나는 일반적으로 나 자신을 위해 별도의 로그인을 설정하고, 하나는 일반 사용자 권한이 있고 다른 하나는 관리 작업을 위해 설정합니다. 예를 들어 도메인이 XXXX 인 경우 XXXX \ bpeikes와 XXXX \ adminbp 계정을 설정했습니다. 솔직히 관리자로 로그인 한 것을 신뢰하지 않기 때문에 항상 해냈지만, 내가 일했던 모든 곳에서 시스템 관리자는 일반적인 계정을 Domain Admins 그룹에 추가하는 것 같습니다.
모범 사례가 있습니까? MS에서 기사를 보았습니다 .Run As를 사용하고 관리자로 로그인하지 않아야한다고 말한 것으로 나타 났지만 구현 예제를 제공하지 않으며 다른 사람이 본 적이 없습니다.
답변
“모범 사례”는 일반적으로 LPU (최소 권한 사용자)를 지시하지만 사람들이이 모델을 거의 따르지 않는 것은 ETL 및 Joe와 마찬가지로 +1입니다.
2 개의 계정을 만들고 다른 사람과 공유하지 않는 것이 좋습니다. 하나의 계정에는 이론적으로 사용중인 로컬 워크 스테이션에 대한 관리자 권한이 없어야하지만 요즘에는 특히 UAC를 사용하여 해당 규칙을 따르는 사람이 있습니다 (이론적으로 사용하도록 설정되어 있어야 함).
이 경로를 가고 싶은 이유에는 여러 가지가 있습니다. 보안, 편의성, 회사 정책, 규제 제한 (있는 경우), 위험 등을 고려해야합니다.
지키는 Domain Admins와 Administrators최소한의 계정으로 도메인 수준 그룹의 친절하고 깨끗한 항상 좋은 아이디어이다. 그러나 일반적인 도메인 관리자 계정을 피할 수 있다면 공유하지 마십시오. 그렇지 않으면 누군가 무언가를하고 나서 sysadmins 사이에서 “그 계정을 사용한 사람이 아니 었습니다”라는 손가락을 가리킬 위험이 있습니다. 개별 계정을 보유하거나 CyberArk EPA와 같은 것을 사용하여 올바르게 감사하는 것이 좋습니다.
또한 이러한 행 Schema Admins에서 스키마를 변경 한 다음 계정을 입력하고 변경하고 계정을 제거하지 않으면 그룹은 항상 비어 있어야합니다. Enterprise Admins특히 단일 도메인 모델에서도 마찬가지 입니다.
또한 권한있는 계정이 네트워크에 VPN을 허용하지 않아야합니다. 일반 계정을 사용한 다음 필요에 따라 한 번 들어 올립니다.
마지막으로 권한있는 그룹을 감사하기 위해 SCOM 또는 Netwrix 또는 기타 다른 방법을 사용하고 해당 그룹의 구성원이 변경 될 때마다 IT의 해당 그룹에 알리십시오. 이렇게하면 “잠깐만 기다리세요. 왜 그렇게 갑자기 도메인 관리자입니까?”라고 말할 수 있습니다. 기타
하루가 끝날 무렵 “최상의 실습”이라고 불리는 이유가 있습니다. “실습 만”이 아닙니다. IT 그룹은 자체 요구 사항과 철학에 따라 적절한 선택을 할 수 있습니다. (Joe가 말한 것처럼) 일부는 단순히 게으르다 … 다른 사람들은 이미 수백 건의 매일 화재가 발생할 때 하나의 보안 구멍을 막는 데 관심이 없기 때문에 신경 쓰지 않습니다. 그러나 이제이 모든 내용을 읽었으므로 선한 싸움에 맞서 싸울 수있는 일 중 하나를 고려하고 안전하게 지키십시오. 🙂
참고 문헌 :
http://www.microsoft.com/en-us/download/details.aspx?id=4868
답변
AFAIK, 도메인 / 네트워크 관리자는 워크 스테이션에 로그온하기위한 표준 사용자 계정을 사용하여 일상적인 “사용자”작업 (이메일, 문서 등)을 수행하고 적절한 이름의 관리 계정을 갖는 것이 가장 좋습니다. 그룹 멤버쉽을 통해 관리 작업을 수행 할 수 있습니다.
기존 IT 직원이이 방법으로 익숙하지 않은 경우 구현하기는 어렵지만이 모델을 따르려고합니다.
개인적으로,이 방향으로 움직일 수있는 IT 직원을 찾으면 게 으르거나 경험이 없거나 시스템 관리 관행을 이해하지 못한다고 생각합니다.
답변
보안상의 이유로 모범 사례입니다. 다른 사람들이 언급했듯이 실수로 무언가를하지 못하거나 네트워크 탐색으로 인해 타협하지 못하게합니다. 또한 개인 브라우징으로 인한 피해를 제한 할 수 있습니다. 이상적으로 일상 업무에는 로컬 관리자 권한이 없어도 도메인 관리자가 훨씬 적습니다.
또한 해시 또는 Windows 인증 토큰 하이재킹 을 방지하는 데 매우 유용합니다 . ( 예 ) 적절한 침투 테스트는이를 쉽게 증명할 수 있습니다. 즉, 공격자가 로컬 관리자 계정에 액세스하면 해당 권한을 사용하여 도메인 관리자 토큰이있는 프로세스로 마이그레이션합니다. 그러면 그들은 효과적으로 그러한 힘을 갖게됩니다.
이것을 사용하는 사람들의 예를 들어, 우리 회사는합니다! (200 명, 6 명의 운영팀) 실제로 도메인 관리자는 -THREE- 개의 계정을 가지고 있습니다. 일상적인 사용을위한 것, 로컬로 PC 관리 / 설치를위한 것. 세 번째는 도메인 관리자 계정이며 서버 및 도메인 관리에만 사용됩니다. 우리가 더 편집증 적이거나 안전 해지기를 원한다면 4 분의 1이 될 것입니다.
답변
이전 회사에서는 모든 시스템 관리자가 2 개의 계정을 가졌다 고 주장했습니다.
- 도메인 \ st19085
- DOMAIN \ st19085a (관리자의 경우 “a”)
동료들은 처음에는 꺼려했지만 바이러스 위협에 대한 일반적인 질문 인 “바이러스 백신을 얻었습니다”는 오래된 바이러스 데이터베이스에 의해 폭로 된 후 …
-
언급했듯이 RUNAS 명령을 사용할 수 있습니다 (배치 스크립트를 사용하여 사용자 정의 메뉴를 표시하고 RUNAS 명령으로 특정 작업을 시작했습니다).
-
또 다른 것은 Microsoft Management Console을 사용하는 것입니다. 필요한 도구를 저장하고 마우스 오른쪽 단추를 클릭 하고 실행 도구 및 도메인 관리자 계정으로 도구를 시작할 수 있습니다.
- 마지막으로, 최소한 PowerShell 관리자를 도메인 관리자로 시작하고 필요한 항목을 시작했습니다.
답변
나는 두 가지 방법으로 일하는 곳에서 일했으며 일반적으로 별도의 계정을 선호합니다. joeqwerty의 꺼리는 사용자 / 고객이 생각하는 것과는 달리 실제로는 훨씬 더 쉽습니다.
도메인 관리 활동을 위해 일상적인 일상 계정을 사용하는 장점 : 예, 모든 관리 도구는 runas없이 내 워크 스테이션에서 작동합니다! W00t!
도메인 관리 활동을 위해 일상적인 일상 계정을 사용하는 단점 : 두려움. 😉 데스크톱 기술은 컴퓨터에 문제가 있는지 파악할 수 없기 때문에 컴퓨터를 살펴 보라고 요청합니다. 로그인하면 바이러스가 있습니다. 네트워크 케이블을 분리하고 비밀번호를 변경하십시오 (다른 곳에서). 관리자가 휴대 전화 제공 업체를 통해 개인 블랙 베리에 업무용 이메일을받지 못한 이유를 물으면 관리자가 DOMAIN ADMIN 비밀번호를 서버에 저장한다고 설명합니다. 기타 등등. 당신의 특권이있는 암호는 웹 메일, VPN,이 웹 페이지에 로그인하는 데 사용됩니다. (공개적으로, 내 계정은 “비밀번호 변경”웹 페이지에서 차단되었으므로 적어도 해당 내용이 있습니다. 웹 페이지가 동기화 된 기존 LDAP 비밀번호를 변경하려면 가야합니다. 동료의 책상에.)
도메인 관리자 활동에 다른 계정을 사용하는 장점 : 의도. 이 계정은 이메일, 웹 메일, VPN, 웹 페이지 로그인 등을위한 것이 아니라 관리 도구 등을 위한 것 입니다. 따라서 일반적인 “사용자”활동으로 인해 전체 도메인이 위험에 노출 될 우려가 줄어 듭니다.
도메인 관리자 활동에 다른 계정 사용의 단점 : 관리 도구에 runas를 사용해야합니다. 그것은 그렇게 고통스럽지 않습니다.
TL; DR 버전 : 별도의 계정을 갖는 것이 훨씬 쉽습니다. 또한 가장 필요한 권한이 없으므로 모범 사례 입니다.
답변
최소한 Priv는 충분한 이유가되지만 그렇지 않은 경우에는 사용자와 동일한 권한을 가진 계정을 사용하는 경우 문제가 발생할 가능성이 높으며 자신의 계정으로 디버깅 할 수 있다는 점도 고려하십시오. 그들도 종종 그들을보기도 전에!
“나에게 효과적”이라고 말하고 티켓을 닫는 관리자보다 나쁘지 않습니다. 🙂
답변
모든 이론에서 일상적인 활동에 최고 관리자 로그온을 사용하지 않는 것이 가장 좋습니다. 바이러스와 같은 여러 가지 이유가 있습니다. 바이러스에 감염되어 도메인 관리자 로그온을 실행중인 경우 바이러스가 네트워크에 쉽게 접근 할 수 있습니다. 가능한 실수는 확실히 확인하기 쉽지만 가장 큰 도전이라고는 생각하지 않습니다. 캠퍼스를 돌아 다니면서 최고 관리자로 로그온하면 누군가 어깨 너머로 비밀번호를 찾고있을 수 있습니다. 그런 종류의 것들.
그러나 실용적입니까? 나는 그 규칙을 따르는 것이 어렵다는 것을 알지만 그것을 따르고 싶습니다.