¿Es una buena práctica tener un inicio de sesión separado para un dominio para administradores de dominio?

Por lo general, me gusta configurar inicios de sesión separados para mí, uno con permisos de usuario regulares y otro para tareas administrativas. Por ejemplo, si el dominio era XXXX, configuraría una cuenta XXXX \ bpeikes y una cuenta XXXX \ adminbp. Siempre lo he hecho porque, francamente, no confío en mí mismo para iniciar sesión como administrador, pero en cada lugar en el que he trabajado, los administradores del sistema parecen agregar sus cuentas habituales al grupo Administradores de dominio.

¿Hay alguna mejor práctica? He visto un artículo de MS que parece decir que debes usar Ejecutar como, y no iniciar sesión como administrador, pero no dan un ejemplo de implementación y nunca he visto a nadie más hacerlo.

La "Mejor práctica" generalmente dicta LPU (usuario con menos privilegios) ... pero usted está en lo correcto (como ETL y Joe son +1) de que la gente rara vez sigue este modelo.

La mayoría de las recomendaciones son para hacer lo que usted dice ... crear 2 cuentas y no compartir esas cuentas con otros. Una cuenta no debería tener derechos de administrador ni siquiera en la estación de trabajo local que está utilizando en teoría, pero de nuevo quién sigue esa regla, especialmente con UAC en estos días (que en teoría debería estar habilitada).

Sin embargo, existen múltiples factores por los que desea seguir esta ruta. Debe tener en cuenta la seguridad, la conveniencia, la política corporativa, las restricciones regulatorias (si las hay), el riesgo, etc.

Mantener el Domain Adminsy Administratorsnivel de dominio grupos agradable y limpio, con un mínimo de cuentas es siempre una buena idea. Pero no solo comparta cuentas de administrador de dominio comunes si puede evitarlo. De lo contrario, existe el riesgo de que alguien haga algo y luego señale con el dedo entre los administradores de sistemas de "no fui yo quien utilizó esa cuenta". Es mejor tener cuentas individuales o usar algo como CyberArk EPA para auditarlo correctamente.

También en estas líneas, su Schema Adminsgrupo siempre debe estar VACÍO a menos que esté haciendo un cambio en el esquema y luego ingrese la cuenta, realice el cambio y elimine la cuenta. Lo mismo podría decirse Enterprise Adminsespecialmente en un modelo de dominio único.

Tampoco debe permitir cuentas privilegiadas para VPN en la red. Use una cuenta normal y luego eleve según sea necesario una vez dentro.

Finalmente, debe usar SCOM o Netwrix o algún otro método para auditar cualquier grupo privilegiado y notificar al grupo apropiado en TI cada vez que alguno de los miembros de este grupo haya cambiado. Esto te dará un aviso para decir "espera un minuto, ¿por qué es tan y tan repentinamente un administrador de dominio?" etc.

Al final del día, hay una razón por la que se llama "Mejor práctica" y no "Solo práctica" ... hay opciones aceptables hechas por grupos de TI basadas en sus propias necesidades y filosofías sobre esto. Algunos (como dijo Joe) son simplemente vagos ... mientras que otros simplemente no les importa porque no están interesados ​​en tapar un agujero de seguridad cuando ya hay cientos e incendios diarios para luchar. Sin embargo, ahora que ha leído todo esto, considérese uno de los que luchará la buena batalla y hará lo que pueda para mantener las cosas seguras. :)

Referencias

http://www.microsoft.com/en-us/download/details.aspx?id=4868

http://technet.microsoft.com/en-us/library/cc700846.aspx

http://technet.microsoft.com/en-us/library/bb456992.aspx

AFAIK, se considera la mejor práctica para los administradores de dominio / red tener una cuenta de usuario estándar para iniciar sesión en su estación de trabajo para realizar tareas rutinarias de "usuario" (correo electrónico, documentación, etc.) y tener una cuenta administrativa con el nombre apropiado. membresía grupal para permitirles realizar tareas administrativas.

Este es el modelo que trato de seguir, aunque es difícil de implementar si el personal de TI existente no está acostumbrado a hacerlo de esta manera.

Personalmente, si encuentro un personal de TI que es reticente a moverse en esta dirección, creo que son flojos, inexpertos o no entienden la práctica de la administración del sistema.

Esta es una mejor práctica por razones de seguridad. Como otros han mencionado, le impide hacer algo accidentalmente o que se vea comprometido por navegar por la red. También limita el daño que puede causar su navegación personal: idealmente, su trabajo diario ni siquiera debería tener privilegios de administrador local, mucho menos administrador de dominio.

También es increíblemente útil contrarrestar Pass the Hash secuestro de tokens de autenticación o Windows. ( Ejemplo ) Una prueba de penetración adecuada lo demostrará fácilmente. Es decir, una vez que un atacante obtiene acceso a una cuenta de administrador local, utilizará ese poder para migrar a un proceso con un token de administrador de dominio. Entonces efectivamente tienen esos poderes.

En cuanto a un ejemplo de personas que usan esto, ¡mi compañía lo hace! (200 personas, equipo de operaciones de 6 hombres) De hecho, nuestros administradores de dominio tienen -Tres- cuentas. Uno para uso diario, uno para administración de PC / instalación de software localmente. El tercero es las cuentas de administrador de dominio, y se usa únicamente para administrar servidores y el dominio. Si quisiéramos ser más paranoicos / seguros, probablemente un cuarto estaría en orden.

En mi empresa anterior, insistí en que todos los administradores del sistema obtuvieran 2 cuentas, es decir:

• DOMINIO \ st19085
• DOMINIO \ st19085a ("a" para administrador)

Los colegas se mostraron reacios al principio, pero se convirtió en una regla general, después de que la típica pregunta sobre la amenaza del virus "obtuvimos un antivirus" fue desacreditada por una base de datos de virus obsoleta ...

• Como mencionó, se podría usar el comando RUNAS (solía tener un script por lotes, presentando un menú personalizado, iniciando tareas específicas con el comando RUNAS).

• Otra cosa es el uso de Microsoft Management Console , puede guardar las herramientas que necesita e iniciarlas con un clic derecho , Ejecutar como ... y su cuenta de administrador de dominio.

• El último pero no menos importante, solía lanzar un shell de PowerShell como administrador de dominio, y lanzar las cosas que necesitaba desde allí.

He trabajado en lugares que lo hacen en ambos sentidos, y generalmente prefiero tener una cuenta separada. De hecho, es mucho más fácil, al contrario de lo que los usuarios / clientes reacios de joeqwerty parecen pensar:

Ventajas de usar su cuenta diaria normal para actividades de administración de dominio: ¡Sí, todas las herramientas administrativas funcionan en mi estación de trabajo sin runas! W00t!

Contras de usar su cuenta normal todos los días para actividades de administración de dominio: Miedo. ;) El técnico de escritorio le pide que mire una máquina porque no puede descubrir qué le sucede, inicie sesión, tiene un virus. Desenchufe el cable de red, cambie la contraseña (en otro lugar). Cuando los gerentes le preguntan por qué no recibe su correo electrónico de trabajo en su blackberry personal a través de su proveedor de teléfono celular, puede explicar que almacenan su contraseña de ADMINISTRADOR DE DOMINIO en sus servidores cuando lo hace. Etc., etc. Su contraseña altamente privilegiada se usa para cosas como ... webmail, vpn, inicie sesión en esta página web. (Ew.) (Para ser justos, mi cuenta fue bloqueada de la página web "cambie su contraseña", así que al menos hubo eso. Si quisiera cambiar mi contraseña LDAP anterior, que la página web sincronizó, tendría que ir al escritorio de un compañero de trabajo.)

Ventajas de usar una cuenta diferente para las actividades de administración de dominio: Intención. Esa cuenta está destinada a las herramientas administrativas, etc., y no a correo electrónico, correo web, vpn, inicios de sesión de páginas web, etc. Por lo tanto, menos temor de que mis actividades normales de "usuario" expongan todo el dominio al riesgo.

Contras de usar una cuenta diferente para las actividades de administración de dominio: tengo que usar runas para herramientas administrativas. Eso no es tan doloroso.

La versión TL; DR: Tener una cuenta separada es simplemente más fácil. También es la mejor práctica, ya que es el privilegio menos necesario .

Menos Priv debería ser razón suficiente, pero en caso de que no sea así, también considere que si usa una cuenta con los mismos permisos que sus usuarios, es más probable que sufra cualquier problema que ellos tengan, y puede depurarlos en su propia cuenta ¡también, a menudo incluso antes de que los hayan visto!

Nada peor que un administrador que dice "funciona para mí" y cierra el ticket :)

En teoría, es mejor que no utilice un inicio de sesión de administrador superior para sus actividades diarias. Hay muchas razones, como los virus: si obtiene un virus y está ejecutando el inicio de sesión de Administrador de dominio, entonces el virus tiene una manera fácil de ingresar a su red, ¡acceso completo! Los posibles errores son más fáciles de asegurar, pero no lo veo como el mayor desafío. Si recorre su campus e inicia sesión con su administrador superior, alguien puede estar buscando su contraseña por encima de su hombro. Todo tipo de cosas así.

¿Pero es práctico? Me resulta difícil seguir esa regla, pero me gustaría seguirla.

agregando mis 2 centavos basados ​​en la experiencia real ...

saber y estar al tanto de que está utilizando una cuenta de administrador para su trabajo diario lo hace muy cauteloso con lo que haga. para que no solo haga clic en un correo electrónico / enlace o simplemente ejecute cualquier aplicación sin verificación triple. Creo que te mantiene alerta.

el uso de una cuenta con menos privilegios para su trabajo diario lo hace descuidado.