Frage Best Practices für eine separate Anmeldung für eine Domain für Domain-Administratoren?


In der Regel möchte ich für mich selbst getrennte Logins einrichten, eine mit regulären Benutzerrechten und eine separate für administrative Aufgaben. Wenn die Domain beispielsweise XXXX wäre, würde ich ein XXXX \ bpeikes-Konto und ein XXXX \ adminbp-Konto einrichten. Ich habe es immer getan, weil ich mir ehrlich gesagt nicht zutraue, als Administrator angemeldet zu sein, aber an jedem Ort, an dem ich gearbeitet habe, scheinen die Systemadministratoren einfach ihre üblichen Konten der Gruppe der Domänen-Admins hinzuzufügen.

Gibt es Best Practices? Ich habe einen Artikel von MS gesehen, der scheinbar sagt, dass Sie Run As verwenden sollten und sich nicht als Administrator anmelden sollten, aber sie geben kein Beispiel für eine Implementierung und ich habe noch nie jemanden anderen gesehen.


32
2018-02-12 15:36


Ursprung


Als einer, der hauptsächlich mit Linux / Unix handelt und kein Windows-Experte ist, sollte UAC nicht genau das beheben? Womit ich meine, damit man einen Account nutzen kann und trotzdem nur autorisierte Prozesse administrative Privilegien erhalten. - Dolda2000
@ Dolda2000 UAC war mehr für Endbenutzer in der Gewohnheit, als Administrator auf ihrem lokalen Rechner ausgeführt werden. Es gibt noch weitere Bedenken, wenn Sie als Domänenadministrator auf Ihrem lokalen Computer arbeiten - Ihre Anmeldedaten und Ihr Zugriff können wesentlich schlechter genutzt werden als die Installation eines Virus auf Ihrem Computer, da Sie für die meisten Dinge erhöhte Rechte haben die gesamte Domain. - HopelessN00b
@ HopelessN00b: Und du sagst UAC gilt nicht für diese Dinge? Warum nicht? Gibt es technische Gründe oder fehlt die Umsetzung einfach? - Dolda2000
@ Dolda2000 Nun, UAC sollte das Problem beheben, dass Malware den Benutzerkontext des angemeldeten Administrationsbenutzers nutzen kann, um sich selbst auf Endbenutzer- und Konsumenten-PCs zu installieren. Und es tut es. Es würde auch verhindern, dass ein bestimmter Vektor den Benutzerkontext eines Domänenadministrators verwendet, um Malware lokal zu installieren. Dies ist jedoch nicht das Ausmaß der Sicherheitsbedenken, die mit der Ausführung als Domänenadministrator anstelle eines eingeschränkten Benutzers verbunden sind. - HopelessN00b
@ Dolda2000 UAC verhindert, dass Prozesse privilegierte Funktionen auf dem lokalen Rechner ausführen. Wenn Sie als Domänenadministrator angemeldet sind, können Sie privilegierte Befehle remote auf anderen Computern ausführen und auf den Remote-Computern ohne UAC-Eingabeaufforderung ausgeführt werden. Daher kann Malware, die speziell dafür entwickelt wurde, Ihre gesamte Domäne infizieren (und dann Ihren lokalen Computer mit einem anderen Remote-Computer infizieren), ohne dass Sie jemals eine UAC-Eingabeaufforderung sehen. - Monstieur


Antworten:


"Best Practice" diktiert normalerweise LPU (least priviled user) ... aber Sie sind richtig (wie ETL und Joe so +1), dass Leute diesem Modell selten folgen.

Die meisten Empfehlungen sind zu tun, wie Sie sagen ... Erstellen Sie 2 Konten und teilen Sie diese Konten nicht mit anderen. Ein Konto sollte selbst auf der lokalen Arbeitsstation, die Sie theoretisch verwenden, keine Administratorrechte haben, aber wiederum sollte diese Regel eingehalten werden, vor allem mit UAC in diesen Tagen (die theoretisch aktiviert werden sollten).

Es gibt mehrere Faktoren, warum Sie diese Route gehen möchten. Sie müssen Sicherheit, Komfort, Corporate-Governance-Richtlinien, regulatorische Beschränkungen (falls vorhanden), Risiken usw. berücksichtigen.

Das behalten Domain Admins und Administrators Domain-Level-Gruppen nett und sauber mit minimalen Konten ist immer eine gute Idee. Teilen Sie jedoch nicht einfach die gemeinsamen Domänenadministratorkonten auf, wenn Sie dies vermeiden können. Sonst besteht die Gefahr, dass jemand etwas tut und dann zwischen den Systemadministratoren von "es war nicht ich, der dieses Konto benutzt" zeigt. Es ist besser, individuelle Konten zu haben oder etwas wie CyberArk EPA zu verwenden, um es korrekt zu prüfen.

Auch in diesen Zeilen, Ihre Schema Admins Die Gruppe sollte immer leer sein, es sei denn, Sie ändern das Schema, und Sie legen das Konto ein, nehmen die Änderung vor und entfernen das Konto. Das gleiche könnte man sagen für Enterprise Admins insbesondere in einem einzigen Domänenmodell.

Sie sollten privilegierten Konten auch nicht erlauben, VPN in das Netzwerk einzubinden. Verwenden Sie ein normales Konto und heben Sie es dann wie erforderlich nach innen an.

Schließlich sollten Sie SCOM, Netwrix oder eine andere Methode zum Überwachen einer privilegierten Gruppe verwenden und die entsprechende Gruppe in der IT benachrichtigen, wenn sich eines dieser Gruppenmitglieder geändert hat. Das wird dir einen Hinweis geben, "warte eine Minute, warum ist so und so plötzlich ein Domain-Admin?" usw.

Am Ende des Tages gibt es einen Grund, warum es "Best Practice" heißt und nicht "Only Practice". Es gibt akzeptable Entscheidungen, die von IT-Gruppen aufgrund ihrer eigenen Bedürfnisse und Philosophien getroffen werden. Einige (wie Joe sagte) sind einfach faul ... während andere einfach nicht interessiert sind, weil sie nicht daran interessiert sind, ein Sicherheitsloch zu stopfen, wenn es schon Hunderte gibt und täglich Feuer zu bekämpfen. Aber jetzt, wo du all das gelesen hast, betrachte dich als einen von denen, die den guten Kampf bekämpfen und tun werden, was du kannst, um Dinge sicher zu halten. :)

Verweise:

http://www.microsoft.com/en-us/download/details.aspx?id=4868

http://technet.microsoft.com/en-us/library/cc700846.aspx

http://technet.microsoft.com/en-us/library/bb456992.aspx


24
2018-02-12 15:49



Das geringste Recht gilt hauptsächlich für Nicht-Administrator-Konten. Die Trennung der Anmeldeinformationen hilft nicht aus der Perspektive des geringsten Ansehens, wenn das Guthaben auf einem schmutzigen System verwendet wird, das durch das niedrigere privilegierte Guthaben kompromittiert wird. - Jim B
Richtig, aber ich denke, "LPU" bedeutet auch, nur den Zugang zu privilegierten Gruppen zu gewähren, wenn dies erforderlich ist. Viele IT-Abteilungen. DA-Zugang zu geben, einfach weil es einfacher ist, die unzähligen Anfragen zu bearbeiten. - TheCleaner


AFAIK, es gilt als Best Practice für Domänen- / Netzwerkadministratoren, über ein Standardbenutzerkonto für die Anmeldung an ihrer Arbeitsstation zu verfügen, um routinemäßige "Benutzer" -Aufgaben (E-Mail, Dokumentation usw.) auszuführen und über ein benanntes Administratorkonto zu verfügen Gruppenmitgliedschaft, damit sie administrative Aufgaben ausführen können.

Dies ist das Modell, dem ich zu folgen versuche, obwohl es schwer zu implementieren ist, wenn die bestehenden IT-Mitarbeiter es nicht gewohnt sind, dies auf diese Weise zu tun.

Persönlich, wenn ich ein IT-Personal finde, das sich zurückhält, um in diese Richtung zu gehen, bin ich der Meinung, dass sie entweder faul, unerfahren sind oder die Praxis der Systemadministration nicht verstehen.


27
2018-02-12 15:44





Dies ist eine bewährte Methode aus Sicherheitsgründen. Wie andere bereits erwähnt haben, verhindert dies, dass Sie versehentlich etwas unternehmen oder dass Sie beim Surfen im Netzwerk kompromittiert werden. Es begrenzt auch den Schaden, den Ihr persönliches Browsen verursachen kann - im Idealfall sollte Ihre tägliche Arbeit nicht einmal über lokale Administratorrechte verfügen, geschweige denn über Domänenadministratoren.

Es ist auch unglaublich nützlich zu kontern Übergeben Sie den Hash oder Windows-Authentifizierungstoken-Hijacks. (Beispiel) Ein richtiger Penetrationstest wird dies leicht beweisen. Sobald ein Angreifer Zugriff auf ein lokales Administratorkonto erhält, nutzt er diese Möglichkeit, um in einen Prozess mit einem Domain-Admin-Token zu migrieren. Dann haben sie effektiv diese Befugnisse.

Wie für ein Beispiel von Leuten, die das verwenden, tut meine Firma! (200 Leute, 6-Mann-OPs-Team) Tatsächlich haben unsere Domain-Admins -THREE- Accounts. Eine für den täglichen Gebrauch, eine für die PC-Verwaltung / Installation von Software vor Ort. Der dritte ist die Domain-Admin-Konten, und nur für die Verwaltung von Servern und der Domäne verwendet. Wenn wir paranoid / sicher sein wollten, wäre wahrscheinlich ein Viertel in Ordnung.


12
2018-02-12 15:57



Drei Accounts ... interessant ... Ich muss das für den sich abzeichnenden Domainwechsel in meiner Firma berücksichtigen ... - pepoluan
Gleiches in meiner Firma. Normaler Desktop-Account, Administrator-Account für den lokalen Admin-Zugriff auf Client-Computern UND ein separates Server-Admin-Konto. Beide Admin Accounts erhalten keine E-Mail und keinen Internetzugang. Das einzige Problem ist, dass das Konto "server-admin" lokale Administratorrechte auf der Arbeitsstation benötigt oder dass UAC die lokale Ausführung von MMC mit RunAs als Server-admin-Konto beeinträchtigt. (Kann RDP zu einem Server verwenden und alles von dort ausführen, aber das ist wirklich hinderlich, wenn Sie kopieren / einfügen oder mit Daten vergleichen müssen, die auf dem Desktop-Account laufen.) - Tonny
Wir haben es ziemlich gut geschafft, unsere Domain Admins RDP für ihre Verwaltungsarbeit auf einem Server zu haben. Copy & Paste bewegt sich tatsächlich erstaunlich gut über RDP. Und auf diesem einzelnen Server sind bereits alle Verwaltungsdienstprogramme installiert. Aber das gesagt ... Ich glaube, die Domain Admins Gruppe hat standardmäßig lokale Admin-Rechte. Ich bevorzuge nur diese Anmeldeinformationen berühren nie Desktops, um gegen Token Diebstahl und dergleichen zu verhindern. - Christopher Karel


In meiner früheren Firma habe ich darauf bestanden, dass alle Systemadministratoren 2 Konten haben, dh:

  • DOMÄNE \ st19085
  • DOMÄNE \ st19085a ("a" für admin)

Die Kollegen waren zuerst ungern, aber es wurde eine Faustregel, nach der typischen Frage nach der Virenbedrohung "Wir haben ein Antivirenprogramm" wurde durch eine veraltete Virendatenbank entlarvt ...

  • Wie du bereits erwähnt hast RENNEN WIE Befehl könnte verwendet werden (Ich hatte ein Batch-Skript, ein benutzerdefiniertes Menü präsentiert, starten bestimmte Aufgaben mit dem RUNAS-Befehl).

  • Eine andere Sache ist die Verwendung der Microsoft Managementkonsolekönnen Sie die benötigten Werkzeuge speichern und mit einem starten Rechtsklick, Rennen wie... und dein Domain-Admin-Konto.

  • Zu guter Letzt habe ich eine PowerShell-Shell als Domain-Admin gestartet und von dort die benötigten Sachen gestartet.

7
2018-02-12 15:59



Dies ist im Wesentlichen die Implementierung, die ich verwendet habe (und allen anderen aufgezwungen wurde), wo immer ich ein Mitspracherecht hatte. Sie melden sich an Ihrem Computer an und erledigen Ihre täglichen Aufgaben wie alle anderen auch als normaler Benutzer. Wenn Sie Administratorrechte benötigen, Sie Run As/Run as Administrator und benutze das administrative Benutzerkonto. Nur einen Account für alles zu verwenden, ist eine schlechte Sicherheitsvorkehrung, und nach meiner Erfahrung sind die Leute, die ablehnen, die Leute, die am meisten davon isoliert werden müssen, alles als Admin zu laufen. - HopelessN00b
+1 großartige Beobachtung von @ HopelessN00b: "Die Leute, die Einwände haben, sind die Leute, die am meisten davon isoliert werden müssen, alles als Admin zu laufen" - mr.b
Eigentlich sollten Sie eine separate Arbeitsstation verwenden, die gesperrt wurde, um nur den Administrator auszuführen - Jim B


Ich habe an Orten gearbeitet, die es auf beide Arten tun, und in der Regel bevorzuge ich einen separaten Account. Es ist eigentlich viel einfacher, im Gegensatz zu dem, was Joeqwertys widerwillige Benutzer / Kunden zu denken scheinen:

Vorteile der Verwendung Ihres normalen täglichen Kontos für Domain-Admin-Aktivitäten: Ja, alle administrativen Tools funktionieren ohne Runas auf meiner Workstation! W00t!

Nachteile der Verwendung Ihrer normalen, jeden Tag Konto für Domänen-Admin-Aktivitäten: Angst. ;) Desktop-Tech bittet dich, eine Maschine anzuschauen, weil er nicht herausfinden kann, was damit nicht stimmt, du loggst ein, es hat einen Virus. Trennen Sie das Netzwerkkabel, ändern Sie das Passwort (woanders). Wenn Manager Sie fragen, warum Sie Ihre geschäftliche E-Mail nicht auf Ihrem persönlichen BlackBerry über Ihren Mobilfunkanbieter erhalten, müssen Sie erklären, dass sie Ihr DOMAIN ADMIN-Passwort auf ihren Servern speichern, wenn Sie dies tun. Etc., etc. Ihr hoch privilegiertes Passwort wird für Dinge wie ... Webmail, vpn, Login auf dieser Webseite verwendet. (Ew.) (Um fair zu sein, mein Account wurde von der "Passwort ändern" -Webseite blockiert, also war es zumindest das. Wenn ich mein altes LDAP-Passwort ändern wollte, das die Webseite synchronisiert hat, müsste ich gehen zum Schreibtisch eines Kollegen.)

Vorteile bei der Verwendung eines anderen Kontos für Domänenadministratoraktivitäten: Absicht. Dieser Account ist beabsichtigt für die Verwaltungstools usw., und nicht für E-Mail, Webmail, VPN, Webseiten-Logins usw. Also, weniger Angst, dass meine normalen "Benutzer" -Aktivitäten die gesamte Domain einem Risiko aussetzen.

Nachteile der Verwendung eines anderen Kontos für Domain-Admin-Aktivitäten: Ich muss Runas für administrative Tools verwenden. Das ist nicht so schmerzhaft.

Die TL; DR-Version: Einen separaten Account zu haben ist einfach einfacher.  Es ist auch Best Practice, wie es ist mindestens notwendige Privilegien.


4
2018-02-13 15:43





Least Priv sollte Grund genug sein, aber falls dies nicht der Fall ist, bedenken Sie auch, dass Sie, wenn Sie ein Konto mit den gleichen Berechtigungen wie Ihre Benutzer verwenden, wahrscheinlich Probleme haben - und Sie können sie auf Ihrem eigenen Konto debuggen Auch - oft bevor sie sie überhaupt gesehen haben!

Nichts schlimmer als ein Administrator, der sagt "es funktioniert für mich" und schließt das Ticket :)


2
2018-02-19 08:39



+1, um zu erkennen, dass die tägliche Verwendung eines Kontos auf Benutzerebene die Effektivität der Fehlerbehebung verbessert. - Twisty Impersonator


In aller Theorie ist es am besten, dass Sie keine Top-Administrator-Anmeldung für Ihre täglichen Aktivitäten verwenden. Es gibt viele Gründe wie Viren - wenn Sie einen Virus bekommen und Sie Domain Admin-Anmeldung ausführen, dann hat der Virus eine einfache Möglichkeit, in Ihrem Netzwerk zugreifen, vollen Zugriff! Die möglichen Fehler sind leichter zu machen, aber ich sehe das nicht als die größte Herausforderung. Wenn du deinen Campus durchsuchst und dich mit deinem obersten Administrator anmeldest, kann jemand über deine Schulter nach deinem Kennwort suchen. Alle möglichen Dinge wie diese.

Aber ist es praktisch? Ich finde es schwer, dieser Regel zu folgen, aber ich möchte sie befolgen.


1
2018-02-12 15:40





Hinzufügen meiner 2 Cent auf der Grundlage der tatsächlichen Erfahrung ..

Wenn Sie wissen und wissen, dass Sie ein Administratorkonto für Ihre tägliche Arbeit verwenden, sind Sie bei allem, was Sie tun, sehr vorsichtig. Sie klicken also nicht einfach auf eine E-Mail / einen Link oder führen nur Anwendungen ohne dreifache Überprüfung aus. Ich denke, es hält dich auf Trab.

Die Verwendung eines Kontos mit der geringsten Berechtigung für Ihre tägliche Arbeit macht einen sorglos.


0
2017-08-06 08:27



Das ist eine schöne Theorie, aber nach meiner Erfahrung funktioniert es nicht (zumindest nicht für alle). Ich habe Kollegen gesehen, die große Mengen von Daten aus Produktionssystemen durch Fehler löschten (ein Leerzeichen an der falschen Stelle in einer Befehlszeile reicht aus). - Gerald Schneider
keine Theorie, wir praktizieren es hier ;-) Nach meiner Erfahrung taxieren Sie die Leute, denen Sie solche Privilegien geben und sie nicht einfach für das Bitten abgeben. - Palabok de Ensaymada