私が勤務するオフィスでは、ITスタッフの他の3人のメンバーが、ドメイン管理者グループのメンバーであるアカウントを使用して、常にコンピューターにログインしています。
(ローカルまたはドメインの)管理者権限でログインすることについて深刻な懸念があります。そのため、私は日常のコンピューター使用のために、通常のユーザー特権しか持たないアカウントを使用します。また、ドメイン管理者グループの一部である別のアカウントを持っています。私のコンピューター、サーバーの1つ、または別のユーザーのコンピューターで特権の昇格を必要とする必要がある場合、このアカウントを使用します。
ここでのベストプラクティスは何ですか?ネットワーク管理者は、常にネットワーク全体(さらに言えば、ローカルコンピュータ)に対する権限でログインする必要がありますか?
絶対的なベストプラクティスは、ライブユーザー、作業ルートです。 5分ごとにサーバー障害を更新するときにログインしたユーザーは、通常のユーザーである必要があります。 Exchangeルーティングの問題を診断するために使用するのは管理者である必要があります。 Windowsでは少なくとも2つのログインセッションが必要であり、なんらかの意味で2台のコンピューターを使用するため、この分離は難しい場合があります。
なぜこれがベストプラクティスなのですか?一部は 私がそう言ったので であり、他の多くのこともそうです。 SysAdminningには、ベストプラクティスを決定的な方法で設定する中心的な組織がありません。過去10年間に、ITセキュリティのベストプラクティスがいくつか公開されており、昇格した特権を実際に必要な場合にのみ使用することを提案しています。ベストプラクティスのいくつかは、過去40年以上にわたるシステム管理者による経験のゲシュタルトによって設定されています。 Lisa 1993の論文( link )、SANSの例の論文( link 、PDF)、SANSの「重要なセキュリティ管理」のセクションがこれに触れています(- リンク )。
これはWindowsドメインであるため、使用しているアカウントはすべてのワークステーションへの完全なネットワークアクセス権を持っている可能性が高いため、何か問題が発生した場合、数秒でネットワーク全体に及ぶ可能性があります。最初のステップは、すべてのユーザーが Least User Access の原則に従って、日々の作業、Webの閲覧、ドキュメントの作成などを行っていることを確認することです。
次に、ドメインアカウントを作成し、そのアカウントにすべてのワークステーションでの管理者特権(PC-admin)を付与し、サーバー管理作業(server-admin)用に別のドメインアカウントを付与します。サーバーが相互に通信できることを心配している場合は、マシンごとに個別のアカウントを作成できます(<x> -admin、<y> -admin)。ドメイン管理ジョブの実行には、必ず別のアカウントを使用してください。
そうすれば、PCの管理者アカウントを使用してセキュリティが侵害されたワークステーションで何かを実行していて、ネットワークを介して他のマシンにアクセスしようとする管理者権限を持っている可能性があれば、何もできなくなります。あなたのサーバーに厄介です。このアカウントを持つことは、個人データに対して何もできないことも意味します。
ただし、スタッフがLUAの原則に取り組んだ場所が1か所わかっているため、私が見た3年間はウイルスが適切に蔓延していなかったと私は言う必要があります。ローカル管理者が全員でサーバー管理者がいるITスタッフがいる同じ場所の別の部門では、いくつかのアウトブレイクがあり、そのうちの1つはネットワーク経由の感染の拡大により、ITのクリーンアップに1週間かかりました。
設定には少し時間がかかりますが、問題が発生した場合、節約できる可能性は非常に大きくなります。
個別のタスクの個別のアカウントは、それを見る最良の方法です。最小特権の原則は、ゲームの名前です。 「admin」アカウントの使用を、「admin」として実行する必要があるタスクに制限します。
Windowsと* nixとでは意見が多少異なりますが、ドメイン管理者についてのあなたの言及は、あなたがWindowsについて話していると思います。
ワークステーションでは、通常は管理者である必要はないので、ほとんどの場合、質問への回答はNOになります。ただし、多くの例外があり、実際にその人がマシンで何をしているかに依存します。
サーバーでは、それは多くの議論のトピックです。私の見解では、サーバーにログオンして管理作業を行うだけなので、ユーザーとしてログオンし、run-asを使用して各個別のツールを実行するのは意味がありません。あなたは何を知っているのか、そしてほとんどの仕事にとってそれは単に管理者の生活を過度に困難にし、時間を浪費させるだけです。ほとんどのWindows管理作業はGUIツールを使用して行われるため、コマンドラインで作業しているLinux管理者などには存在しない安全性があり、単純なタイプミスにより、昨夜のバックアップテープを探しに行く可能性があります。
私の人生は単純です...アカウントは明確に名前が付けられており、すべて異なるパスワードを持っています。
神のアカウント-すべてのサーバー側の作業を行うドメイン管理者
pCを管理するためのdemigodアカウント-共有/サーバーに対する権限はありません-PCに対してのみ
微弱なユーザー-私は自分のPCでパワーユーザーを許可しますが、他のPCでそれらの権限すら持っていません
分離の理由はたくさんあります。議論はないはずです、それをしてください!
地獄に反対票を投じられるリスクがあるが、それは管理者のワークフローに依存していると言わざるを得ない。私個人としては、仕事中に自分のワークステーションで行うほとんどの作業で、これらの管理者資格情報が必要になります。ドメイン管理ツール、サードパーティの管理コンソール、マップされたドライブ、コマンドラインリモートアクセスツール、スクリプトなどの組み込みのものがあります。リストは続きます。開くほとんどすべてのものの資格情報を入力する必要があるのは悪夢です。
通常、管理者権限を必要としないものは、Webブラウザ、電子メールクライアント、IMクライアント、およびPDFビューアです。これらのほとんどは、ログインしてから開いたままです。ログアウトします。管理者の資格情報を使用してログインしてから、すべての低価格アプリを低価格アカウントで実行します。これにより、面倒が少なくなり、安全性が低下しません。