¿Es malo iniciar sesión como administrador todo el tiempo?

En la oficina donde trabajo, tres de los otros miembros del personal de TI están conectados a sus computadoras todo el tiempo con cuentas que son miembros del grupo de administradores de dominio.

Tengo serias preocupaciones sobre el inicio de sesión con derechos de administrador (ya sea local o para el dominio). Como tal, para el uso diario de la computadora, uso una cuenta que solo tiene privilegios de usuario regulares. También tengo una cuenta diferente que forma parte del grupo de administradores de dominio. Uso esta cuenta cuando necesito hacer algo que requiera privilegios elevados en mi computadora, uno de los servidores o en la computadora de otro usuario.

¿Cuál es la mejor práctica aquí? ¿Deben los administradores de red iniciar sesión con derechos a toda la red todo el tiempo (o incluso a su computadora local)?

La mejor práctica absoluta es Live User, Work Root . El usuario con el que inició sesión cuando presiona actualizar en Falla del servidor cada 5 minutos debe ser un usuario normal. El que use para diagnosticar problemas de enrutamiento de Exchange debe ser Admin. Obtener esta separación puede ser difícil, ya que en Windows al menos requiere sesiones de inicio de sesión duales y eso significa dos computadoras de alguna manera.

• Las máquinas virtuales funcionan muy bien para esto, y así es como lo resuelvo.
• He oído hablar de organizaciones que restringen el inicio de sesión de sus cuentas elevadas a ciertas máquinas virtuales especiales alojadas internamente, y los administradores confían en RDP para acceder.
• UAC ayuda a limitar lo que puede hacer un administrador (acceder a programas especiales), pero las indicaciones continuas pueden ser tan molestas como tener que acceder a otra máquina para hacer lo que necesita hacer.

¿Por qué es esta una mejor práctica? En parte es porque lo dije , y lo mismo hacen muchos otros. SysAdminning no tiene un cuerpo central que establezca las mejores prácticas de ninguna manera definitiva. En la última década, hemos publicado algunas de las mejores prácticas de seguridad de TI, lo que sugiere que solo use privs elevados cuando realmente los necesite. Algunas de las mejores prácticas se establecen a través de la experiencia acumulada por los administradores de sistemas en los últimos 40 años. Un documento de LISA 1993 ( enlace ), un documento de ejemplo de SANS ( enlace , un PDF), una sección de 'controles críticos de seguridad' de SANS toca este ( enlace ).

Dado que este es un dominio de Windows, es probable que las cuentas que están usando tengan acceso completo a todas las estaciones de trabajo, por lo que si sucede algo malo, puede atravesar la red en segundos. El primer paso es asegurarse de que todos los usuarios realicen el trabajo diario, naveguen por la web, escriban documentos, etc., de acuerdo con el principio de Acceso mínimo del usuario .

Mi práctica es crear una cuenta de dominio y otorgarle a esa cuenta privilegios de administrador en todas las estaciones de trabajo (PC-admin), y una cuenta de dominio separada para el trabajo de administración del servidor (server-admin). Si le preocupa que sus servidores puedan comunicarse entre sí, puede tener cuentas individuales para cada máquina (<x> -admin, <y> -admin). Definitivamente intente usar otra cuenta para ejecutar los trabajos de administrador de dominio.

De esa forma, si está haciendo algo en una estación de trabajo comprometida con la cuenta de administrador de PC, y aprovecha la posibilidad de que tenga privilegios de administrador para intentar acceder a otras máquinas a través de la red, no podrá hacer nada desagradable para sus servidores. Tener esta cuenta también significa que no puede hacer nada a sus datos personales.

Sin embargo, debo decir que en un lugar donde sé dónde trabajó el personal con los principios de LUA, no tuvieron una infestación de virus adecuada durante los tres años que vi; otro departamento en el mismo lugar que tenía a todos con administrador local y personal de TI con administrador de servidor tuvo varios brotes, uno de los cuales tomó una semana de tiempo de TI para limpiar debido a la propagación de la infección a través de la red.

La instalación lleva algún tiempo, pero los ahorros potenciales son enormes si tiene problemas.

Cuentas separadas para tareas separadas es la mejor manera de verlo. El principio del menor privilegio es el nombre del juego. Limite el uso de cuentas "admin" a las tareas que deben realizarse como "admin".

Las opiniones difieren algo entre Windows y * nix, pero su mención de los administradores de dominio me hace pensar que está hablando de Windows, así que ese es el contexto en el que estoy respondiendo.

En una estación de trabajo, normalmente no debería ser administrador, por lo que la respuesta a su pregunta en la mayoría de los casos será NO. Sin embargo, hay muchas excepciones y realmente depende exactamente de lo que la persona esté haciendo en la máquina.

En un servidor es un tema de mucho debate. Mi opinión es que solo inicio sesión en un servidor para hacer el trabajo de administrador, por lo que no tiene sentido iniciar sesión como usuario y luego ejecutar cada herramienta por separado utilizando run-as, que francamente siempre ha sido un verdadero dolor. en lo que sabes y para la mayoría de los trabajos, simplemente hace que la vida de un administrador sea demasiado difícil y lenta. Debido a que la mayoría del trabajo de administración de Windows se realiza utilizando herramientas de GUI, existe un grado de seguridad que no está presente, por ejemplo, un administrador de Linux que trabaja en la línea de comando, donde un error tipográfico simple podría enviarlo corriendo por la cinta de respaldo de la noche anterior.

mi vida es simple ... la cuenta tiene un nombre distintivo y todos tienen contraseñas diferentes.

Cuenta de Dios - administrador de dominio para hacer todo el trabajo del lado del servidor

cuenta semidiós para administrar las PC - no tiene derechos para compartir / servidores - solo para las PC

Usuario débil: me concedo un usuario avanzado en mi propia PC, pero ni siquiera tengo esos derechos en otras PC

Las razones de la separación son muchas. no debe haber discusión, solo hazlo!

A riesgo de que me voten mal, tengo que decir que depende del flujo de trabajo del administrador. Para mí personalmente, la gran mayoría de las cosas que hago en mi estación de trabajo mientras estoy en el trabajo necesitarán esas credenciales de administrador. Tiene cosas integradas como herramientas de administración de dominio, consolas de administración de terceros, unidades mapeadas, herramientas de acceso remoto de línea de comandos, scripts, etc. La lista continúa. Tener que escribir credenciales para casi cada cosa que abras sería una pesadilla.

Las únicas cosas que generalmente no necesitan privilegios de administrador son mi navegador web, cliente de correo electrónico, cliente de mensajería instantánea y visor de PDF. Y la mayoría de esas cosas permanecen abiertas desde el momento en que inicio sesión hasta el momento en que cierre sesión. Así que inicio sesión con mis credenciales de administrador y luego ejecuto como todas mis aplicaciones de bajo privilegio con una cuenta de bajo privilegio. Es mucho menos complicado y no me siento menos seguro por hacerlo.