Ist es empfehlenswert, eine Domain für Domain-Administratoren separat anzumelden?

33

Normalerweise möchte ich separate Anmeldungen für mich einrichten, eine mit normalen Benutzerberechtigungen und eine separate für administrative Aufgaben. Wenn die Domain beispielsweise XXXX war, habe ich ein XXXX \ bpeikes- und ein XXXX \ adminbp-Konto eingerichtet. Ich habe es immer getan, weil ich ehrlich gesagt nicht vertraue, dass ich als Administrator angemeldet bin, aber an jedem Ort, an dem ich gearbeitet habe, scheinen die Systemadministratoren der Gruppe der Domänenadministratoren einfach ihre üblichen Konten hinzuzufügen.

Gibt es Best Practices? Ich habe einen Artikel von MS gesehen, der anscheinend besagt, dass Sie Ausführen als verwenden und sich nicht als Administrator anmelden sollten, aber sie geben kein Beispiel für eine Implementierung und ich habe noch nie jemanden gesehen, der dies tut.

active-directory security domain-controller best-practices Benjamin Peikes
quelle
1
Ist es nicht genau das, was die Benutzerkontensteuerung reparieren soll, wenn sie sich hauptsächlich mit Linux / Unix befasst und kein Windows-Experte ist? Womit ich meine, damit man einen Account nutzen kann und trotzdem nur autorisierte Prozesse Administratorrechte erhalten kann.
Dolda2000
@ Dolda2000 UAC war eher für Endbenutzer gedacht, die es gewohnt waren, als Administrator auf ihrem lokalen Computer zu arbeiten. Wenn Sie als Domänenadministrator auf Ihrem lokalen Computer ausgeführt werden, gibt es zusätzliche Bedenken: Ihre Anmeldeinformationen und Ihr Zugriff können weitaus schlechter verwendet werden als die Installation eines Virus auf Ihrem Computer, da Sie in den meisten Fällen über erhöhte Rechte verfügen die gesamte Domain.
HopelessN00b
1
@ HopelessN00b: Und du sagst, UAC trifft auf diese Dinge nicht zu? Warum nicht? Gibt es technische Gründe oder fehlt die Umsetzung einfach?
Dolda2000,
2
@ Dolda2000 Nun, UAC sollte das Problem beheben, dass Malware in der Lage ist, den Benutzerkontext des angemeldeten Administrators zu verwenden, um sich selbst auf den PCs von Endbenutzern und Verbrauchern zu installieren. Und das tut es auch. Es würde auch verhindern, dass dieser bestimmte Vektor den Benutzerkontext eines Domänenadministrators verwendet, um Malware lokal zu installieren. Dies ist jedoch nicht das Ausmaß der Sicherheitsbedenken, die bei der Ausführung als Domänenadministrator anstelle eines eingeschränkten Benutzers auftreten.
HopelessN00b
1
@ Dolda2000 UAC verhindert, dass Prozesse privilegierte Funktionen auf dem lokalen Computer ausführen. Wenn Sie als Domänenadministrator angemeldet sind, können Sie privilegierte Befehle remote auf anderen Computern ausführen. Auf den Remotecomputern werden sie ohne UAC-Eingabeaufforderung mit erhöhten Rechten ausgeführt. Daher kann Malware, die speziell dafür entwickelt wurde, Ihre gesamte Domäne infizieren (und dann Ihren lokalen Computer mit einem anderen Remotecomputer infizieren), ohne dass Sie jemals eine UAC-Eingabeaufforderung sehen.
Monstieur

Antworten:

25

"Best Practice" schreibt normalerweise LPU (Benutzer mit den geringsten Rechten) vor ... aber Sie haben Recht (ebenso wie ETL und Joe mit +1), dass die Leute diesem Modell selten folgen.

Die meisten Empfehlungen lauten, wie Sie sagen: Erstellen Sie zwei Konten und teilen Sie diese nicht mit anderen. Ein Konto sollte theoretisch nicht einmal auf der von Ihnen verwendeten lokalen Workstation über Administratorrechte verfügen, sondern erneut über die Befolgung dieser Regel, insbesondere in Bezug auf die Benutzerkontensteuerung (die theoretisch aktiviert werden sollte).

Es gibt jedoch mehrere Gründe, warum Sie diesen Weg gehen möchten. Sie müssen Sicherheit, Komfort, Unternehmensrichtlinien, behördliche Beschränkungen (falls vorhanden), Risiken usw. berücksichtigen.

Halten Sie die Domain AdminsundAdministrators ist immer eine gute Idee, die Gruppen Domänenebene mit minimalen Konten schön und sauber zu halten. Teilen Sie jedoch nicht einfach gemeinsame Domänenadministratorkonten, wenn Sie dies vermeiden können. Andernfalls besteht die Gefahr, dass jemand etwas unternimmt und dann mit dem Finger zwischen die Systemadministratoren zeigt, dass "nicht ich dieses Konto verwendet habe". Es ist besser, einzelne Konten zu haben oder so etwas wie CyberArk EPA zu verwenden, um es korrekt zu prüfen.

Auch in diesen Zeilen sollte Ihre Schema AdminsGruppe immer LEER sein, es sei denn, Sie ändern das Schema und legen dann das Konto ein, nehmen die Änderung vor und entfernen das Konto. Dasselbe gilt Enterprise Adminsinsbesondere für ein einzelnes Domänenmodell.

Sie sollten auch NICHT zulassen, dass privilegierte Konten VPN-Verbindungen zum Netzwerk herstellen. Verwenden Sie ein normales Konto und erhöhen Sie es dann nach Bedarf.

Schließlich sollten Sie SCOM oder Netwrix oder eine andere Methode zum Überwachen einer privilegierten Gruppe verwenden und die entsprechende Gruppe in der IT benachrichtigen, wenn sich eines der Mitglieder dieser Gruppe geändert hat. Dies gibt Ihnen die Möglichkeit zu sagen: "Moment mal, warum ist so plötzlich ein Domain-Administrator?" etc.

Letztendlich gibt es einen Grund, warum es "Best Practice" und nicht "Only Practice" heißt ... Es gibt akzeptable Entscheidungen von IT-Gruppen, die auf ihren eigenen Bedürfnissen und Philosophien beruhen. Einige (wie Joe sagte) sind einfach faul ... während andere sich einfach nicht darum kümmern, weil sie nicht daran interessiert sind, eine Sicherheitslücke zu schließen, wenn bereits Hunderte und tägliche Brände zu bekämpfen sind. Nachdem Sie dies alles gelesen haben, sollten Sie sich als einen derjenigen bezeichnen, die den guten Kampf führen und alles tun, um die Sicherheit zu gewährleisten. :)

Verweise:

http://www.microsoft.com/en-us/download/details.aspx?id=4868

http://technet.microsoft.com/en-us/library/cc700846.aspx

http://technet.microsoft.com/en-us/library/bb456992.aspx

Der Reiniger
quelle
Das geringste Privileg gilt hauptsächlich für Nicht-Administratorkonten. Die Trennung von Anmeldeinformationen ist aus Sicht der Mindestberechtigung nicht hilfreich, wenn die Berechtigung auf einem fehlerhaften System verwendet wird, das durch die Berechtigung mit niedrigeren Berechtigungen gefährdet ist.
Jim B
Stimmt, aber "LPU" bedeutet für mich auch, nur den erforderlichen Zugriff auf privilegierte Gruppen zu gewähren. Viele IT-Abteilungen. Geben Sie DA-Zugriff frei, nur weil es einfacher ist, als mit den unzähligen Zugriffsanforderungen umzugehen.
TheCleaner
28

AFAIK, es wird als bewährte Methode für Domänen- / Netzwerkadministratoren angesehen, ein Standardbenutzerkonto für die Anmeldung an ihrer Arbeitsstation zu haben, um routinemäßige "Benutzer" -Aufgaben (E-Mail, Dokumentation usw.) auszuführen, und ein benanntes Administratorkonto zu haben, das über das entsprechende Konto verfügt Gruppenmitgliedschaft, damit sie administrative Aufgaben ausführen können.

Diesem Modell versuche ich zu folgen, obwohl es schwierig ist, es umzusetzen, wenn die vorhandenen IT-Mitarbeiter nicht daran gewöhnt sind.

Persönlich bin ich der Meinung, dass IT-Mitarbeiter, die nur zögerlich in diese Richtung arbeiten, entweder faul oder unerfahren sind oder die Praxis der Systemadministration nicht verstehen.

Joeqwerty
quelle
12

Dies ist aus Sicherheitsgründen eine bewährte Methode. Wie bereits erwähnt, wird verhindert, dass Sie versehentlich etwas unternehmen oder das Surfen im Netzwerk gefährden. Dies schränkt auch den Schaden ein, den Ihr persönliches Surfen anrichten kann. Idealerweise sollte Ihre tägliche Arbeit nicht einmal über lokale Administratorrechte verfügen, geschweige denn über Domänenadministratoren.

Es ist auch unglaublich nützlich, Pass the Hash- oder Windows-Authentifizierungstoken-Hijacks entgegenzuwirken. ( Beispiel ) Ein korrekter Penetrationstest wird dies leicht beweisen. Nämlich, sobald ein Angreifer Zugriff auf ein lokales Administratorkonto erlangt, verwendet er diese Berechtigung, um in einen Prozess mit einem Domänenadministratortoken zu migrieren. Dann haben sie effektiv diese Kräfte.

Als Beispiel für Leute, die dies benutzen, tut es meine Firma! Tatsächlich haben unsere Domain-Admins -DREI- Konten. Eine für den täglichen Gebrauch, eine für die PC-Administration / lokale Installation von Software. Das dritte Konto ist das Domänenadministratorkonto und wird ausschließlich zur Verwaltung der Server und der Domäne verwendet. Wenn wir paranoider / sicherer sein wollten, wäre wahrscheinlich ein vierter in Ordnung.

Christopher Karel
quelle
Drei Accounts ... interessant ... das muss ich für den bevorstehenden Domainwechsel in meinem Unternehmen berücksichtigen ...
pepoluan
1
In meiner Firma auch. Normales Desktop-Konto, Administratorkonto für lokalen Administratorzugriff auf Client-Computern UND ein separates Server-Administratorkonto. Beide Administratorkonten erhalten keine E-Mail und keinen Internetzugang. Das einzige Problem besteht darin, dass das Serveradministratorkonto lokale Administratorrechte auf der Arbeitsstation benötigt oder dass die Benutzerkontensteuerung die lokale Ausführung von MMC mit RunAs als Serveradministratorkonto beeinträchtigt. (Kann RDP auf einem Server verwenden und alles von dort ausführen, aber das ist manchmal sehr hinderlich, wenn Sie Daten kopieren / einfügen oder mit Daten vergleichen müssen, die auf dem Desktop-Konto ausgeführt werden.)
Tonny
Wir haben es ziemlich gut geschafft, dass unsere Domain Admins RDP für ihre Verwaltungsarbeit auf einem Server installiert sind. Copy & Paste bewegt sich erstaunlich gut über RDP. Auf diesem einzelnen Server sind bereits alle unsere Verwaltungsdienstprogramme installiert. Aber das heißt ... Ich glaube, die Domain-Admins-Gruppe hat standardmäßig lokale Administratorrechte. Ich bevorzuge nur, dass diese Anmeldeinformationen niemals Desktops berühren, um Token-Diebstahl und dergleichen vorzubeugen.
Christopher Karel
8

In meiner früheren Firma bestand ich darauf, dass alle Systemadministratoren zwei Konten erhielten, dh:

  • DOMAIN \ st19085
  • DOMAIN \ st19085a ("a" für Admin)

Die Kollegen zögerten zunächst, aber es wurde zur Faustregel, nachdem die typische Frage nach der Virusbedrohung "Wir haben ein Antivirus" von einer veralteten Virendatenbank entlarvt wurde ...

  • Wie Sie erwähnt haben, die Befehl RUNAS verwendet werden (ich hatte früher ein Stapelskript , das ein benutzerdefiniertes Menü anzeigt und bestimmte Aufgaben mit dem Befehl RUNAS ausführt).

  • Eine andere Sache ist die Verwendung der Microsoft Management Console . Sie können die benötigten Tools speichern und mit einem Rechtsklick starten , Ausführen als ... und Ihrem Domänenadministratorkonto .

  • Last but not least habe ich eine PowerShell-Shell als Domänenadministrator gestartet und von dort aus das benötigte Material gestartet.
Camille Le Mouëllic
quelle
6
Dies ist im Wesentlichen die Implementierung, die ich verwendet (und allen anderen aufgezwungen) habe, wo immer ich mitreden konnte. Sie melden sich an Ihrem Computer an und erledigen Ihre täglichen Aufgaben als normaler Benutzer, genau wie alle anderen. Wenn Sie Administratorrechte benötigen, können Sie Run As/ Run as Administratorund verwenden Sie das administrative Benutzerkonto. Nur ein Konto für alles zu verwenden, ist eine schlechte Sicherheitspraxis, und meiner Erfahrung nach sind die Leute, die Einwände erheben, die am meisten davon abgehalten werden müssen, alles als Administrator auszuführen.
HopelessN00b
+1 großartige Beobachtung von @ HopelessN00b: "Die Leute, die sich
weigern
Eigentlich sollten Sie eine separate Workstation verwenden, die gesperrt wurde, um nur den Administrator auszuführen
Jim B,
4

Ich habe an Orten gearbeitet, die beides tun, und es im Allgemeinen vorziehen, ein separates Konto zu haben. Auf diese Weise ist es tatsächlich viel einfacher, im Gegensatz zu dem, was Joeqwertys widerstrebende Benutzer / Kunden zu denken scheinen:

Vorteile der Verwendung Ihres normalen, täglichen Kontos für Domain-Administrator-Aktivitäten: Ja, alle Verwaltungstools funktionieren auf meiner Workstation ohne Runas! W00t!

Nachteile der Verwendung Ihres normalen, täglichen Kontos für Domainadministratoraktivitäten: ;) Desktop-Techniker bittet Sie, sich eine Maschine anzusehen, weil er nicht herausfinden kann, was daran falsch ist. Sie melden sich an, es ist ein Virus. Netzwerkkabel abziehen, Passwort ändern (woanders). Wenn Manager Sie fragen, warum Sie Ihre geschäftliche E-Mail nicht über Ihren Mobilfunkanbieter auf Ihrem persönlichen BlackBerry erhalten, erfahren Sie, dass sie dabei Ihr DOMAIN ADMIN-Kennwort auf ihren Servern speichern. Usw. Ihr hochprivilegiertes Passwort wird für Dinge wie ... Webmail, VPN, Anmelden auf dieser Webseite verwendet. (Ew.) (Um fair zu sein, wurde mein Konto für die Webseite "Passwort ändern" gesperrt, also gab es zumindest das. Wenn ich mein altes LDAP-Passwort ändern wollte, das von der Webseite synchronisiert wurde, musste ich gehen zu einem Arbeitskollegen.)

Vorteile der Verwendung eines anderen Kontos für Domänenadministratoraktivitäten: Absicht. Dieser Account ist vorgesehen für die Verwaltungstools usw., und nicht für E - Mail, Webmail, vpn, die Homepage Logins, etc. Also, weniger Angst , dass meine normalen „Nutzer“ Aktivitäten , um die gesamte Domäne Risiko aussetzen.

Nachteile der Verwendung eines anderen Kontos für Domänenadministratoraktivitäten: Ich muss Runas für Verwaltungstools verwenden. Das ist einfach nicht so schmerzhaft.

Die TL; DR-Version: Es ist ganz einfach, ein separates Konto zu haben . Es ist auch eine bewährte Methode, da es das geringste erforderliche Privileg ist .

Katherine Villyard
quelle
2

Kleinstes Priv sollte Grund genug sein, aber falls dies nicht der Fall ist, sollten Sie auch berücksichtigen, dass bei Verwendung eines Kontos mit den gleichen Berechtigungen wie Ihre Benutzer die Wahrscheinlichkeit größer ist, dass Probleme auftreten, die diese Benutzer verursachen. Sie können sie dann auf Ihrem eigenen Konto debuggen auch - oft, bevor sie sie überhaupt gesehen haben!

Nichts schlimmeres als ein Administrator, der sagt "es funktioniert bei mir" und das Ticket schließt :)

Tom Newton
quelle
+1 für das Erkennen, dass die tägliche Verwendung eines Benutzerkontos die Effektivität der Fehlerbehebung verbessert.
Ich sage Reinstate Monica
1

Theoretisch ist es am besten, dass Sie für Ihre täglichen Aktivitäten keine Anmeldung eines Top-Administrators verwenden. Es gibt viele Gründe, zum Beispiel Viren. Wenn Sie einen Virus erhalten und sich als Domain-Administrator anmelden, kann der Virus auf einfache Weise auf Ihr Netzwerk zugreifen und auf alle Viren zugreifen. Die möglichen Fehler sind sicher leichter zu beheben, aber ich sehe das nicht als die größte Herausforderung. Wenn Sie auf Ihrem Campus herumgehen und sich mit Ihrem Top-Administrator anmelden, sucht möglicherweise jemand über Ihre Schulter nach Ihrem Passwort. Alle möglichen Dinge.

Aber ist es praktisch? Es fällt mir schwer, diese Regel zu befolgen, aber ich würde sie gerne befolgen.

ETL
quelle
0

Hinzufügen meiner 2 Cent basierend auf der tatsächlichen Erfahrung ..

Wenn Sie wissen und sich darüber im Klaren sind, dass Sie für Ihre tägliche Arbeit ein Administratorkonto verwenden, sind Sie bei allem, was Sie tun, sehr vorsichtig. Sie müssen also nicht nur auf eine E-Mail / einen Link klicken oder Anwendungen ausführen, ohne sie dreimal zu überprüfen. Ich denke, es hält dich auf Trab.

Wenn Sie für Ihre tägliche Arbeit ein Konto mit den geringsten Rechten verwenden, wird dies zu Unachtsamkeit.

Badbanana
quelle
Das ist eine schöne Theorie, aber meiner Erfahrung nach funktioniert es nicht (zumindest nicht für alle). Ich habe gesehen, wie Kollegen aus Versehen große Datenmengen aus Produktionssystemen gelöscht haben (ein Leerzeichen an der falschen Stelle in einer Befehlszeile ist ausreichend).
Gerald Schneider
Keine Theorie, wir praktizieren es hier ;-) Nach meiner Erfahrung überprüfen Sie die Leute, denen Sie solche Privilegien gewähren, und übergeben sie nicht nur für die Nachfrage.
Badbanana