在我工作的办公室中,IT人员的其他三名成员始终使用属于域管理员组成员的帐户登录其计算机。
我对使用管理员权限(本地或域)登录非常担心。因此,对于日常的计算机使用,我使用的帐户仅具有常规的用户特权。我也有一个属于Domain admins组的帐户。当我需要执行需要在我的计算机,一台服务器或另一位用户的计算机上提高特权的操作时,可以使用此帐户。
最佳做法是什么?网络管理员是否应该一直以整个网络的权限登录(或者甚至是本地计算机)?
在我工作的办公室中,IT人员的其他三名成员始终使用属于域管理员组成员的帐户登录其计算机。
我对使用管理员权限(本地或域)登录非常担心。因此,对于日常的计算机使用,我使用的帐户仅具有常规的用户特权。我也有一个属于Domain admins组的帐户。当我需要执行需要在我的计算机,一台服务器或另一位用户的计算机上提高特权的操作时,可以使用此帐户。
最佳做法是什么?网络管理员是否应该一直以整个网络的权限登录(或者甚至是本地计算机)?
Answers:
绝对的最佳实践是Live User,Work Root。您每隔5分钟在Server Fault上单击一次刷新时登录的用户应该是普通用户。用于诊断Exchange路由问题的管理员应该是Admin。实现这种分离可能很困难,因为至少在Windows中它需要双重登录会话,这意味着以某种方式需要两台计算机。
为什么这是最佳做法?部分原因是因为我是这样说的,其他很多人也这样做。SysAdminning没有以任何确定的方式设置最佳实践的中心机构。在过去的十年中,我们发布了一些IT安全最佳实践,建议您仅在实际需要提升特权时才使用它们。最佳实践是通过系统管理员在过去40多年的经验中确定的。LISA 1993的论文(链接),SANS的示例论文(链接,PDF),SANS的“关键安全控制”的一部分对此进行了介绍(链接)。
由于这是Windows域,因此他们使用的帐户可能具有对所有工作站的完全网络访问权限,因此,如果发生问题,它可以在几秒钟内遍及整个网络。第一步是确保所有用户都按照“ 最少用户访问”的原则进行日常工作,浏览网络,编写文档等。
然后,我的做法是创建一个域帐户,并在所有工作站上为该帐户授予管理员权限(PC-admin),并为服务器管理工作分配一个单独的域帐户(server-admin)。如果您担心服务器之间是否可以互相通信,则可以为每台计算机设置单独的帐户(<x> -admin,<y> -admin)。一定要尝试使用另一个帐户来运行域管理员作业。
这样,如果您正在使用PC-admin帐户在受感染的工作站上执行某项操作,并且它抓住了您拥有管理员权限尝试通过网络访问其他计算机的机会,那么它将无能为力。讨厌您的服务器。拥有此帐户也意味着它无法对您的个人数据做任何事情。
不过,我必须说,在一个地方,我知道员工遵循LUA原则工作的地方,在我看到的三年中,他们没有受到适当的病毒侵扰。在同一地点的另一个部门,每个人都有本地管理员,而IT人员则有服务器管理员,因此爆发了几次疫情,其中一次由于清理通过网络传播而花费了一周的IT时间。
设置确实需要一些时间,但是如果遇到问题,则可能节省大量资金。
Windows和* nix之间的意见有所不同,但是您提到的域管理员使我觉得您在谈论Windows,所以这就是我要回答的内容。
在工作站上,通常不需要管理员,因此在大多数情况下,您的问题的答案为否。但是,有很多例外情况,并且确实确实取决于人在机器上执行的操作。
在服务器上,这是一个充满争议的话题。我个人的观点是,我仅登录服务器以执行管理工作,因此以用户身份登录然后使用run-as运行每个单独的工具没有任何意义,坦率地说,这一直是一个真正的难题。在您知道什么以及大多数工作上,这只会使管理员的生活变得过于困难和耗时。因为大多数Windows管理员工作都是使用GUI工具完成的,所以对于在命令行上工作的Linux管理员来说,并没有某种程度的安全性。在这里,一个简单的错字可能会使他急忙寻求昨晚的备份磁带。
我的生活很简单...该帐户具有独特的名称,并且都有不同的密码。
God Account-域管理员可以完成所有服务器端工作
用于管理PC的demigod帐户-无权共享/服务器-仅拥有PC的权限
虚弱的用户-我在自己的PC上授予高级用户权限,但我什至在其他PC上都没有这些权利
分离的原因很多。应该没有争执,那就去做吧!
冒着被否决的风险,我不得不说这取决于管理员的工作流程。就我个人而言,我在工作时在工作站上所做的绝大多数工作都需要这些管理员凭据。您已经拥有诸如域管理工具,第三方管理控制台,映射的驱动器,命令行远程访问工具,脚本等内置的东西。必须为您打开的几乎每件事输入凭据,这将是一场噩梦。
我的网络浏览器,电子邮件客户端,IM客户端和PDF查看器通常不需要管理员权限。从我登录到注销为止,大多数事情都保持打开状态。因此,我使用管理员凭据登录,然后使用低特权帐户运行所有低特权应用程序。这样麻烦就少了,我也不会因此而感到不安全。