mencari tahu apa yang salah dengan itu, Anda masuk, ia memiliki virus. Cabut kabel jaringan, ubah kata sandi (di tempat lain). Ketika manajer bertanya mengapa Anda tidak mendapatkan email kantor di blackberry pribadi Anda melalui penyedia ponsel, Anda bisa menjelaskan bahwa mereka menyimpan kata sandi DOMAIN ADMIN di server mereka ketika Anda melakukannya. Dll, dll. Kata sandi Anda yang sangat istimewa digunakan untuk hal-hal seperti ... webmail, vpn, masuk di halaman web ini. (Ew.) (Agar adil, akun saya diblokir dari halaman web "ubah kata sandi Anda", jadi setidaknya ada itu. Jika saya ingin mengubah kata sandi LDAP lama saya, yang disinkronkan halaman web, saya harus pergi ke meja rekan kerja.)

Kelebihan menggunakan akun yang berbeda untuk kegiatan admin domain: Intent. Akun itu dimaksudkan untuk alat administratif, dll., Dan bukan untuk email, webmail, vpn, login halaman web, dll. Jadi, kurang khawatir bahwa aktivitas "pengguna" normal saya membuat seluruh domain berisiko.

Kontra menggunakan akun yang berbeda untuk kegiatan admin domain: Saya harus menggunakan runas untuk alat administrasi. Itu tidak begitu menyakitkan.

Versi TL; DR: Memiliki akun terpisah sangat mudah. Ini juga praktik terbaik, karena ini adalah hak istimewa yang paling tidak perlu .

Least Priv seharusnya menjadi alasan yang cukup, tetapi jika itu tidak terjadi, pertimbangkan juga bahwa jika Anda menggunakan akun dengan izin yang sama dengan pengguna Anda, Anda lebih mungkin menderita masalah apa pun yang mereka lakukan - dan Anda dapat men-debug mereka di akun Anda sendiri terlalu - sering bahkan sebelum mereka melihatnya!

Tidak ada yang lebih buruk daripada seorang administrator yang mengatakan "itu bekerja untuk saya" dan menutup tiket :)

Dalam semua teori, yang terbaik adalah Anda tidak menggunakan login administrator top untuk kegiatan Anda sehari-hari. Ada banyak alasan seperti virus - jika Anda mendapatkan virus dan menjalankan logon Domain Admin, maka virus memiliki cara mudah untuk masuk ke jaringan Anda, akses penuh! Kesalahan yang mungkin lebih mudah untuk dipastikan tetapi saya tidak melihat itu sebagai tantangan terbesar. Jika Anda berkeliling kampus dan masuk dengan admin top Anda, seseorang mungkin mencari kata sandi Anda dari balik bahu Anda. Segala macam hal seperti itu.

Tetapi apakah ini praktis? Saya merasa sulit untuk mengikuti aturan itu, tetapi saya ingin mengikutinya.

menambahkan 2 sen saya berdasarkan pengalaman aktual ..

mengetahui dan tetap sadar bahwa Anda menggunakan akun admin untuk pekerjaan sehari-hari membuat Anda sangat berhati-hati pada apa pun yang Anda lakukan. jadi Anda tidak hanya mengklik email / tautan atau menjalankan aplikasi apa pun tanpa memeriksa tiga kali. saya pikir itu membuat Anda tetap pada jari kaki Anda.

menggunakan akun privilege paling sedikit untuk pekerjaan sehari-hari Anda membuat orang lalai.