¿Es una buena práctica tener un inicio de sesión separado para un dominio para administradores de dominio?

33

Por lo general, me gusta configurar inicios de sesión separados para mí, uno con permisos de usuario regulares y otro para tareas administrativas. Por ejemplo, si el dominio era XXXX, configuraría una cuenta XXXX \ bpeikes y una cuenta XXXX \ adminbp. Siempre lo he hecho porque, francamente, no confío en mí mismo para iniciar sesión como administrador, pero en cada lugar en el que he trabajado, los administradores del sistema parecen agregar sus cuentas habituales al grupo Administradores de dominio.

¿Hay alguna mejor práctica? He visto un artículo de MS que parece decir que debes usar Ejecutar como, y no iniciar sesión como administrador, pero no dan un ejemplo de implementación y nunca he visto a nadie más hacerlo.

active-directory security domain-controller best-practices Benjamin Peikes
fuente
1
Como alguien que se ocupa principalmente de Linux / Unix y no es un experto en Windows, ¿no es esto precisamente lo que se supone que arregla UAC? Por lo que quiero decir, para que uno pueda usar una cuenta pero todavía tener solo procesos autorizados, reciba privilegios administrativos.
Dolda2000
@ Dolda2000 UAC era más para usuarios finales con la costumbre de ejecutarse como administrador en su máquina local. Existen preocupaciones adicionales cuando se está ejecutando como administrador de dominio en su máquina local: sus credenciales y acceso se pueden usar para mucho peor que la instalación de un virus en su máquina, ya que tiene derechos elevados para la mayoría de las cosas en todo el dominio
HopelessN00b
1
@ HopelessN00b: ¿Y usted dice que UAC no se aplica a esas cosas? Por qué no? ¿Hay razones técnicas o simplemente falta la implementación?
Dolda2000
2
@ Dolda2000 Bueno, se suponía que UAC solucionaría el problema de que el malware pudiera usar el contexto de usuario administrativo del usuario conectado para instalarse en las PC de los usuarios finales y de los consumidores. Y lo hace También bloquearía que ese vector específico use el contexto de usuario de un administrador de dominio para instalar malware localmente, sin embargo, ese no es el alcance de los problemas de seguridad involucrados en la ejecución como administrador de dominio en lugar de un usuario limitado.
HopelessN00b
1
@ Dolda2000 UAC evita que los procesos ejecuten funciones privilegiadas en la máquina local. Si ha iniciado sesión como administrador de dominio, puede ejecutar comandos privilegiados de forma remota en otras máquinas y se ejecutarán de forma elevada en las máquinas remotas sin un aviso de UAC. Por lo tanto, el malware específicamente diseñado para explotar esto puede infectar todo su dominio (y luego infectar su máquina local usando otra máquina remota) sin que vea un aviso de UAC.
Monstieur

Respuestas:

25

La "Mejor práctica" generalmente dicta LPU (usuario con menos privilegios) ... pero usted está en lo correcto (como ETL y Joe son +1) de que la gente rara vez sigue este modelo.

La mayoría de las recomendaciones son para hacer lo que usted dice ... crear 2 cuentas y no compartir esas cuentas con otros. Una cuenta no debería tener derechos de administrador ni siquiera en la estación de trabajo local que está utilizando en teoría, pero de nuevo quién sigue esa regla, especialmente con UAC en estos días (que en teoría debería estar habilitada).

Sin embargo, existen múltiples factores por los que desea seguir esta ruta. Debe tener en cuenta la seguridad, la conveniencia, la política corporativa, las restricciones regulatorias (si las hay), el riesgo, etc.

Mantener el Domain Adminsy Administratorsnivel de dominio grupos agradable y limpio, con un mínimo de cuentas es siempre una buena idea. Pero no solo comparta cuentas de administrador de dominio comunes si puede evitarlo. De lo contrario, existe el riesgo de que alguien haga algo y luego señale con el dedo entre los administradores de sistemas de "no fui yo quien utilizó esa cuenta". Es mejor tener cuentas individuales o usar algo como CyberArk EPA para auditarlo correctamente.

También en estas líneas, su Schema Adminsgrupo siempre debe estar VACÍO a menos que esté haciendo un cambio en el esquema y luego ingrese la cuenta, realice el cambio y elimine la cuenta. Lo mismo podría decirse Enterprise Adminsespecialmente en un modelo de dominio único.

Tampoco debe permitir cuentas privilegiadas para VPN en la red. Use una cuenta normal y luego eleve según sea necesario una vez dentro.

Finalmente, debe usar SCOM o Netwrix o algún otro método para auditar cualquier grupo privilegiado y notificar al grupo apropiado en TI cada vez que alguno de los miembros de este grupo haya cambiado. Esto te dará un aviso para decir "espera un minuto, ¿por qué es tan y tan repentinamente un administrador de dominio?" etc.

Al final del día, hay una razón por la que se llama "Mejor práctica" y no "Solo práctica" ... hay opciones aceptables hechas por grupos de TI basadas en sus propias necesidades y filosofías sobre esto. Algunos (como dijo Joe) son simplemente vagos ... mientras que otros simplemente no les importa porque no están interesados ​​en tapar un agujero de seguridad cuando ya hay cientos e incendios diarios para luchar. Sin embargo, ahora que ha leído todo esto, considérese uno de los que luchará la buena batalla y hará lo que pueda para mantener las cosas seguras. :)

Referencias

http://www.microsoft.com/en-us/download/details.aspx?id=4868

http://technet.microsoft.com/en-us/library/cc700846.aspx

http://technet.microsoft.com/en-us/library/bb456992.aspx

El limpiador
fuente
El privilegio mínimo se aplica principalmente a las cuentas que no son de administrador. La separación de credenciales no ayuda desde una perspectiva de menor privilegio si la credibilidad se usa en un sistema sucio comprometido por la credibilidad de menor privilegio.
Jim B
Es cierto, pero considero que "LPU" también significa solo dar acceso a grupos privilegiados según sea necesario. Muchos departamentos de TI. otorgue acceso DA simplemente porque es más fácil que lidiar con la gran cantidad de solicitudes de acceso.
TheCleaner
28

AFAIK, se considera la mejor práctica para los administradores de dominio / red tener una cuenta de usuario estándar para iniciar sesión en su estación de trabajo para realizar tareas rutinarias de "usuario" (correo electrónico, documentación, etc.) y tener una cuenta administrativa con el nombre apropiado. membresía grupal para permitirles realizar tareas administrativas.

Este es el modelo que trato de seguir, aunque es difícil de implementar si el personal de TI existente no está acostumbrado a hacerlo de esta manera.

Personalmente, si encuentro un personal de TI que es reticente a moverse en esta dirección, creo que son flojos, inexpertos o no entienden la práctica de la administración del sistema.

joeqwerty
fuente
12

Esta es una mejor práctica por razones de seguridad. Como otros han mencionado, le impide hacer algo accidentalmente o que se vea comprometido por navegar por la red. También limita el daño que puede causar su navegación personal: idealmente, su trabajo diario ni siquiera debería tener privilegios de administrador local, mucho menos administrador de dominio.

También es increíblemente útil contrarrestar Pass the Hash secuestro de tokens de autenticación o Windows. ( Ejemplo ) Una prueba de penetración adecuada lo demostrará fácilmente. Es decir, una vez que un atacante obtiene acceso a una cuenta de administrador local, utilizará ese poder para migrar a un proceso con un token de administrador de dominio. Entonces efectivamente tienen esos poderes.

En cuanto a un ejemplo de personas que usan esto, ¡mi compañía lo hace! (200 personas, equipo de operaciones de 6 hombres) De hecho, nuestros administradores de dominio tienen -Tres- cuentas. Uno para uso diario, uno para administración de PC / instalación de software localmente. El tercero es las cuentas de administrador de dominio, y se usa únicamente para administrar servidores y el dominio. Si quisiéramos ser más paranoicos / seguros, probablemente un cuarto estaría en orden.

Christopher Karel
fuente
Tres cuentas ... interesantes ... Tengo que considerar eso para el inminente cambio de dominio en mi empresa ...
pepoluan
1
Lo mismo en mi compañía. Cuenta de escritorio normal, cuenta de administrador para acceso de administrador local en computadoras cliente Y una cuenta de administrador de servidor separada. Ambas cuentas de administrador no reciben correo electrónico ni acceso a Internet. El único problema es que la cuenta de administrador de servidor necesita derechos de administrador local en la estación de trabajo o UAC interfiere con la ejecución local de MMC con RunAs como la cuenta de administrador de servidor. (Puede usar RDP en un servidor y ejecutar todo desde allí, pero eso a veces es un obstáculo si necesita copiar / pegar o comparar con los datos que se ejecutan en la cuenta de escritorio).
Tonny
Nos las arreglamos bastante bien con nuestros Administradores de dominio RDP en un servidor para su trabajo de administración. Copiar y pegar realmente se mueve a través de RDP increíblemente bien. Y ese servidor único tiene todas nuestras utilidades de administración ya instaladas. Pero dicho esto ... creo que el grupo de administradores de dominio tiene derechos de administrador local por defecto. Prefiero que esas credenciales nunca toquen los escritorios, para evitar el robo de tokens y cosas por el estilo.
Christopher Karel
8

En mi empresa anterior, insistí en que todos los administradores del sistema obtuvieran 2 cuentas, es decir:

  • DOMINIO \ st19085
  • DOMINIO \ st19085a ("a" para administrador)

Los colegas se mostraron reacios al principio, pero se convirtió en una regla general, después de que la típica pregunta sobre la amenaza del virus "obtuvimos un antivirus" fue desacreditada por una base de datos de virus obsoleta ...

  • Como mencionó, se podría usar el comando RUNAS (solía tener un script por lotes, presentando un menú personalizado, iniciando tareas específicas con el comando RUNAS).

  • Otra cosa es el uso de Microsoft Management Console , puede guardar las herramientas que necesita e iniciarlas con un clic derecho , Ejecutar como ... y su cuenta de administrador de dominio.

  • El último pero no menos importante, solía lanzar un shell de PowerShell como administrador de dominio, y lanzar las cosas que necesitaba desde allí.
Camille Le Mouëllic
fuente
66
Esta es esencialmente la implementación que he usado (y forcé a todos los demás) en todas partes en las que he tenido voz. Usted inicia sesión en su computadora y realiza sus tareas diarias como un usuario normal, como todos los demás. Cuando necesita derechos de administrador, usted Run As/ Run as Administratory usa la cuenta de usuario administrativo. Solo usar una cuenta para todo es una mala práctica de seguridad, y en mi experiencia, las personas que se oponen son las personas que más necesitan aislarse de ejecutar todo como administrador de todos modos.
HopelessN00b
+1 gran observación de @ HopelessN00b: "las personas que se oponen son las personas que más necesitan estar aisladas de ejecutar todo como administrador de todos modos"
mr.b
En realidad, debería estar usando una estación de trabajo separada que se ha bloqueado para ejecutar solo admin
Jim B
4

He trabajado en lugares que lo hacen en ambos sentidos, y generalmente prefiero tener una cuenta separada. De hecho, es mucho más fácil, al contrario de lo que los usuarios / clientes reacios de joeqwerty parecen pensar:

Ventajas de usar su cuenta diaria normal para actividades de administración de dominio: ¡Sí, todas las herramientas administrativas funcionan en mi estación de trabajo sin runas! W00t!

Contras de usar su cuenta normal todos los días para actividades de administración de dominio: Miedo. ;) El técnico de escritorio le pide que mire una máquina porque no puede descubrir qué le sucede, inicie sesión, tiene un virus. Desenchufe el cable de red, cambie la contraseña (en otro lugar). Cuando los gerentes le preguntan por qué no recibe su correo electrónico de trabajo en su blackberry personal a través de su proveedor de teléfono celular, puede explicar que almacenan su contraseña de ADMINISTRADOR DE DOMINIO en sus servidores cuando lo hace. Etc., etc. Su contraseña altamente privilegiada se usa para cosas como ... webmail, vpn, inicie sesión en esta página web. (Ew.) (Para ser justos, mi cuenta fue bloqueada de la página web "cambie su contraseña", así que al menos hubo eso. Si quisiera cambiar mi contraseña LDAP anterior, que la página web sincronizó, tendría que ir al escritorio de un compañero de trabajo.)

Ventajas de usar una cuenta diferente para las actividades de administración de dominio: Intención. Esa cuenta está destinada a las herramientas administrativas, etc., y no a correo electrónico, correo web, vpn, inicios de sesión de páginas web, etc. Por lo tanto, menos temor de que mis actividades normales de "usuario" expongan todo el dominio al riesgo.

Contras de usar una cuenta diferente para las actividades de administración de dominio: tengo que usar runas para herramientas administrativas. Eso no es tan doloroso.

La versión TL; DR: Tener una cuenta separada es simplemente más fácil. También es la mejor práctica, ya que es el privilegio menos necesario .

Katherine Villyard
fuente
2

Menos Priv debería ser razón suficiente, pero en caso de que no sea así, también considere que si usa una cuenta con los mismos permisos que sus usuarios, es más probable que sufra cualquier problema que ellos tengan, y puede depurarlos en su propia cuenta ¡también, a menudo incluso antes de que los hayan visto!

Nada peor que un administrador que dice "funciona para mí" y cierra el ticket :)

Tom Newton
fuente
+1 por reconocer que el uso diario de una cuenta a nivel de usuario mejora la eficacia de la resolución de problemas.
Digo reinstalar a Mónica el
1

En teoría, es mejor que no utilice un inicio de sesión de administrador superior para sus actividades diarias. Hay muchas razones, como los virus: si obtiene un virus y está ejecutando el inicio de sesión de Administrador de dominio, entonces el virus tiene una manera fácil de ingresar a su red, ¡acceso completo! Los posibles errores son más fáciles de asegurar, pero no lo veo como el mayor desafío. Si recorre su campus e inicia sesión con su administrador superior, alguien puede estar buscando su contraseña por encima de su hombro. Todo tipo de cosas así.

¿Pero es práctico? Me resulta difícil seguir esa regla, pero me gustaría seguirla.

ETL
fuente
0

agregando mis 2 centavos basados ​​en la experiencia real ...

saber y estar al tanto de que está utilizando una cuenta de administrador para su trabajo diario lo hace muy cauteloso con lo que haga. para que no solo haga clic en un correo electrónico / enlace o simplemente ejecute cualquier aplicación sin verificación triple. Creo que te mantiene alerta.

el uso de una cuenta con menos privilegios para su trabajo diario lo hace descuidado.

badbanana
fuente
Esa es una buena teoría, pero en mi experiencia no funciona (al menos no para todos). He visto a colegas eliminar grandes cantidades de datos de los sistemas de producción por errores (un espacio en blanco en el lugar equivocado en una línea de comando es suficiente).
Gerald Schneider
no es una teoría, lo practicamos aquí ;-) en mi experiencia, investigas a las personas a las que les darás tales privilegios y no solo los entregas para pedirlos.
badbanana