web-dev-qa-db-fra.com

Est-il recommandé d'avoir une connexion distincte pour un domaine pour les administrateurs de domaine?

J'aime généralement configurer des connexions distinctes pour moi-même, une avec des autorisations utilisateur régulières et une autre pour les tâches administratives. Par exemple, si le domaine était XXXX, je configurerais un compte XXXX\bpeikes et XXXX\adminbp. Je l'ai toujours fait parce que franchement, je ne me fais pas confiance pour être connecté en tant qu'administrateur, mais dans tous les endroits où j'ai travaillé, les administrateurs système semblent simplement ajouter leurs comptes habituels au groupe Administrateurs du domaine.

Existe-t-il des meilleures pratiques? J'ai vu un article de MS qui semble dire que vous devez utiliser Exécuter en tant que et ne pas vous connecter en tant qu'administrateur, mais ils ne donnent pas d'exemple d'implémentation et je n'ai jamais vu personne d'autre le faire.

33
Benjamin Peikes

La "meilleure pratique" dicte généralement LPU (utilisateur le moins privilégié) ... mais vous avez raison (comme ETL et Joe donc +1) que les gens suivent rarement ce modèle.

La plupart des recommandations sont de faire ce que vous dites ... créez 2 comptes et ne partagez pas ces comptes avec d'autres. Un compte ne devrait pas avoir de droits d'administrateur sur le poste de travail local que vous utilisez en théorie, mais encore une fois, qui suit cette règle, en particulier avec l'UAC ces jours-ci (qui, en théorie, devrait être activé).

Cependant, il existe plusieurs facteurs pour lesquels vous souhaitez emprunter cette voie. Vous devez prendre en compte la sécurité, la commodité, la politique d'entreprise, les restrictions réglementaires (le cas échéant), le risque, etc.

Garder le Domain Admins et Administrators groupes au niveau du domaine Nice and clean with minimal accounts is always a good idea. Mais ne partagez pas simplement les comptes d'administrateur de domaine communs si vous pouvez l'éviter. Sinon, il y a un risque que quelqu'un fasse quelque chose, puis pointe du doigt entre les administrateurs système de "ce n'est pas moi qui ai utilisé ce compte". Mieux vaut avoir des comptes individuels ou utiliser quelque chose comme CyberArk EPA pour le vérifier correctement.

Toujours sur ces lignes, votre Schema Admins le groupe doit toujours être VIDE, sauf si vous apportez une modification au schéma, puis vous placez le compte, effectuez la modification et supprimez le compte. La même chose pourrait être dite pour Enterprise Admins en particulier dans un modèle à domaine unique.

Vous ne devez pas non plus autoriser les comptes privilégiés à VPN dans le réseau. Utilisez un compte normal, puis élevez-vous au besoin une fois à l'intérieur.

Enfin, vous devez utiliser SCOM ou Netwrix ou une autre méthode pour auditer tout groupe privilégié et notifier le groupe approprié en informatique chaque fois que l'un des membres de ce groupe a changé. Cela vous donnera une tête à tête pour dire "attendez une minute, pourquoi est-ce que tout à coup un administrateur de domaine?" etc.

À la fin de la journée, il y a une raison pour laquelle cela s'appelle "Best Practice" et non "Only Practice" ... il y a des choix acceptables faits par des groupes informatiques basés sur leurs propres besoins et philosophies à ce sujet. Certains (comme Joe l'a dit) sont tout simplement paresseux ... tandis que d'autres s'en moquent simplement parce qu'ils ne sont pas intéressés à colmater un trou de sécurité alors qu'il y a déjà des centaines d'incendies quotidiens à combattre. Cependant, maintenant que vous avez lu tout cela, considérez-vous comme l'un de ceux qui mèneront le bon combat et faites ce que vous pouvez pour sécuriser les choses. :)

Références:

http://www.Microsoft.com/en-us/download/details.aspx?id=4868

http://technet.Microsoft.com/en-us/library/cc700846.aspx

http://technet.Microsoft.com/en-us/library/bb456992.aspx

25
TheCleaner

AFAIK, il est considéré comme une meilleure pratique pour les administrateurs de domaine/réseau d'avoir un compte utilisateur standard pour se connecter à leur poste de travail pour effectuer des tâches "utilisateur" de routine (courrier électronique, documentation, etc.) et d'avoir un compte administratif nommé qui possède les l'appartenance à un groupe pour leur permettre d'effectuer des tâches administratives.

C'est le modèle que j'essaie de suivre, bien qu'il soit difficile à mettre en œuvre si le personnel informatique existant n'est pas habitué à le faire de cette façon.

Personnellement, si je trouve un personnel informatique réticent à aller dans cette direction, je suis d'avis qu'il est paresseux, inexpérimenté ou qu'il ne comprend pas la pratique de l'administration système.

28
joeqwerty

Il s'agit d'une meilleure pratique pour des raisons de sécurité. Comme d'autres l'ont mentionné, cela vous empêche de faire quelque chose accidentellement ou de vous compromettre en naviguant sur le réseau. Cela limite également les dommages que votre navigation personnelle peut faire - idéalement, votre travail quotidien ne devrait même pas avoir de privilèges d'administrateur local, encore moins d'administrateur de domaine.

Il est également incroyablement utile pour contrer Passer le hachage ou détournements de jetons d'authentification Windows. ( Exemple ) Un test de pénétration approprié le prouvera facilement. À savoir, une fois qu'un attaquant aura accès à un compte d'administrateur local, il utilisera ce pouvoir pour migrer dans un processus avec un jeton d'administrateur de domaine. Ensuite, ils ont effectivement ces pouvoirs.

Quant à un exemple de personnes utilisant cela, mon entreprise le fait! (200 personnes, équipe de 6 personnes) En fait, nos administrateurs de domaine ont-TROIS comptes. Un pour une utilisation quotidienne, un pour l'administration PC/l'installation de logiciels localement. Le troisième est le compte d'administrateur de domaine et utilisé uniquement pour l'administration des serveurs et du domaine. Si nous voulions être plus paranoïaques/sécurisés, un quatrième serait probablement en ordre.

12
Christopher Karel

Dans mon ancienne entreprise, j'ai insisté pour que tous les administrateurs système aient 2 comptes, à savoir:

  • DOMAINE\st19085
  • DOMAINE\st19085a ("a" pour l'administrateur)

Les collègues étaient réticents au début, mais c'est devenu une règle de base, après que la question typique sur la menace virale "nous avons obtenu un antivirus" a été démystifiée par une base de données de virus obsolète ...

  • Comme vous l'avez mentionné, la commande [~ # ~] runas [~ # ~] pourrait être utilisée (j'avais l'habitude d'avoir un script batch, présentant une menu, lancement de tâches spécifiques avec la commande RUNAS).

  • Une autre chose est l'utilisation de la Microsoft Management Console , vous pouvez enregistrer les outils dont vous avez besoin et les lancer avec un clic droit , Exécuter en tant que ... et votre compte d'administrateur de domaine.

  • Le dernier mais non le moindre, j'avais l'habitude de lancer un PowerShell Shell en tant qu'administrateur de domaine et de lancer ce dont j'avais besoin à partir de là.
8
Camille Le Mouëllic

J'ai travaillé dans des endroits qui le font dans les deux sens et préfèrent généralement avoir un compte séparé. C'est en fait beaucoup plus facile de cette façon, contrairement à ce que les utilisateurs/clients réticents de joeqwerty semblent penser:

Avantages de l'utilisation de votre compte quotidien normal pour les activités d'administration de domaine: Oui, tous les outils d'administration fonctionnent sur mon poste de travail sans runas! W00t!

Inconvénients d'utiliser votre compte quotidien normal pour les activités d'administration de domaine: Peur. ;) Desktop tech vous demande de regarder une machine car il ne peut pas comprendre ce qui ne va pas, vous vous connectez, elle a un virus. Débranchez le câble réseau, changez le mot de passe (ailleurs). Lorsque les gestionnaires vous demandent pourquoi vous ne recevez pas votre e-mail professionnel sur votre BlackBerry personnel via votre fournisseur de téléphone portable, vous expliquez qu'ils stockent votre mot de passe DOMAIN ADMIN sur leurs serveurs lorsque vous le faites. Etc., etc. Votre mot de passe hautement privilégié est utilisé pour des choses comme ... webmail, vpn, connectez-vous sur cette page web. (Ew.) (Pour être honnête, mon compte a été bloqué de la page Web "changer votre mot de passe", donc au moins il y avait cela. Si je voulais changer mon ancien mot de passe LDAP, que la page Web synchronisait, je devrais y aller au bureau d'un collègue.)

Avantages d'utiliser un autre compte pour les activités d'administration de domaine: Intention. Ce compte est destiné aux outils d'administration, etc., et non aux emails, webmail, vpn, identifiants de page web, etc. Donc, moins peur que mon les activités normales des "utilisateurs" exposent l'ensemble du domaine à des risques.

Inconvénients d'utiliser un compte différent pour les activités d'administration de domaine: je dois utiliser des runas pour les outils d'administration. Ce n'est tout simplement pas si douloureux.

La version TL; DR: Avoir un compte séparé est tout simplement plus simple . C'est aussi la meilleure pratique, car c'est privilège le moins nécessaire .

4
Katherine Villyard

Le moindre privilège devrait être une raison suffisante, mais dans le cas contraire, considérez également que si vous utilisez un compte avec les mêmes autorisations que vos utilisateurs, vous êtes plus susceptible de souffrir de problèmes, et vous pouvez les déboguer sur votre propre compte aussi - souvent avant même de les avoir vus!

Rien de pire qu'un administrateur qui dit "ça marche pour moi" et ferme le ticket :)

2
Tom Newton

En théorie, il est préférable que vous n'utilisiez pas de connexion d'administrateur supérieur pour vos activités quotidiennes. Il existe de nombreuses raisons telles que les virus - si vous avez un virus et que vous exécutez une connexion d’administrateur de domaine, le virus a un moyen facile d’arriver sur votre réseau, un accès complet! Les erreurs possibles sont plus faciles à faire à coup sûr, mais je ne vois pas cela comme le plus grand défi. Si vous faites le tour de votre campus et que vous vous connectez avec votre administrateur principal, quelqu'un peut chercher votre mot de passe par-dessus votre épaule. Toutes sortes de choses comme ça.

Mais est-ce pratique? J'ai du mal à suivre cette règle, mais j'aimerais la suivre.

1
ETL

en ajoutant mes 2 cents basés sur l'expérience réelle ..

sachant et gardant à l'esprit que vous utilisez un compte administrateur pour votre travail quotidien, vous êtes très prudent dans tout ce que vous faites. de sorte que vous ne cliquez pas simplement sur un e-mail/lien ou que vous exécutez simplement des applications sans triple vérification. je pense que cela vous tient sur vos orteils.

utiliser un compte de moindre privilège pour votre travail quotidien en rend un imprudent.

0
badbanana