nmk2002
@nmk2002
работаю в ИБ

Сколько учетных записей должно быть у администратора?

Представьте такую ситуацию:
В доменной инфраструктуре есть несколько администраторов и сотрудников ИТ с расширенными правами.
Повседневные задачи все выполняют с правами простого пользователя. Чтобы не скомпрометировать учетную запись (УЗ) доменного администратора, ее использование разрешено только для задач, где права доменного администратора необходимы. Сотрудникам ИТ, которые должны иметь права локального администратора(например, для установки ПО) на свой или другие ПК создается отдельная (3я) доменная УЗ, которая имеет права локального администратора на доменных ПК.
Еще у сотрудников ИТ есть административный доступ в различные системы, такие как: антивирус, 1С, сервер аутентификации и пр. Все они используют доменную аутентификацию.
С одной стороны логично использовать для этих систем УЗ простого пользователя, так как это: 1) не задача доменного админа 2) не задача локального админа. С другой стороны, УЗ простого пользователя становится совсем не простой.
Какое ваше мнение, как правильно организовать доступ администраторов к ИТ системам с доменной аутентификацией?
  • Вопрос задан
  • 788 просмотров
Пригласить эксперта
Ответы на вопрос 4
Zoominger
@Zoominger Куратор тега Системное администрирование
System Integrator
Накрутите админских групп типа antivirus_rw, freepbx_rw, пропишите эти группы в своих сервисах, как админские и накидывайте группы на нужных сотрудников.
Ответ написан
Комментировать
SignFinder
@SignFinder
Wintel\Unix Engineer\DevOps
Правильно - использовать отдельную или отдельные учетные записи для системных администраторов и ни в коем случае не добавлять какие либо дополнительные права на учетные записи, под которыми они логинятся на свои компы.
Сколько будет таких дополнительных учетных записей - зависит от задач, инфраструктуры, уровней и т.п.
Ответ написан
@Akina
Сетевой и системный админ, SQL-программист.
Сколько учетных записей должно быть у администратора?

У одного администратора должна быть одна учётная запись. Которая является членом кучи групп, и каждая из групп даёт минимально необходимый набор прав для выполнения вполне определённой функции/работы.

Если администратору нужна вторая учётная запись, для одновременной работы с двумя записями, или учётная запись с некими ограниченными правами - он просто создаёт такую учётную запись, ограничивая срок её действия необходимым периодом времени, либо, если таковая уже существует, разблокирует её на нужный срок и при необходимости корректирует набор её прав включением в нужные группы либо исключением из ненужных групп.
Ответ написан
Комментировать
pindschik
@pindschik
ФЫВА ОЛДЖ
Очень хорошо, когда у разных уровней привилегий админов есть разные учетки и их права не пересекаются (на высшем уровне администрирования). Если одна компрометируется - остальные остаются. Если админ всюду будет ходить с одной учеткой - то однажды он ее где-то сольет.
Пользователям - да, выделяйте локальных админов. И я б еще порекомендовал локальным админам закрыть сетевой вход на рабочие станции. Иначе однажды словите червя, который заразит от одного админа всю сеть.

1С, антивирус и т.п. - это однозначно пользователь и его учетка, а вот внутренние межсерверные дела, например между серверами 1С и SQL - там отдельная своя, может даже и с доменом не связанная. И вообще следует танцевать в таких продуктах от их специфических рекомендаций по безопасности. Зачастую и админская учетка для взаимодействия разных служб не требуется, когда грамотно настроено.

Вообще поставьте себя на место злоумышленника, который купил в сети базу скомпрометированных фишингом и троянами учеток вашей организации, ПО для криптовымогания и эксплойты против антивирусов. Вот представьте, что он теперь может войти по удаленке, а как войдет - воспользуется еще одним инструментом - головным мозгом. Осмотрится и сделает всё правильно, чтоб у вас потом подгорало и иного выхода, как платить выкуп - не было.
Думайте, отталкиваясь от подобной парадигмы. Сильные стороны и недостатки ваших решений в свете такого подхода - сразу намного понятней. Сразу видны настоящие цели и задачи...

Ну и в конце концов - AD ведь предоставляет любую нужную степень абстрагирования прав. Где-то надо поименно пользователей прописывать в доступе, а где -то применять несколько вложенных групп.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы