Frage Schlecht, ständig als Admin eingeloggt zu sein?


In dem Büro, in dem ich arbeite, sind drei der anderen IT-Mitarbeiter ständig mit Computern bei ihren Computern angemeldet, die Mitglieder der Gruppe der Domänenadministratoren sind.

Ich habe ernsthafte Bedenken, dass ich mit Administratorrechten angemeldet bin (entweder lokal oder für die Domain). Daher verwende ich für den täglichen Computergebrauch ein Konto, das nur normale Benutzerrechte hat. Ich habe auch einen anderen Account, der Teil der Domain-Admins-Gruppe ist. Ich verwende dieses Konto, wenn ich etwas tun muss, das erhöhte Rechte auf meinem Computer, einem der Server oder auf dem Computer eines anderen Benutzers erfordert.

Was ist die beste Vorgehensweise hier? Sollten Netzwerkadministratoren die ganze Zeit (oder sogar ihren lokalen Computer) mit Rechten am gesamten Netzwerk angemeldet sein?


20
2018-01-20 01:44


Ursprung


Ich fand das immer dumm. Ich habe nie von einem guten Grund gehört, das zu tun. Vielleicht geben wir den Eltern über Fenster begrenzte Konten, aber wir reden über die Verwendung von Konten
Hattest du jemals ein Kind herumgerannt, das Sachen auf seinem Computer anklickte? Wie wäre es mit versehentlichem Entfernen der Hauptdatenfreigabe anstelle von dir mp3-Ordner. - Barfieldmv
jemand bitte fügen Sie ein "Windows" -Tag zu dieser Frage hinzu - JoelFan
@Barfieldmv, diese Frage betrifft eine Arbeitsumgebung, nicht den PC in Ihrer Lounge. Kinder sollten nicht in der Nähe sein und versehentliche Löschungen können aus Sicherungen wiederhergestellt werden. - John Gardeniers


Antworten:


Absolutes Best-Practice ist es Live-Benutzer, Arbeitswurzel. Der Benutzer, bei dem Sie angemeldet sind, wenn Sie alle 5 Minuten auf "Serverfehler aktualisieren" klicken, sollte ein normaler Benutzer sein. Der, den Sie verwenden, um Exchange-Routing-Probleme zu diagnostizieren, sollte Admin sein. Diese Trennung zu erreichen, kann schwierig sein, da in Windows mindestens zwei Login-Sitzungen erforderlich sind und das bedeutet, dass es zwei Computer gibt.

  • VMs arbeiten dafür sehr gut und so löse ich sie.
  • Ich habe von Organisationen gehört, die ihre erhöhten Accounts auf bestimmte spezielle VMs, die intern gehostet werden, mit Login-Rechten einschränken, und Admins verlassen sich auf RDP für den Zugriff.
  • UAC hilft zu begrenzen, was ein Administrator tun kann (Zugriff auf spezielle Programme), aber die kontinuierlichen Aufforderungen können genauso lästig sein wie die Notwendigkeit, sich in eine andere Maschine zu versetzen, um zu tun, was getan werden muss.

Warum ist das eine Best-Practice? Teilweise ist es Weil ich es gesagt habeund viele andere auch. SysAdminning hat keine zentrale Stelle, die Best Practices in irgendeiner Art und Weise festlegt. In den letzten zehn Jahren haben wir einige Best Practices für die IT-Sicherheit veröffentlicht, die darauf hindeuten, dass Sie nur erhöhte Rechte verwenden, wenn Sie sie tatsächlich benötigen. Einige der besten Praktiken sind durch die Gestalt der Erfahrung von Sysadmins in den letzten 40 Jahren festgelegt. Ein Artikel von LISA 1993 (Verknüpfung), ein Beispielpapier von SANS (Verknüpfung, ein PDF), berührt ein Abschnitt aus SANS 'kritischen Sicherheitskontrollen' (Verknüpfung).


36
2018-01-20 01:49



Beachten Sie, dass das Administratorkonto in Windows 7 wesentlich eingeschränkter ist und keine doppelten Anmeldesitzungen erfordert. UAC funktioniert ganz gut. Es funktioniert deutlich weniger in Vista. - Ricket
@Ricket, ich stimme nicht mit dem Kommentar über die UAC, zumindest für Admins. Ich habe es auf meiner Workstation ausgeschaltet, weil fast jede Software, die ich verwende, die UAC dazu veranlasst, mich um Erlaubnis zu bitten. Das ist so irritierend und bremst mich so sehr, dass seine positiven Aspekte durch seine Negative stark aufgewogen werden. Um "ganz nett" zu arbeiten, wie Sie es nennen, sollten wir in der Lage sein zu sagen, dass es bestimmte Software immer zulassen oder verbieten sollte, aber natürlich ist es nicht so flexibel. Ganz einfach, es ist ein unreifer und unüberlegter Versuch, eines Tages eine wertvolle Sicherheitskomponente zu sein. - John Gardeniers
^ Beachten Sie, dass der im obigen Kommentar verlinkte TechNet-Artikel alt ist und vor Vista geschrieben wurde (da er sich auf seinen Codenamen "Longhorn" bezieht). Aber für XP Benutzer ist es sehr gültig. @John Ich denke, jeder Kilometerstand variiert, aber ich bekomme nie UAC Popups und ich benutze ziemlich viel Software. Die einzige Ausnahme sind Installer (duh) und der lästige Java-Updater. Vista war viel schlechter, also wenn du UAC seit Windows 7 nicht probiert hast, empfehle ich definitiv, es wieder einzuschalten, ansonsten denke ich, dass du nur veraltete / schlecht geschriebene Software verwendest. Es gibt keine Möglichkeit, dass fast jede Software zur Admin-Erlaubnis auffordert ... - Ricket
@ Ricket, wir verwenden eindeutig sehr unterschiedliche Software. Ich stelle dar, dass wir auch sehr unterschiedliche Aufgaben ausführen. Nur weil die von Ihnen verwendete Software die UAC nicht auslöst, bedeutet dies nicht, dass dies für die von anderen verwendete Software gilt. Wenn Sie Erfahrungen sammeln, werden Sie diese Dinge lernen. Was ich gesagt habe, ist Tatsache. Warum fragst du es? - John Gardeniers
@Keith Stokes: Was hast du dem armen PuTTY angetan, damit er dich zur UAC auffordert? PuTTY braucht keine Höhe zum Laufen! - Evan Anderson


Da es sich um eine Windows-Domäne handelt, haben die von ihnen verwendeten Konten wahrscheinlich vollständigen Netzwerkzugriff auf alle Arbeitsstationen. Wenn also etwas Schlimmes passiert, kann es innerhalb von Sekunden über das Netzwerk erfolgen. Der erste Schritt besteht darin, sicherzustellen, dass alle Benutzer ihre tägliche Arbeit erledigen, im Internet surfen, Dokumente schreiben usw. nach dem Prinzip Geringster Benutzerzugriff.

Meine Praxis ist dann, einen Domänenaccount zu erstellen und diesem Account Administratorrechte auf allen Workstations (PC-admin) und einem separaten Domainaccount für den Serveradministrator (server-admin) zu geben. Wenn Sie Bedenken haben, dass Ihre Server miteinander kommunizieren können, können Sie für jeden Computer eigene Konten einrichten (<x> -admin, <y> -admin). Versuchen Sie auf jeden Fall, ein anderes Konto zum Ausführen der Domänenadministrationsjobs zu verwenden.

Auf diese Weise, wenn Sie etwas auf einer kompromittierten Workstation mit dem PC-admin-Konto tun, und es die Chance hat, dass Sie Admin-Rechte haben, um auf andere Maschinen über das Netzwerk zu gelangen, wird es nichts tun können böse zu deinen Servern. Wenn Sie dieses Konto haben, können Sie auch mit Ihren persönlichen Daten nichts anfangen.

Ich muss jedoch sagen, dass ich an einem Ort weiß, wo die Mitarbeiter mit LUA-Prinzipien gearbeitet haben, dass sie in den drei Jahren, die ich sah, keinen richtigen Virusbefall hatten; Eine andere Abteilung am selben Ort, an der alle mit lokalen Administratoren und IT-Mitarbeitern mit Serveradministrator arbeiten, hatte mehrere Ausbrüche, von denen einer aufgrund der Ausbreitung der Infektion über das Netzwerk eine Woche IT-Zeit benötigte.

Es dauert einige Zeit, bis es eingerichtet ist, aber die potenziellen Einsparungen sind enorm, wenn Sie Probleme haben.


12
2018-01-20 04:16



Ich benehme mich so und nutze einen Domänenaccount für meine tägliche Arbeit und steige bei Bedarf auf meinen privilegierten Admin-Domänenaccount. Meine anderen Kollegen lachen über mich und ich kann es kaum erwarten zu sehen, dass ihre Workstations etwas auf eine böse Art beeinflussen, also kann ich sagen, dass ich es dir gesagt habe. - songei2f


Separate Accounts für separate Aufgaben sind der beste Weg, um es zu betrachten. Prinzip des geringsten Privilegs ist der Name des Spiels. Beschränken Sie die Verwendung von "Admin" -Konten auf die Aufgaben, die als "admin" ausgeführt werden müssen.


1
2018-01-20 02:14





Die Meinungen unterscheiden sich etwas zwischen Windows und * nix, aber Ihre Erwähnung von Domain-Admins lässt mich denken, dass Sie über Windows sprechen, also ist das der Kontext, auf den ich antworte.

Auf einer Arbeitsstation sollten Sie normalerweise nicht Administrator sein, daher lautet die Antwort auf Ihre Frage in den meisten Fällen NEIN. Es gibt jedoch viele Ausnahmen und es hängt wirklich davon ab, was genau die Person auf dem Rechner macht.

Auf einem Server ist es ein viel diskutiertes Thema. Meine eigene Ansicht ist, dass ich mich nur auf einem Server anmelde, um Admin-Arbeit zu leisten, also macht es einfach keinen Sinn, sich als Benutzer anzumelden und dann jedes einzelne Tool mit Run-as auszuführen, was ehrlich gesagt immer ein echter Schmerz war Im Du-weißt-schon-was und für die meisten Jobs macht es das Admin-Leben einfach zu schwierig und zeitraubend. Da die meisten Windows-Admin-Aufgaben mit GUI-Tools erledigt werden, gibt es ein gewisses Maß an Sicherheit, das für einen Linux-Administrator an der Kommandozeile nicht gegeben ist, wo ein einfacher Tippfehler ihn für das Backup-Band der letzten Nacht huschen könnte.


1
2018-01-20 03:27



+1, "Was loggen Sie sich als auf einem Server ein" ist ein großer Fokus der Debatte. - sysadmin1138♦


Mein Leben ist einfach ... der Account ist unverwechselbar benannt, und alle haben unterschiedliche Passwörter.

Gott-Konto - Domain-Admin, um alle Server-Seite Arbeit zu tun

Demigod-Account zur Verwaltung der PCs - hat keine Rechte auf Shares / Server - nur auf den PC's

schwacher Benutzer - Ich bewillige mich als Power User auf meinem eigenen PC, aber ich habe diese Rechte nicht einmal auf anderen PCs

Die Gründe für die Trennung sind vielfältig. Es sollte keinen Streit geben, mach es einfach!


1
2018-01-20 05:01



Ich mag die Privilegientrennung auf drei Ebenen, aber andere dazu zu bringen, das zu praktizieren, was man predigt, muss Kopfschmerzen bereiten. - songei2f
Es kann in einigen Umgebungen ein harter Verkauf sein. Aber wenn Sie sich den politischen Entscheidungsträgern beweisen können, dann werden sie Ihnen helfen, eine verfolgte Politik zu machen. Kein Exec möchte sein Unternehmen verlieren, wenn eine kostenlose und einfache Lösung existiert. - cwheeler33
Du hast # 4 vergessen: auditing user, welcher god loggt, was ansonsten unabhängig von allen anderen accounts ist. Wenn also ein Hacker deinen Gott rachsüchtig machen lässt, weißt du, wie das passiert ist. - Parthian Shot


Auf die Gefahr hin, in die Hölle gewählt zu werden, muss ich sagen, es hängt vom Workflow des Administrators ab. Für mich persönlich wird die große Mehrheit der Dinge, die ich auf meinem Arbeitsplatz während der Arbeit mache, diese Administrator-Zugangsdaten benötigen. Sie verfügen über integrierte Funktionen wie Domänenverwaltungstools, Verwaltungskonsolen von Drittanbietern, zugeordnete Laufwerke, Remotezugriffstools für die Befehlszeile, Skripts usw. Die Liste wird fortgesetzt. Die Eingabe von Anmeldeinformationen für fast jede einzelne Sache, die Sie öffnen, wäre ein Albtraum.

Über die einzigen Dinge, die normalerweise keine Admin-Rechte benötigen, sind mein Web-Browser, E-Mail-Client, IM-Client und PDF-Viewer. Und die meisten dieser Dinge bleiben vom Login bis zum Abmelden offen. Also logge ich mich mit meinen Admin-Zugangsdaten ein und führe dann alle meine Low-Priv-Apps mit einem niedrigen Privatkonto aus. Es ist viel weniger Ärger und ich fühle mich nicht weniger sicher dafür.


0
2018-01-20 16:07



run wie mit low priv tut nicht viel zur sicherheit, da das system bereits mit einem admin account läuft. Du hast dir ein falsches Gefühl der Sicherheit gegeben. Tun Sie es andersherum, loggen Sie sich als Benutzer ein und laufen Sie dann als Administrator. Geben Sie sich als Power-User für Ihr Login, wenn Sie wollen, aber bitte nicht als ADMIN die ganze Zeit ausgeführt werden. - Liam
+1 Wie ich in meiner Antwort sagte, "hängt es wirklich davon ab, was genau die Person auf der Maschine macht". Trotz aller Theorie und so genannten "Best Practice" gibt es Zeiten, in denen es einfach nicht sinnvoll ist, sich als Benutzer einzuloggen. Zumindest nicht in der Windows-Welt. - John Gardeniers
Ich bin mir ziemlich sicher, dass es in Windows 7 keine Power-User-Rechte gibt. goo.gl/fqYbb - Luke99
@Liam Nichts für ungut, aber du liegst falsch, wenn du sagst, dass RunAs mit niedrigem priv nicht viel tun. Es tut genau das, was es tun soll, was diesen bestimmten Prozess (und seine Kinder) daran hindert, irgendetwas mit erhöhten Rechten zu tun. Und das ist perfekt für die Anwendungen, die keine erhöhten Rechte benötigen und generell auch die am häufigsten von Malware angegriffen werden. - Ryan Bolger