1
域管理员帐户策略(在PCI审核之后)
我们的客户之一是Tier 1 PCI公司,他们的审计师就我们作为系统管理员和我们的访问权提出了建议。 我们管理它们的大约700个台式机/ 80个服务器/ 10域控制器的完全基于Windows的基础结构。 他们建议我们改用拥有三个单独帐户的系统: DOMAIN.CO.UK\UserWS DOMAIN.CO.UK\UserSRV DOMAIN.CO.UK\UserDC 当WS是帐户上只有工作站日志,是在工作站上的本地管理员 其中SRV是帐户上只有非DC服务器日志,是在服务器上的本地管理员 当DC是帐户上唯一的域控制器,有效的域管理员帐户登录 然后制定适当的策略来防止从错误的帐户登录到错误的系统类型(包括删除非DC计算机上域管理员帐户的交互式登录) 这是为了防止受感染的工作站可以暴露域管理员登录令牌并针对域控制器重新使用该令牌的情况。 这似乎不仅对我们的日常运营而言是一项非常侵入性的政策,而且对于解决相对不太可能的攻击/利用(这仍然是我的理解,也许我误解了此利用的可行性)的工作量很大, 。 我很想听听其他管理员的意见,尤其是那些曾经在PCI注册公司中工作过的人,并且您也遇到类似的建议。您对管理员登录有什么政策。 作为记录,我们目前拥有一个通常使用的域用户帐户,以及一个在我们需要其他权限时也会提升的域管理员帐户。坦率地说,我们都比较懒惰,尽管在技术上违反我们公司的政策(尽管我肯定您理解!),但通常只使用Domain Admin帐户进行日常操作。