Плохо все время входить в систему как администратор?

В офисе, где я работаю, трое других ИТ-специалистов все время заходят на свои компьютеры с учетными записями, входящими в группу администраторов домена.

У меня есть серьезные опасения по поводу входа в систему с правами администратора (локальные или для домена). Таким образом, для повседневного использования компьютера я использую учетную запись с обычными привилегиями пользователей. У меня также есть другая учетная запись, которая является частью группы администраторов домена. Я использую эту учетную запись, когда мне нужно сделать что-то, требующее повышенных привилегий на моем компьютере, одном из серверов или на компьютере другого пользователя.

Какова лучшая практика здесь? Должны ли сетевые администраторы постоянно входить в систему с правами на всю сеть (или даже на свой локальный компьютер)?

Абсолютная лучшая практика - Live User, Work Root . Пользователь, вошедший в систему, например, когда вы нажимаете кнопку обновления при сбое сервера каждые 5 минут, должен быть обычным пользователем. Тот, который вы используете для диагностики проблем маршрутизации Exchange, должен быть Admin. Получить такое разделение может быть сложно, так как в Windows по крайней мере требуется двойная сессия входа в систему, а это в некотором смысле означает два компьютера.

• ВМ работают очень хорошо для этого, и вот как я это решаю.
• Я слышал об организациях, которые ограничивают вход в свои учетные записи с повышенным уровнем доступа определенными специальными виртуальными машинами, размещенными внутри, и администраторы полагаются на RDP для доступа.
• Контроль учетных записей помогает ограничить возможности администратора (доступ к специальным программам), но постоянные запросы могут быть такими же раздражающими, как и необходимость удаленного подключения к другой машине для выполнения того, что нужно делать.

Почему это лучшая практика? Отчасти это потому , что я так сказал , как и многие другие. SysAdminning не имеет центрального органа, который бы определял лучшие практики каким-либо определенным образом. За последнее десятилетие у нас были опубликованы рекомендации по безопасности ИТ, в которых предлагалось использовать привилегированные привилегированные права только тогда, когда они вам действительно нужны. некоторые из лучших практик устанавливаются через гештальт опыта сисадминами за последние 40 с лишним лет. Документ из LISA 1993 ( ссылка ), пример документа из SANS ( ссылка , PDF), раздел из «критических мер безопасности» SANS затрагивает эту тему ( ссылка ).

Поскольку это домен Windows, вероятно, учетные записи, которые они используют, имеют полный сетевой доступ ко всем рабочим станциям, поэтому, если случится что-то плохое, это может произойти через сеть за считанные секунды. Первый шаг - убедиться, что все пользователи выполняют повседневную работу, работают в Интернете, пишут документы и т. Д. В соответствии с принципом доступа наименьшего пользователя .

Моя практика заключается в том, чтобы создать учетную запись домена и предоставить этой учетной записи права администратора на всех рабочих станциях (ПК-администратор) и отдельную учетную запись домена для работы администратора сервера (сервер-администратор). Если вы обеспокоены тем, что ваши серверы могут общаться друг с другом, вы можете иметь отдельные учетные записи для каждого компьютера (<x> -admin, <y> -admin). Обязательно попробуйте использовать другую учетную запись для запуска заданий администратора домена.

Таким образом, если вы делаете что-то на скомпрометированной рабочей станции с учетной записью ПК-администратора, и это дает вам шанс получить привилегии администратора, чтобы попытаться подключиться к другим компьютерам по сети, вы ничего не сможете сделать. противно вашим серверам. Наличие этой учетной записи также означает, что она ничего не может сделать с вашими личными данными.

Я должен сказать, однако, что в одном месте я знаю, где сотрудники работали с принципами LUA, у них не было надлежащего заражения вирусом в течение трех лет, которые я видел; в другом отделе того же места, в котором работали все сотрудники с локальным администратором и ИТ-специалистами с администратором сервера, было несколько вспышек, одна из которых заняла неделю ИТ-ресурсов для очистки из-за распространения инфекции по сети.

Настройка занимает некоторое время, но потенциальная экономия огромна, если вы столкнулись с проблемами.

Отдельные учетные записи для отдельных задач - лучший способ посмотреть на это. Принцип наименьшей привилегии - название игры. Ограничьте использование учетных записей «admin» задачами, которые необходимо выполнить как «admin».

Мнения несколько различаются между Windows и * nix, но ваше упоминание администраторов домена заставляет меня думать, что вы говорите о Windows, так что это контекст, в котором я отвечаю.

На рабочей станции вам обычно не нужно быть администратором, поэтому ответ на ваш вопрос в большинстве случаев будет НЕТ. Однако есть множество исключений, и это действительно зависит от того, что именно человек делает на машине.

На сервере это тема многих споров. Мое собственное мнение состоит в том, что я только захожу на сервер, чтобы выполнять работу администратора, поэтому не имеет смысла входить в систему как пользователь, а затем запускать каждый отдельный инструмент, используя run-as, что, откровенно говоря, всегда было настоящей болью в большинстве случаев это просто усложняет жизнь администратора и отнимает много времени. Поскольку большая часть работы администратора Windows выполняется с помощью инструментов графического интерфейса, существует некоторая степень безопасности, которой нет, скажем, у администратора Linux, работающего в командной строке, где простая опечатка может отправить его на поиски ленты для резервного копирования прошлой ночью.

моя жизнь проста ... учетная запись имеет отличительное имя, и все имеют разные пароли.

Учетная запись Бога - администратор домена, чтобы сделать всю работу на стороне сервера

Учетная запись demigod для администрирования ПК - не имеет прав на общие ресурсы / серверы - только на ПК

слабый пользователь - я даю себе опытный пользователь на своем собственном ПК, но у меня даже нет этих прав на других ПК

Причины разлуки много. не должно быть никаких аргументов, просто сделай это!

Я должен сказать, что рискуя быть отданным за голос в ад, это зависит от рабочего процесса администратора. Лично для меня подавляющему большинству дел, которые я делаю на своей рабочей станции во время работы, потребуются эти учетные данные администратора. У вас есть встроенные средства, такие как инструменты управления доменом, сторонние консоли управления, подключенные диски, инструменты удаленного доступа из командной строки, сценарии и т. Д. Этот список можно продолжить. Необходимость вводить учетные данные практически для каждой открываемой вещи - это кошмар.

Единственными вещами, которые обычно не нужны администраторам, являются мой веб-браузер, почтовый клиент, IM-клиент и программа просмотра PDF. И большинство из этих вещей остаются открытыми с момента входа в систему и до момента выхода из системы. Поэтому я вхожу с учетными данными администратора, а затем запускаю все свои приложения с низким уровнем привилегий и учетной записью с низким уровнем прав доступа. Это намного меньше хлопот, и я не чувствую себя менее защищенным для этого.