¿Es malo iniciar sesión como administrador todo el tiempo?

20

En la oficina donde trabajo, tres de los otros miembros del personal de TI están conectados a sus computadoras todo el tiempo con cuentas que son miembros del grupo de administradores de dominio.

Tengo serias preocupaciones sobre el inicio de sesión con derechos de administrador (ya sea local o para el dominio). Como tal, para el uso diario de la computadora, uso una cuenta que solo tiene privilegios de usuario regulares. También tengo una cuenta diferente que forma parte del grupo de administradores de dominio. Uso esta cuenta cuando necesito hacer algo que requiera privilegios elevados en mi computadora, uno de los servidores o en la computadora de otro usuario.

¿Cuál es la mejor práctica aquí? ¿Deben los administradores de red iniciar sesión con derechos a toda la red todo el tiempo (o incluso a su computadora local)?

windows security best-practices dar un toque
fuente
Siempre pensé que era estúpido. Nunca escuché de una buena razón para hacer eso. Tal vez dar cuentas limitadas a los padres en Windows, pero estamos hablando de nuestro uso de cuentas
¿Alguna vez tuviste un niño corriendo haciendo clic en cosas en su PC? ¿Qué tal si accidentalmente elimina el recurso compartido de datos principal en lugar de su carpeta mp3?
Barfieldmv
1
alguien por favor agregue una etiqueta "windows" a esta pregunta
JoelFan
@Barfieldmv, esta pregunta se trata de un entorno de trabajo, no de la PC en su salón. Los niños no deberían estar cerca y se pueden restaurar eliminaciones accidentales de las copias de seguridad.
John Gardeniers

Respuestas:

36

La mejor práctica absoluta es Live User, Work Root . El usuario con el que inició sesión cuando presiona actualizar en Falla del servidor cada 5 minutos debe ser un usuario normal. El que use para diagnosticar problemas de enrutamiento de Exchange debe ser Admin. Obtener esta separación puede ser difícil, ya que en Windows al menos requiere sesiones de inicio de sesión duales y eso significa dos computadoras de alguna manera.

  • Las máquinas virtuales funcionan muy bien para esto, y así es como lo resuelvo.
  • He oído hablar de organizaciones que restringen el inicio de sesión de sus cuentas elevadas a ciertas máquinas virtuales especiales alojadas internamente, y los administradores confían en RDP para acceder.
  • UAC ayuda a limitar lo que puede hacer un administrador (acceder a programas especiales), pero las indicaciones continuas pueden ser tan molestas como tener que acceder a otra máquina para hacer lo que necesita hacer.

¿Por qué es esta una mejor práctica? En parte es porque lo dije , y lo mismo hacen muchos otros. SysAdminning no tiene un cuerpo central que establezca las mejores prácticas de ninguna manera definitiva. En la última década, hemos publicado algunas de las mejores prácticas de seguridad de TI, lo que sugiere que solo use privs elevados cuando realmente los necesite. Algunas de las mejores prácticas se establecen a través de la experiencia acumulada por los administradores de sistemas en los últimos 40 años. Un documento de LISA 1993 ( enlace ), un documento de ejemplo de SANS ( enlace , un PDF), una sección de 'controles críticos de seguridad' de SANS toca este ( enlace ).

sysadmin1138
fuente
66
Tenga en cuenta que en Windows 7 la cuenta de administrador es mucho más limitada y no requiere sesiones de inicio de sesión duales. UAC funciona bastante bien. Funciona significativamente menos en Vista.
Ricket
66
@Ricket, no estoy de acuerdo con el comentario sobre el UAC, al menos para los administradores. Lo apagué en mi estación de trabajo porque casi cada pieza de software que uso hace que el UAC me solicite permiso. Eso es muy irritante y me frena tanto que sus aspectos positivos son ampliamente superados por sus negativos. Para que funcione "bastante bien", como usted lo dice, deberíamos poder decirle que siempre permita o no permita el software especificado, pero por supuesto no es tan flexible. En pocas palabras, es un intento inmaduro y mal considerado de lo que algún día podría ser un valioso componente de seguridad.
John Gardeniers
1
^ Tenga en cuenta que el artículo de TechNet vinculado en el comentario anterior es antiguo, escrito antes de Vista (ya que se refiere a su nombre en clave, "Longhorn"). Pero para los usuarios de XP es muy válido. @John Supongo que el kilometraje de todos varía, pero nunca recibo ventanas emergentes UAC y uso bastante software. La única excepción son los instaladores (duh) y el molesto actualizador de Java. Vista era mucho peor, así que si no has probado UAC desde Windows 7, definitivamente recomiendo volver a encenderlo, de lo contrario, supongo que solo estás usando un software desactualizado o mal escrito. No hay forma de que casi cada pieza de software solicite permiso de administrador ...
Ricket
1
@Ricket, claramente utilizamos software muy diferente. Me imagino que también realizamos tareas muy diferentes. El hecho de que el software que USTED usa no active el UAC no significa que se aplique al software utilizado por otros. A medida que ganes experiencia, aprenderás estas cosas. Lo que dije es un hecho. ¿Por qué lo cuestionas?
John Gardeniers
1
@Keith Stokes: ¿Qué le has hecho al pobre PuTTY para que te solicite UAC? ¡PuTTY no necesita elevación para correr!
Evan Anderson
12

Dado que este es un dominio de Windows, es probable que las cuentas que están usando tengan acceso completo a todas las estaciones de trabajo, por lo que si sucede algo malo, puede atravesar la red en segundos. El primer paso es asegurarse de que todos los usuarios realicen el trabajo diario, naveguen por la web, escriban documentos, etc., de acuerdo con el principio de Acceso mínimo del usuario .

Mi práctica es crear una cuenta de dominio y otorgarle a esa cuenta privilegios de administrador en todas las estaciones de trabajo (PC-admin), y una cuenta de dominio separada para el trabajo de administración del servidor (server-admin). Si le preocupa que sus servidores puedan comunicarse entre sí, puede tener cuentas individuales para cada máquina (<x> -admin, <y> -admin). Definitivamente intente usar otra cuenta para ejecutar los trabajos de administrador de dominio.

De esa forma, si está haciendo algo en una estación de trabajo comprometida con la cuenta de administrador de PC, y aprovecha la posibilidad de que tenga privilegios de administrador para intentar acceder a otras máquinas a través de la red, no podrá hacer nada desagradable para sus servidores. Tener esta cuenta también significa que no puede hacer nada a sus datos personales.

Sin embargo, debo decir que en un lugar donde sé dónde trabajó el personal con los principios de LUA, no tuvieron una infestación de virus adecuada durante los tres años que vi; otro departamento en el mismo lugar que tenía a todos con administrador local y personal de TI con administrador de servidor tuvo varios brotes, uno de los cuales tomó una semana de tiempo de TI para limpiar debido a la propagación de la infección a través de la red.

La instalación lleva algún tiempo, pero los ahorros potenciales son enormes si tiene problemas.

Iain Hallam
fuente
Me comporto de esta manera, utilizo una cuenta de dominio para mi trabajo diario y me elevo a mi cuenta de dominio de administrador privilegiado cuando lo necesito. Mis otros compañeros de trabajo se ríen de mí y no puedo esperar a que sus estaciones de trabajo afecten algo de manera desagradable, así que puedo decir que se lo dije.
songei2f
1

Cuentas separadas para tareas separadas es la mejor manera de verlo. El principio del menor privilegio es el nombre del juego. Limite el uso de cuentas "admin" a las tareas que deben realizarse como "admin".

Liam
fuente
1

Las opiniones difieren algo entre Windows y * nix, pero su mención de los administradores de dominio me hace pensar que está hablando de Windows, así que ese es el contexto en el que estoy respondiendo.

En una estación de trabajo, normalmente no debería ser administrador, por lo que la respuesta a su pregunta en la mayoría de los casos será NO. Sin embargo, hay muchas excepciones y realmente depende exactamente de lo que la persona esté haciendo en la máquina.

En un servidor es un tema de mucho debate. Mi opinión es que solo inicio sesión en un servidor para hacer el trabajo de administrador, por lo que no tiene sentido iniciar sesión como usuario y luego ejecutar cada herramienta por separado utilizando run-as, que francamente siempre ha sido un verdadero dolor. en lo que sabes y para la mayoría de los trabajos, simplemente hace que la vida de un administrador sea demasiado difícil y lenta. Debido a que la mayoría del trabajo de administración de Windows se realiza utilizando herramientas de GUI, existe un grado de seguridad que no está presente, por ejemplo, un administrador de Linux que trabaja en la línea de comando, donde un error tipográfico simple podría enviarlo corriendo por la cinta de respaldo de la noche anterior.

John Gardeniers
fuente
+1, "¿Cómo iniciar sesión en un servidor" ES un gran foco de debate.
sysadmin1138
1

mi vida es simple ... la cuenta tiene un nombre distintivo y todos tienen contraseñas diferentes.

Cuenta de Dios - administrador de dominio para hacer todo el trabajo del lado del servidor

cuenta semidiós para administrar las PC - no tiene derechos para compartir / servidores - solo para las PC

Usuario débil: me concedo un usuario avanzado en mi propia PC, pero ni siquiera tengo esos derechos en otras PC

Las razones de la separación son muchas. no debe haber discusión, solo hazlo!

cwheeler33
fuente
Me gusta la separación de privilegios en tres niveles, pero hacer que otros practiquen lo que predicas debe ser un dolor de cabeza.
songei2f
Puede ser una venta difícil en algunos entornos. Pero si puede demostrar su valía ante los formuladores de políticas, entonces ellos lo ayudarán a convertirlo en una política seguida. Ningún ejecutivo quiere perder su compañía cuando existe una solución gratuita y simple.
cwheeler33
Olvidó el n. ° 4: auditar al usuario en el que Dios registra, que de otro modo es independiente de todas las demás cuentas Entonces, si algún hacker hace que tu dios se vuelva vengativo, ya sabes cómo sucedió eso.
Parthian Shot
0

A riesgo de que me voten mal, tengo que decir que depende del flujo de trabajo del administrador. Para mí personalmente, la gran mayoría de las cosas que hago en mi estación de trabajo mientras estoy en el trabajo necesitarán esas credenciales de administrador. Tiene cosas integradas como herramientas de administración de dominio, consolas de administración de terceros, unidades mapeadas, herramientas de acceso remoto de línea de comandos, scripts, etc. La lista continúa. Tener que escribir credenciales para casi cada cosa que abras sería una pesadilla.

Las únicas cosas que generalmente no necesitan privilegios de administrador son mi navegador web, cliente de correo electrónico, cliente de mensajería instantánea y visor de PDF. Y la mayoría de esas cosas permanecen abiertas desde el momento en que inicio sesión hasta el momento en que cierre sesión. Así que inicio sesión con mis credenciales de administrador y luego ejecuto como todas mis aplicaciones de bajo privilegio con una cuenta de bajo privilegio. Es mucho menos complicado y no me siento menos seguro por hacerlo.

Ryan Bolger
fuente
ejecutar como con priv bajo realmente no hace mucho por la seguridad ya que el sistema ya se está ejecutando con una cuenta de administrador. Te has dado una falsa sensación de seguridad. Hazlo al revés, inicia sesión como usuario y luego ejecútalo como administrador. Dése un usuario avanzado para su inicio de sesión si lo desea, PERO NO CORRE COMO ADMINISTRADOR todo el tiempo.
Liam
+1 Como dije en mi respuesta, "realmente depende exactamente de lo que la persona esté haciendo en la máquina". A pesar de toda la teoría y las llamadas "mejores prácticas", hay veces que simplemente no tiene sentido iniciar sesión como usuario. Al menos no en el mundo de Windows.
John Gardeniers
Estoy bastante seguro de que no hay derechos de usuario avanzado
Luke99
@Liam Sin ofender, pero te equivocas al decir que RunAs con bajo priv no hace mucho. Hace exactamente lo que se supone que debe hacer, que es evitar que ese proceso en particular (y sus hijos) hagan cualquier cosa con privilegios elevados. Y esto es perfecto para las aplicaciones que nunca necesitan privs elevados y, en general, también tienden a ser las más atacadas por el malware.
Ryan Bolger el