Buruk login sebagai admin sepanjang waktu?

Di kantor tempat saya bekerja, tiga anggota staf TI lainnya masuk ke komputer mereka setiap saat dengan akun yang merupakan anggota grup administrator domain.

Saya memiliki masalah serius tentang login dengan hak admin (baik lokal atau untuk domain). Karena itu, untuk penggunaan komputer sehari-hari, saya menggunakan akun yang hanya memiliki hak pengguna biasa. Saya juga memiliki akun berbeda yang merupakan bagian dari grup admin domain. Saya menggunakan akun ini ketika saya perlu melakukan sesuatu yang memerlukan hak istimewa tinggi di komputer saya, salah satu server, atau di komputer pengguna lain.

Apa praktik terbaik di sini? Haruskah admin jaringan login dengan hak ke seluruh jaringan sepanjang waktu (atau bahkan komputer lokal mereka dalam hal ini)?

Praktik terbaik mutlak adalah untuk Pengguna Langsung, Rooting Kerja . Pengguna yang Anda masuki seperti ketika Anda menekan refresh pada Server Fault setiap 5 menit harus menjadi pengguna normal. Yang Anda gunakan untuk mendiagnosis masalah routing Exchange haruslah Admin. Mendapatkan pemisahan ini bisa sulit, karena di Windows setidaknya memerlukan dua sesi login dan itu berarti dua komputer dalam beberapa cara.

• VM bekerja sangat baik untuk ini, dan itulah cara saya menyelesaikannya.
• Saya pernah mendengar tentang organisasi yang membatasi login akun mereka pada VM khusus tertentu yang dihosting secara internal, dan admin mengandalkan RDP untuk akses.
• UAC membantu membatasi apa yang dapat dilakukan oleh admin (mengakses program khusus), tetapi permintaan yang terus menerus bisa sama menjengkelkannya dengan harus jauh ke mesin lain untuk melakukan apa yang perlu dilakukan.

Mengapa ini merupakan praktik terbaik? Sebagian karena saya bilang begitu , dan begitu juga banyak yang lain. SysAdminning tidak memiliki badan pusat yang menetapkan praktik terbaik dengan cara apa pun yang pasti. Dalam dekade terakhir kami telah menerbitkan beberapa praktik terbaik Keamanan TI yang menunjukkan bahwa Anda hanya menggunakan privat yang ditinggikan saat Anda benar-benar membutuhkannya. beberapa praktik terbaik ditetapkan melalui gestalt pengalaman oleh sysadmin selama 40+ tahun terakhir. Sebuah makalah dari LISA 1993 ( tautan ), sebuah makalah contoh dari SANS ( tautan , PDF), bagian dari sentuhan kritis kontrol keamanan SANS mengenai hal ini ( tautan ).

Karena ini adalah domain Windows, kemungkinan akun yang mereka gunakan memiliki akses jaringan lengkap ke semua workstation, jadi jika sesuatu yang buruk terjadi, ia dapat melintasi jaringan dalam hitungan detik. Langkah pertama adalah memastikan semua pengguna melakukan pekerjaan sehari-hari, menjelajahi web, menulis dokumen, dll. Sesuai dengan prinsip Least User Access .

Praktik saya kemudian membuat akun domain dan memberikan hak istimewa admin akun itu di semua workstation (PC-admin), dan akun domain terpisah untuk pekerjaan admin server (server-admin). Jika Anda khawatir server Anda dapat berbicara satu sama lain, Anda dapat memiliki masing-masing akun untuk setiap mesin (<x> -admin, <y> -admin). Pasti mencoba menggunakan akun lain untuk menjalankan pekerjaan admin domain.

Dengan begitu, jika Anda melakukan sesuatu pada workstation yang dikompromikan dengan akun PC-admin, dan itu mengambil kesempatan Anda memiliki hak admin untuk mencoba mendapatkan di komputer lain melalui jaringan, itu tidak akan bisa melakukan apa pun jahat ke server Anda. Memiliki akun ini juga berarti tidak dapat melakukan apa pun terhadap data pribadi Anda.

Saya harus mengatakan, bahwa di satu tempat saya tahu di mana staf bekerja dengan prinsip-prinsip LUA, mereka tidak memiliki serangan virus yang tepat selama tiga tahun yang saya lihat; departemen lain di tempat yang sama yang memiliki semua orang dengan admin lokal dan staf TI dengan admin server mengalami beberapa wabah, yang salah satunya membutuhkan waktu satu minggu untuk membersihkan karena penyebaran infeksi melalui jaringan.

Memang perlu waktu untuk menyiapkan, tetapi potensi penghematan sangat besar jika Anda dilanda masalah.

Akun terpisah untuk tugas terpisah adalah cara terbaik untuk melihatnya. Prinsip yang paling tidak disukai adalah nama permainan. Batasi penggunaan akun "admin" untuk tugas yang harus dilakukan sebagai "admin".

Pendapat agak berbeda antara Windows dan * nix tetapi penyebutan Anda tentang admin domain membuat saya berpikir Anda berbicara tentang Windows, jadi itulah konteks yang saya jawab.

Di workstation biasanya Anda tidak perlu menjadi admin, jadi jawaban untuk pertanyaan Anda dalam kebanyakan kasus adalah TIDAK. Namun, ada banyak pengecualian dan itu benar-benar bergantung pada apa yang dilakukan orang tersebut di mesin.

Di server itu adalah topik banyak perdebatan. Pandangan saya sendiri adalah bahwa saya hanya masuk ke server untuk melakukan pekerjaan admin, jadi tidak masuk akal untuk masuk sebagai pengguna dan kemudian menjalankan setiap alat terpisah menggunakan run-as, yang terus terang selalu menjadi masalah nyata. dalam Anda-tahu-apa dan untuk sebagian besar pekerjaan itu hanya membuat hidup admin terlalu sulit dan memakan waktu. Karena sebagian besar pekerjaan Windows admin dilakukan dengan menggunakan alat GUI ada tingkat keamanan yang tidak hadir untuk mengatakan admin Linux bekerja pada baris perintah, di mana kesalahan ketik sederhana dapat mengirimnya bergegas untuk tape backup semalam.

hidupku sederhana ... akun itu diberi nama berbeda, dan semuanya memiliki kata sandi yang berbeda.

Akun Tuhan - admin domain untuk melakukan semua pekerjaan sisi server

akun demigod untuk mengelola PC - tidak memiliki hak untuk dibagikan / server - hanya untuk PC

lemah pengguna - saya memberi saya kekuatan pengguna di pc saya sendiri, tetapi saya bahkan tidak memiliki hak-hak itu di PC lain

alasan pemisahan itu banyak. seharusnya tidak ada argumen, lakukan saja!

Dengan risiko turun memilih ke neraka, saya harus mengatakan itu tergantung pada alur kerja admin. Bagi saya pribadi, sebagian besar hal yang saya lakukan di workstation saya sementara di tempat kerja akan membutuhkan kredensial admin tersebut. Anda memiliki perangkat bawaan seperti alat manajemen domain, konsol manajemen pihak ke-3, drive yang dipetakan, alat akses jarak jauh baris perintah, skrip, dll. Daftarnya terus berjalan. Harus mengetikkan kredensial untuk hampir setiap hal yang Anda buka akan menjadi mimpi buruk.

Satu-satunya hal yang biasanya tidak memerlukan admin priv adalah browser web saya, klien email, klien IM, dan penampil PDF. Dan sebagian besar dari hal-hal itu tetap terbuka sejak saya masuk ke waktu saya keluar. Jadi saya masuk dengan kredensial admin saya dan kemudian saya menjalankan semua aplikasi priv saya yang rendah dengan akun priv yang rendah. Ini jauh lebih mudah dan saya tidak merasa kurang aman untuk melakukannya.