Ist es empfehlenswert, eine Domain für Domain-Administratoren separat anzumelden?

Normalerweise möchte ich separate Anmeldungen für mich einrichten, eine mit normalen Benutzerberechtigungen und eine separate für administrative Aufgaben. Wenn die Domain beispielsweise XXXX war, habe ich ein XXXX \ bpeikes- und ein XXXX \ adminbp-Konto eingerichtet. Ich habe es immer getan, weil ich ehrlich gesagt nicht vertraue, dass ich als Administrator angemeldet bin, aber an jedem Ort, an dem ich gearbeitet habe, scheinen die Systemadministratoren der Gruppe der Domänenadministratoren einfach ihre üblichen Konten hinzuzufügen.

Gibt es Best Practices? Ich habe einen Artikel von MS gesehen, der anscheinend besagt, dass Sie Ausführen als verwenden und sich nicht als Administrator anmelden sollten, aber sie geben kein Beispiel für eine Implementierung und ich habe noch nie jemanden gesehen, der dies tut.

"Best Practice" schreibt normalerweise LPU (Benutzer mit den geringsten Rechten) vor ... aber Sie haben Recht (ebenso wie ETL und Joe mit +1), dass die Leute diesem Modell selten folgen.

Die meisten Empfehlungen lauten, wie Sie sagen: Erstellen Sie zwei Konten und teilen Sie diese nicht mit anderen. Ein Konto sollte theoretisch nicht einmal auf der von Ihnen verwendeten lokalen Workstation über Administratorrechte verfügen, sondern erneut über die Befolgung dieser Regel, insbesondere in Bezug auf die Benutzerkontensteuerung (die theoretisch aktiviert werden sollte).

Es gibt jedoch mehrere Gründe, warum Sie diesen Weg gehen möchten. Sie müssen Sicherheit, Komfort, Unternehmensrichtlinien, behördliche Beschränkungen (falls vorhanden), Risiken usw. berücksichtigen.

Halten Sie die Domain AdminsundAdministrators ist immer eine gute Idee, die Gruppen Domänenebene mit minimalen Konten schön und sauber zu halten. Teilen Sie jedoch nicht einfach gemeinsame Domänenadministratorkonten, wenn Sie dies vermeiden können. Andernfalls besteht die Gefahr, dass jemand etwas unternimmt und dann mit dem Finger zwischen die Systemadministratoren zeigt, dass "nicht ich dieses Konto verwendet habe". Es ist besser, einzelne Konten zu haben oder so etwas wie CyberArk EPA zu verwenden, um es korrekt zu prüfen.

Auch in diesen Zeilen sollte Ihre Schema AdminsGruppe immer LEER sein, es sei denn, Sie ändern das Schema und legen dann das Konto ein, nehmen die Änderung vor und entfernen das Konto. Dasselbe gilt Enterprise Adminsinsbesondere für ein einzelnes Domänenmodell.

Sie sollten auch NICHT zulassen, dass privilegierte Konten VPN-Verbindungen zum Netzwerk herstellen. Verwenden Sie ein normales Konto und erhöhen Sie es dann nach Bedarf.

Schließlich sollten Sie SCOM oder Netwrix oder eine andere Methode zum Überwachen einer privilegierten Gruppe verwenden und die entsprechende Gruppe in der IT benachrichtigen, wenn sich eines der Mitglieder dieser Gruppe geändert hat. Dies gibt Ihnen die Möglichkeit zu sagen: "Moment mal, warum ist so plötzlich ein Domain-Administrator?" etc.

Letztendlich gibt es einen Grund, warum es "Best Practice" und nicht "Only Practice" heißt ... Es gibt akzeptable Entscheidungen von IT-Gruppen, die auf ihren eigenen Bedürfnissen und Philosophien beruhen. Einige (wie Joe sagte) sind einfach faul ... während andere sich einfach nicht darum kümmern, weil sie nicht daran interessiert sind, eine Sicherheitslücke zu schließen, wenn bereits Hunderte und tägliche Brände zu bekämpfen sind. Nachdem Sie dies alles gelesen haben, sollten Sie sich als einen derjenigen bezeichnen, die den guten Kampf führen und alles tun, um die Sicherheit zu gewährleisten. :)

Verweise:

http://www.microsoft.com/en-us/download/details.aspx?id=4868

http://technet.microsoft.com/en-us/library/cc700846.aspx

http://technet.microsoft.com/en-us/library/bb456992.aspx

AFAIK, es wird als bewährte Methode für Domänen- / Netzwerkadministratoren angesehen, ein Standardbenutzerkonto für die Anmeldung an ihrer Arbeitsstation zu haben, um routinemäßige "Benutzer" -Aufgaben (E-Mail, Dokumentation usw.) auszuführen, und ein benanntes Administratorkonto zu haben, das über das entsprechende Konto verfügt Gruppenmitgliedschaft, damit sie administrative Aufgaben ausführen können.

Diesem Modell versuche ich zu folgen, obwohl es schwierig ist, es umzusetzen, wenn die vorhandenen IT-Mitarbeiter nicht daran gewöhnt sind.

Persönlich bin ich der Meinung, dass IT-Mitarbeiter, die nur zögerlich in diese Richtung arbeiten, entweder faul oder unerfahren sind oder die Praxis der Systemadministration nicht verstehen.

Dies ist aus Sicherheitsgründen eine bewährte Methode. Wie bereits erwähnt, wird verhindert, dass Sie versehentlich etwas unternehmen oder das Surfen im Netzwerk gefährden. Dies schränkt auch den Schaden ein, den Ihr persönliches Surfen anrichten kann. Idealerweise sollte Ihre tägliche Arbeit nicht einmal über lokale Administratorrechte verfügen, geschweige denn über Domänenadministratoren.

Es ist auch unglaublich nützlich, Pass the Hash- oder Windows-Authentifizierungstoken-Hijacks entgegenzuwirken. ( Beispiel ) Ein korrekter Penetrationstest wird dies leicht beweisen. Nämlich, sobald ein Angreifer Zugriff auf ein lokales Administratorkonto erlangt, verwendet er diese Berechtigung, um in einen Prozess mit einem Domänenadministratortoken zu migrieren. Dann haben sie effektiv diese Kräfte.

Als Beispiel für Leute, die dies benutzen, tut es meine Firma! Tatsächlich haben unsere Domain-Admins -DREI- Konten. Eine für den täglichen Gebrauch, eine für die PC-Administration / lokale Installation von Software. Das dritte Konto ist das Domänenadministratorkonto und wird ausschließlich zur Verwaltung der Server und der Domäne verwendet. Wenn wir paranoider / sicherer sein wollten, wäre wahrscheinlich ein vierter in Ordnung.

In meiner früheren Firma bestand ich darauf, dass alle Systemadministratoren zwei Konten erhielten, dh:

• DOMAIN \ st19085
• DOMAIN \ st19085a ("a" für Admin)

Die Kollegen zögerten zunächst, aber es wurde zur Faustregel, nachdem die typische Frage nach der Virusbedrohung "Wir haben ein Antivirus" von einer veralteten Virendatenbank entlarvt wurde ...

• Wie Sie erwähnt haben, die Befehl RUNAS verwendet werden (ich hatte früher ein Stapelskript , das ein benutzerdefiniertes Menü anzeigt und bestimmte Aufgaben mit dem Befehl RUNAS ausführt).

• Eine andere Sache ist die Verwendung der Microsoft Management Console . Sie können die benötigten Tools speichern und mit einem Rechtsklick starten , Ausführen als ... und Ihrem Domänenadministratorkonto .

• Last but not least habe ich eine PowerShell-Shell als Domänenadministrator gestartet und von dort aus das benötigte Material gestartet.

Ich habe an Orten gearbeitet, die beides tun, und es im Allgemeinen vorziehen, ein separates Konto zu haben. Auf diese Weise ist es tatsächlich viel einfacher, im Gegensatz zu dem, was Joeqwertys widerstrebende Benutzer / Kunden zu denken scheinen:

Vorteile der Verwendung Ihres normalen, täglichen Kontos für Domain-Administrator-Aktivitäten: Ja, alle Verwaltungstools funktionieren auf meiner Workstation ohne Runas! W00t!

Nachteile der Verwendung Ihres normalen, täglichen Kontos für Domainadministratoraktivitäten: ;) Desktop-Techniker bittet Sie, sich eine Maschine anzusehen, weil er nicht herausfinden kann, was daran falsch ist. Sie melden sich an, es ist ein Virus. Netzwerkkabel abziehen, Passwort ändern (woanders). Wenn Manager Sie fragen, warum Sie Ihre geschäftliche E-Mail nicht über Ihren Mobilfunkanbieter auf Ihrem persönlichen BlackBerry erhalten, erfahren Sie, dass sie dabei Ihr DOMAIN ADMIN-Kennwort auf ihren Servern speichern. Usw. Ihr hochprivilegiertes Passwort wird für Dinge wie ... Webmail, VPN, Anmelden auf dieser Webseite verwendet. (Ew.) (Um fair zu sein, wurde mein Konto für die Webseite "Passwort ändern" gesperrt, also gab es zumindest das. Wenn ich mein altes LDAP-Passwort ändern wollte, das von der Webseite synchronisiert wurde, musste ich gehen zu einem Arbeitskollegen.)

Vorteile der Verwendung eines anderen Kontos für Domänenadministratoraktivitäten: Absicht. Dieser Account ist vorgesehen für die Verwaltungstools usw., und nicht für E - Mail, Webmail, vpn, die Homepage Logins, etc. Also, weniger Angst , dass meine normalen „Nutzer“ Aktivitäten , um die gesamte Domäne Risiko aussetzen.

Nachteile der Verwendung eines anderen Kontos für Domänenadministratoraktivitäten: Ich muss Runas für Verwaltungstools verwenden. Das ist einfach nicht so schmerzhaft.

Die TL; DR-Version: Es ist ganz einfach, ein separates Konto zu haben . Es ist auch eine bewährte Methode, da es das geringste erforderliche Privileg ist .

Kleinstes Priv sollte Grund genug sein, aber falls dies nicht der Fall ist, sollten Sie auch berücksichtigen, dass bei Verwendung eines Kontos mit den gleichen Berechtigungen wie Ihre Benutzer die Wahrscheinlichkeit größer ist, dass Probleme auftreten, die diese Benutzer verursachen. Sie können sie dann auf Ihrem eigenen Konto debuggen auch - oft, bevor sie sie überhaupt gesehen haben!

Nichts schlimmeres als ein Administrator, der sagt "es funktioniert bei mir" und das Ticket schließt :)

Theoretisch ist es am besten, dass Sie für Ihre täglichen Aktivitäten keine Anmeldung eines Top-Administrators verwenden. Es gibt viele Gründe, zum Beispiel Viren. Wenn Sie einen Virus erhalten und sich als Domain-Administrator anmelden, kann der Virus auf einfache Weise auf Ihr Netzwerk zugreifen und auf alle Viren zugreifen. Die möglichen Fehler sind sicher leichter zu beheben, aber ich sehe das nicht als die größte Herausforderung. Wenn Sie auf Ihrem Campus herumgehen und sich mit Ihrem Top-Administrator anmelden, sucht möglicherweise jemand über Ihre Schulter nach Ihrem Passwort. Alle möglichen Dinge.

Aber ist es praktisch? Es fällt mir schwer, diese Regel zu befolgen, aber ich würde sie gerne befolgen.

Hinzufügen meiner 2 Cent basierend auf der tatsächlichen Erfahrung ..

Wenn Sie wissen und sich darüber im Klaren sind, dass Sie für Ihre tägliche Arbeit ein Administratorkonto verwenden, sind Sie bei allem, was Sie tun, sehr vorsichtig. Sie müssen also nicht nur auf eine E-Mail / einen Link klicken oder Anwendungen ausführen, ohne sie dreimal zu überprüfen. Ich denke, es hält dich auf Trab.

Wenn Sie für Ihre tägliche Arbeit ein Konto mit den geringsten Rechten verwenden, wird dies zu Unachtsamkeit.