Schlecht, um die ganze Zeit als Admin eingeloggt zu sein?

20

In dem Büro, in dem ich arbeite, sind drei der anderen IT-Mitarbeiter die ganze Zeit über mit Konten angemeldet, die Mitglieder der Gruppe der Domänenadministratoren sind.

Ich habe ernsthafte Bedenken, mit Administratorrechten angemeldet zu sein (entweder lokal oder für die Domain). Aus diesem Grund verwende ich für den alltäglichen Computergebrauch ein Konto, das nur über normale Benutzerrechte verfügt. Ich habe auch ein anderes Konto, das Teil der Gruppe der Domänenadministratoren ist. Ich verwende dieses Konto, wenn ich auf meinem Computer, auf einem der Server oder auf dem Computer eines anderen Benutzers etwas tun muss, das erhöhte Berechtigungen erfordert.

Was ist hier die beste Praxis? Sollten Netzwerkadministratoren immer mit Rechten für das gesamte Netzwerk angemeldet sein (oder auch nur für ihren lokalen Computer)?

windows security best-practices Sack
quelle
Ich fand das immer dumm. Ich habe noch nie von einem guten Grund dafür gehört. Vielleicht geben Eltern auf Windows begrenzte Konten, aber wir sprechen über die Verwendung von Konten
Hatte jemals ein Kind herumgerannt, um Sachen auf dem PC anzuklicken? Wie wäre es, wenn Sie versehentlich die Hauptdatenfreigabe anstelle des MP3-Ordners entfernen.
Barfieldmv
1
Jemand bitte ein "Windows" -Tag zu dieser Frage
hinzufügen
@Barfieldmv, bei dieser Frage geht es um eine Arbeitsumgebung, nicht um den PC in Ihrer Lounge. Kinder sollten nicht in der Nähe sein und versehentliche Löschvorgänge können aus Backups wiederhergestellt werden.
John Gardeniers

Antworten:

36

Absolute Best-Practice ist es, Benutzer, Work Root zu leben . Der Benutzer, unter dem Sie angemeldet sind, wenn Sie bei einem Serverfehler alle 5 Minuten auf "Aktualisieren" klicken, sollte ein normaler Benutzer sein. Derjenige, mit dem Sie Exchange-Routingprobleme diagnostizieren, sollte Admin sein. Diese Trennung zu erreichen, kann schwierig sein, da es in Windows mindestens zwei Anmeldesitzungen erfordert und dies in gewisser Weise zwei Computer bedeutet.

  • VMs funktionieren sehr gut, und so löse ich es.
  • Ich habe von Organisationen gehört, die die Anmeldung ihrer erhöhten Konten auf bestimmte spezielle VMs beschränken, die intern gehostet werden, und Administratoren verlassen sich auf RDP für den Zugriff.
  • Die Benutzerkontensteuerung hilft dabei, die Möglichkeiten eines Administrators (Zugriff auf spezielle Programme) einzuschränken. Die fortlaufenden Eingabeaufforderungen können jedoch genauso ärgerlich sein wie das Remote-Zugriff auf einen anderen Computer, um die erforderlichen Aktionen auszuführen.

Warum ist dies eine bewährte Methode? Zum Teil, weil ich es gesagt habe , und viele andere auch. SysAdminning hat keinen zentralen Bereich, in dem Best Practices in irgendeiner Weise festgelegt werden. In den letzten zehn Jahren wurden einige Best Practices für IT-Sicherheit veröffentlicht, die darauf hinweisen, dass Sie erhöhte Privilegien nur dann verwenden, wenn Sie sie tatsächlich benötigen. Einige der Best Practices basieren auf den Erfahrungen, die Sysadmins in den letzten über 40 Jahren gesammelt haben. Ein Beitrag von LISA 1993 ( Link ), ein Beispielbeitrag von SANS ( Link , PDF), ein Abschnitt aus SANS 'Critical Security Controls' ( Link ).

sysadmin1138
quelle
6
Beachten Sie, dass das Administratorkonto in Windows 7 wesentlich eingeschränkter ist und keine doppelten Anmeldesitzungen erfordert. UAC funktioniert ganz gut. In Vista funktioniert das deutlich weniger.
Ricket
6
@Ricket, ich bin nicht einverstanden mit dem Kommentar zur Benutzerkontensteuerung, zumindest für Administratoren. Ich habe es auf meiner Workstation deaktiviert, weil fast jede Software, die ich verwende, die Benutzerkontensteuerung dazu veranlasst, mich um Erlaubnis zu bitten. Das ist so ärgerlich und verlangsamt mich so sehr, dass seine positiven Aspekte durch seine negativen deutlich aufgewogen werden. Um "ganz nett" zu arbeiten, wie Sie es ausdrücken, sollten wir in der Lage sein, es anzuweisen, bestimmte Software immer zuzulassen oder zu verbieten, aber natürlich ist es nicht so flexibel. Ganz einfach, es ist ein unreifer und unüberlegter Versuch, was eines Tages eine wertvolle Sicherheitskomponente sein könnte.
John Gardeniers
1
^ Beachten Sie, dass der TechNet-Artikel im obigen Kommentar alt ist und vor Vista geschrieben wurde (da er auf den Codenamen "Longhorn" verweist). Aber für XP-Benutzer ist es sehr gültig. @ John Ich denke, jeder hat unterschiedliche Laufleistungen, aber ich bekomme nie UAC-Popups und benutze ziemlich viel Software. Die einzige Ausnahme sind Installer (duh) und der nervige Java-Updater. Vista war viel schlimmer. Wenn Sie UAC also seit Windows 7 nicht mehr ausprobiert haben, empfehle ich auf jeden Fall, es wieder einzuschalten, da Sie sonst vermutlich nur veraltete / schlecht geschriebene Software verwenden. Auf keinen Fall werden Sie von jeder Software zur Erlaubnis des Administrators
aufgefordert
1
@Ricket, wir verwenden eindeutig sehr unterschiedliche Software. Ich bilde mir ein, dass wir auch sehr unterschiedliche Aufgaben ausführen. Nur weil die von Ihnen verwendete Software die Benutzerkontensteuerung nicht auslöst, gilt dies nicht für die von anderen verwendete Software. Wenn Sie Erfahrung sammeln, werden Sie diese Dinge lernen. Was ich gesagt habe, ist Tatsache. Warum fragst du es?
John Gardeniers
1
@Keith Stokes: Was hast du mit dem armen PuTTY gemacht, damit es dich zur UAC auffordert? PuTTY braucht keine Erhebung, um zu laufen!
Evan Anderson
12

Da es sich um eine Windows-Domäne handelt, haben die von ihnen verwendeten Konten wahrscheinlich vollständigen Netzwerkzugriff auf alle Arbeitsstationen. Wenn also etwas Schlimmes passiert, kann dies innerhalb von Sekunden über das Netzwerk erfolgen. Der erste Schritt besteht darin, sicherzustellen, dass alle Benutzer ihre tägliche Arbeit verrichten, im Internet surfen, Dokumente schreiben usw., und zwar nach dem Prinzip des geringsten Benutzerzugriffs .

Meine Praxis besteht dann darin, ein Domänenkonto zu erstellen und diesem Konto Administratorrechte auf allen Arbeitsstationen (PC-admin) und ein separates Domänenkonto für die Serveradministrationsarbeit (server-admin) zuzuweisen. Wenn Sie befürchten, dass Ihre Server miteinander kommunizieren können, können Sie für jeden Computer ein eigenes Konto einrichten (<x> -admin, <y> -admin). Versuchen Sie auf jeden Fall, ein anderes Konto zum Ausführen der Domänenadministratoraufträge zu verwenden.

Auf diese Weise können Sie auf einer gefährdeten Arbeitsstation mit dem PC-Administratorkonto nichts unternehmen, und es besteht die Möglichkeit, dass Sie über Administratorrechte verfügen, um über das Netzwerk auf andere Computer zuzugreifen böse auf Ihre Server. Wenn Sie dieses Konto haben, kann es auch nichts mit Ihren persönlichen Daten anfangen.

Ich muss jedoch sagen, dass an einer Stelle, an der ich weiß, wo die Mitarbeiter mit LUA-Grundsätzen gearbeitet haben, sie in den drei Jahren, die ich gesehen habe, keinen richtigen Virusbefall hatten; In einer anderen Abteilung am selben Ort gab es mehrere Ausbrüche bei allen Mitarbeitern mit lokalem Administrator und bei den IT-Mitarbeitern mit Serveradministrator. Eine davon benötigte eine Woche für die Bereinigung, da sich die Infektion über das Netzwerk ausbreitete.

Die Einrichtung dauert einige Zeit, aber die potenziellen Einsparungen sind enorm, wenn Sie von Problemen betroffen sind.

Iain Hallam
quelle
Ich verhalte mich auf diese Weise und verwende ein Domänenkonto für meine tägliche Arbeit. Bei Bedarf kann ich auf mein privilegiertes Administrator-Domänenkonto aufsteigen. Meine anderen Kollegen lachen über mich und ich kann es kaum erwarten, zu sehen, wie sich ihre Arbeitsplätze auf böse Weise auf etwas auswirken, also kann ich sagen, dass ich es Ihnen gesagt habe.
songei2f
1

Separate Accounts für separate Aufgaben sind der beste Weg, dies zu betrachten. Das Prinzip des geringsten Privilegs ist der Name des Spiels. Beschränken Sie die Verwendung von "admin" -Konten auf die Aufgaben, die als "admin" ausgeführt werden müssen.

Liam
quelle
1

Die Meinungen zwischen Windows und * nix sind etwas unterschiedlich, aber Ihre Erwähnung von Domainadministratoren lässt mich denken, dass Sie über Windows sprechen, und das ist der Kontext, in dem ich antworte.

Auf einer Workstation sollte es normalerweise nicht erforderlich sein, Administrator zu sein, daher lautet die Antwort auf Ihre Frage in den meisten Fällen NEIN. Es gibt jedoch viele Ausnahmen und es kommt wirklich darauf an, was die Person an der Maschine gerade tut.

Auf einem Server ist es ein Thema, über das viel diskutiert wird. Ich bin der Ansicht, dass ich mich nur auf einem Server anmelde, um die Administratorarbeit zu erledigen. Es ist also einfach nicht sinnvoll, mich als Benutzer anzumelden und dann jedes einzelne Tool mit run-as auszuführen, was, ganz offen gesagt, immer ein echtes Problem war In den allermeisten Fällen macht es einem Administrator das Leben zu schwer und zeitaufwändig. Da die meisten Windows-Administrationsaufgaben mit GUI-Tools ausgeführt werden, gibt es einen Sicherheitsgrad, der beispielsweise für einen Linux-Administrator, der in der Befehlszeile arbeitet, nicht gegeben ist. Durch einen einfachen Tippfehler könnte er dann nach dem Sicherungsband der letzten Nacht suchen.

John Gardeniers
quelle
+1, "Wie loggen Sie sich auf einem Server ein?" IST ein großer Diskussionspunkt.
sysadmin1138
1

Mein Leben ist einfach ... der Account ist eindeutig benannt und alle haben unterschiedliche Passwörter.

God Account - Domain-Administrator, der alle Arbeiten auf dem Server erledigt

Demigod Account zur Verwaltung der PCs - hat keine Rechte an Freigaben / Servern - nur an den PCs

Schwacher Benutzer - Ich erlaube mir Poweruser auf meinem eigenen PC, aber ich habe nicht einmal diese Rechte auf anderen PCs

Die Gründe für die Trennung sind vielfältig. es sollte kein Streit geben, tu es einfach!

cwheeler33
quelle
Ich mag die Trennung der Privilegien auf drei Ebenen, aber andere dazu zu bringen, das zu üben, was Sie predigen, muss Kopfschmerzen bereiten.
songei2f
In manchen Umgebungen kann es schwierig werden, etwas zu verkaufen. Aber wenn Sie sich den politischen Entscheidungsträgern beweisen können, helfen sie Ihnen dabei, daraus eine verfolgte Politik zu machen. Kein Manager möchte seine Firma verlieren, wenn eine kostenlose und einfache Lösung existiert.
cwheeler33
Sie haben # 4 vergessen: Benutzer überwachen, bei dem Gott sich anmeldet, was sonst unabhängig von allen anderen Konten ist. Wenn also ein Hacker Ihren Gott rachsüchtig macht, wissen Sie, wie das passiert ist.
Parthian Shot
0

Ich muss sagen, dass es von den Arbeitsabläufen des Administrators abhängt, wenn die Gefahr besteht, dass jemand in die Hölle gewählt wird. Für mich persönlich wird die überwiegende Mehrheit der Dinge, die ich auf meiner Workstation während der Arbeit mache, diese Administratoranmeldeinformationen benötigen. Sie verfügen über integrierte Funktionen wie Domänenverwaltungstools, Verwaltungskonsolen von Drittanbietern, zugeordnete Laufwerke, Remotezugriffstools für die Befehlszeile, Skripts usw. Die Liste wird fortgesetzt. Es wäre ein Albtraum, für fast jedes geöffnete Element Anmeldeinformationen eingeben zu müssen.

Die einzigen Dinge, die normalerweise keine Administratorrechte benötigen, sind mein Webbrowser, E-Mail-Client, IM-Client und PDF-Viewer. Und die meisten dieser Dinge bleiben von der Anmeldung bis zur Abmeldung geöffnet. Also logge ich mich mit meinen Admin-Anmeldedaten ein und starte dann alle meine Low-Priv-Apps mit einem Low-Priv-Account. Es ist viel weniger stressig und ich fühle mich auch nicht weniger sicher dafür.

Ryan Bolger
quelle
run as with low priv trägt nicht wirklich zur Sicherheit bei, da das System bereits mit einem Administratorkonto läuft. Sie haben sich ein falsches Gefühl der Sicherheit gegeben. Machen Sie es anders herum, melden Sie sich als Benutzer an und führen Sie dann den Befehl admin aus. Geben Sie sich selbst als Hauptbenutzer für Ihr Login ein, wenn Sie möchten, ABER BITTE LAUFEN SIE NICHT STÄNDIG ALS ADMIN.
Liam
+1 Wie ich in meiner Antwort sagte, "hängt es wirklich davon ab, was die Person auf der Maschine tut". Trotz aller Theorie und so genannter "Best Practice" ist es manchmal einfach nicht sinnvoll, sich als Benutzer anzumelden. Zumindest nicht in der Windows-Welt.
John Gardeniers
Ich bin mir ziemlich sicher, dass Windows 7 keine Rechte für Hauptbenutzer
bietet
@Liam Nichts für ungut, aber Sie sagen fälschlicherweise, dass RunAs mit niedrigen Rechten nicht viel bewirken. Es tut genau das, was es tun soll, was verhindert, dass dieser bestimmte Prozess (und seine Kinder) etwas mit erhöhten Rechten tun. Und dies ist perfekt für Anwendungen, die keine erhöhten Privilegien benötigen und in der Regel auch von Malware am meisten angegriffen werden.
Ryan Bolger