Schlecht, um die ganze Zeit als Admin eingeloggt zu sein?

In dem Büro, in dem ich arbeite, sind drei der anderen IT-Mitarbeiter die ganze Zeit über mit Konten angemeldet, die Mitglieder der Gruppe der Domänenadministratoren sind.

Ich habe ernsthafte Bedenken, mit Administratorrechten angemeldet zu sein (entweder lokal oder für die Domain). Aus diesem Grund verwende ich für den alltäglichen Computergebrauch ein Konto, das nur über normale Benutzerrechte verfügt. Ich habe auch ein anderes Konto, das Teil der Gruppe der Domänenadministratoren ist. Ich verwende dieses Konto, wenn ich auf meinem Computer, auf einem der Server oder auf dem Computer eines anderen Benutzers etwas tun muss, das erhöhte Berechtigungen erfordert.

Was ist hier die beste Praxis? Sollten Netzwerkadministratoren immer mit Rechten für das gesamte Netzwerk angemeldet sein (oder auch nur für ihren lokalen Computer)?

Absolute Best-Practice ist es, Benutzer, Work Root zu leben . Der Benutzer, unter dem Sie angemeldet sind, wenn Sie bei einem Serverfehler alle 5 Minuten auf "Aktualisieren" klicken, sollte ein normaler Benutzer sein. Derjenige, mit dem Sie Exchange-Routingprobleme diagnostizieren, sollte Admin sein. Diese Trennung zu erreichen, kann schwierig sein, da es in Windows mindestens zwei Anmeldesitzungen erfordert und dies in gewisser Weise zwei Computer bedeutet.

• VMs funktionieren sehr gut, und so löse ich es.
• Ich habe von Organisationen gehört, die die Anmeldung ihrer erhöhten Konten auf bestimmte spezielle VMs beschränken, die intern gehostet werden, und Administratoren verlassen sich auf RDP für den Zugriff.
• Die Benutzerkontensteuerung hilft dabei, die Möglichkeiten eines Administrators (Zugriff auf spezielle Programme) einzuschränken. Die fortlaufenden Eingabeaufforderungen können jedoch genauso ärgerlich sein wie das Remote-Zugriff auf einen anderen Computer, um die erforderlichen Aktionen auszuführen.

Warum ist dies eine bewährte Methode? Zum Teil, weil ich es gesagt habe , und viele andere auch. SysAdminning hat keinen zentralen Bereich, in dem Best Practices in irgendeiner Weise festgelegt werden. In den letzten zehn Jahren wurden einige Best Practices für IT-Sicherheit veröffentlicht, die darauf hinweisen, dass Sie erhöhte Privilegien nur dann verwenden, wenn Sie sie tatsächlich benötigen. Einige der Best Practices basieren auf den Erfahrungen, die Sysadmins in den letzten über 40 Jahren gesammelt haben. Ein Beitrag von LISA 1993 ( Link ), ein Beispielbeitrag von SANS ( Link , PDF), ein Abschnitt aus SANS 'Critical Security Controls' ( Link ).

Da es sich um eine Windows-Domäne handelt, haben die von ihnen verwendeten Konten wahrscheinlich vollständigen Netzwerkzugriff auf alle Arbeitsstationen. Wenn also etwas Schlimmes passiert, kann dies innerhalb von Sekunden über das Netzwerk erfolgen. Der erste Schritt besteht darin, sicherzustellen, dass alle Benutzer ihre tägliche Arbeit verrichten, im Internet surfen, Dokumente schreiben usw., und zwar nach dem Prinzip des geringsten Benutzerzugriffs .

Meine Praxis besteht dann darin, ein Domänenkonto zu erstellen und diesem Konto Administratorrechte auf allen Arbeitsstationen (PC-admin) und ein separates Domänenkonto für die Serveradministrationsarbeit (server-admin) zuzuweisen. Wenn Sie befürchten, dass Ihre Server miteinander kommunizieren können, können Sie für jeden Computer ein eigenes Konto einrichten (<x> -admin, <y> -admin). Versuchen Sie auf jeden Fall, ein anderes Konto zum Ausführen der Domänenadministratoraufträge zu verwenden.

Auf diese Weise können Sie auf einer gefährdeten Arbeitsstation mit dem PC-Administratorkonto nichts unternehmen, und es besteht die Möglichkeit, dass Sie über Administratorrechte verfügen, um über das Netzwerk auf andere Computer zuzugreifen böse auf Ihre Server. Wenn Sie dieses Konto haben, kann es auch nichts mit Ihren persönlichen Daten anfangen.

Ich muss jedoch sagen, dass an einer Stelle, an der ich weiß, wo die Mitarbeiter mit LUA-Grundsätzen gearbeitet haben, sie in den drei Jahren, die ich gesehen habe, keinen richtigen Virusbefall hatten; In einer anderen Abteilung am selben Ort gab es mehrere Ausbrüche bei allen Mitarbeitern mit lokalem Administrator und bei den IT-Mitarbeitern mit Serveradministrator. Eine davon benötigte eine Woche für die Bereinigung, da sich die Infektion über das Netzwerk ausbreitete.

Die Einrichtung dauert einige Zeit, aber die potenziellen Einsparungen sind enorm, wenn Sie von Problemen betroffen sind.

Separate Accounts für separate Aufgaben sind der beste Weg, dies zu betrachten. Das Prinzip des geringsten Privilegs ist der Name des Spiels. Beschränken Sie die Verwendung von "admin" -Konten auf die Aufgaben, die als "admin" ausgeführt werden müssen.

Die Meinungen zwischen Windows und * nix sind etwas unterschiedlich, aber Ihre Erwähnung von Domainadministratoren lässt mich denken, dass Sie über Windows sprechen, und das ist der Kontext, in dem ich antworte.

Auf einer Workstation sollte es normalerweise nicht erforderlich sein, Administrator zu sein, daher lautet die Antwort auf Ihre Frage in den meisten Fällen NEIN. Es gibt jedoch viele Ausnahmen und es kommt wirklich darauf an, was die Person an der Maschine gerade tut.

Auf einem Server ist es ein Thema, über das viel diskutiert wird. Ich bin der Ansicht, dass ich mich nur auf einem Server anmelde, um die Administratorarbeit zu erledigen. Es ist also einfach nicht sinnvoll, mich als Benutzer anzumelden und dann jedes einzelne Tool mit run-as auszuführen, was, ganz offen gesagt, immer ein echtes Problem war In den allermeisten Fällen macht es einem Administrator das Leben zu schwer und zeitaufwändig. Da die meisten Windows-Administrationsaufgaben mit GUI-Tools ausgeführt werden, gibt es einen Sicherheitsgrad, der beispielsweise für einen Linux-Administrator, der in der Befehlszeile arbeitet, nicht gegeben ist. Durch einen einfachen Tippfehler könnte er dann nach dem Sicherungsband der letzten Nacht suchen.

Mein Leben ist einfach ... der Account ist eindeutig benannt und alle haben unterschiedliche Passwörter.

God Account - Domain-Administrator, der alle Arbeiten auf dem Server erledigt

Demigod Account zur Verwaltung der PCs - hat keine Rechte an Freigaben / Servern - nur an den PCs

Schwacher Benutzer - Ich erlaube mir Poweruser auf meinem eigenen PC, aber ich habe nicht einmal diese Rechte auf anderen PCs

Die Gründe für die Trennung sind vielfältig. es sollte kein Streit geben, tu es einfach!

Ich muss sagen, dass es von den Arbeitsabläufen des Administrators abhängt, wenn die Gefahr besteht, dass jemand in die Hölle gewählt wird. Für mich persönlich wird die überwiegende Mehrheit der Dinge, die ich auf meiner Workstation während der Arbeit mache, diese Administratoranmeldeinformationen benötigen. Sie verfügen über integrierte Funktionen wie Domänenverwaltungstools, Verwaltungskonsolen von Drittanbietern, zugeordnete Laufwerke, Remotezugriffstools für die Befehlszeile, Skripts usw. Die Liste wird fortgesetzt. Es wäre ein Albtraum, für fast jedes geöffnete Element Anmeldeinformationen eingeben zu müssen.

Die einzigen Dinge, die normalerweise keine Administratorrechte benötigen, sind mein Webbrowser, E-Mail-Client, IM-Client und PDF-Viewer. Und die meisten dieser Dinge bleiben von der Anmeldung bis zur Abmeldung geöffnet. Also logge ich mich mit meinen Admin-Anmeldedaten ein und starte dann alle meine Low-Priv-Apps mit einem Low-Priv-Account. Es ist viel weniger stressig und ich fühle mich auch nicht weniger sicher dafür.