Сколько учетных записей должно быть у администратора?

Question

[Николай Корабельников]

Представьте такую ситуацию:
В доменной инфраструктуре есть несколько администраторов и сотрудников ИТ с расширенными правами.
Повседневные задачи все выполняют с правами простого пользователя. Чтобы не скомпрометировать учетную запись (УЗ) доменного администратора, ее использование разрешено только для задач, где права доменного администратора необходимы. Сотрудникам ИТ, которые должны иметь права локального администратора(например, для установки ПО) на свой или другие ПК создается отдельная (3я) доменная УЗ, которая имеет права локального администратора на доменных ПК.
Еще у сотрудников ИТ есть административный доступ в различные системы, такие как: антивирус, 1С, сервер аутентификации и пр. Все они используют доменную аутентификацию.
С одной стороны логично использовать для этих систем УЗ простого пользователя, так как это: 1) не задача доменного админа 2) не задача локального админа. С другой стороны, УЗ простого пользователя становится совсем не простой.
Какое ваше мнение, как правильно организовать доступ администраторов к ИТ системам с доменной аутентификацией?

Comments

[pavelsha]

Ваш вопрос можно сформулировать в виде опроса.
У Вас ведь одна из задач собрать мнение профессионального сообщества?

Судя по профилю у Вас уже есть свое мнение и свой опыт по данной теме.

[Николай Корабельников]

Все верно: моя задача - получить разные мнения, варианты и аргументы.
Голосование за разные ответы можно рассматривать как опрос.

Answer 1

[Рональд Макдональд]

Накрутите админских групп типа antivirus_rw, freepbx_rw, пропишите эти группы в своих сервисах, как админские и накидывайте группы на нужных сотрудников.

Answer 2

[Alexey Dmitriev]

Правильно - использовать отдельную или отдельные учетные записи для системных администраторов и ни в коем случае не добавлять какие либо дополнительные права на учетные записи, под которыми они логинятся на свои компы.
Сколько будет таких дополнительных учетных записей - зависит от задач, инфраструктуры, уровней и т.п.

Comments

[Николай Корабельников]

Вы считаете, чтоесли у администратора уже есть:
1) учетка обычного доменного пользователя
2) учетка доменого пользователя с правами локального админа
3) учетка доменного админа
, ему для работы с системами, которые используют LDAP аутентификацию надо делать для кажой такой системы новую учетную запись? Например:
4) администратор антивируса
5) администратор телефонии
6) администратор 1с
7) администртатор сервера аутентификации
8)...

Итого может быть 5-10 доменных учетоку одного пользователя. Я думаю, что проблема тут возникнет с тем, что он просто не сможет запомнить столько логинов-паролей и в итоге система станет еще хуже, чем, если бы он использовал учетную запись простого доменного пользователя для доступа к таким системам.

Ну крайний случай, который я рассматриваю - 4я учетная запись - одна для всех систем администрирования.

[Alexey Dmitriev]

Николай Корабельников, Я не имел ввиду, что должна быть отдельная учетная запись для каждой функции или сервиса.
Я всего лишь сказал, что не нужно давать никаких прав на учетку обычного юзера, а создавать дополнительные. Сколько их будет - зависит от инфраструктуры и требований к безопасности.

[Николай Корабельников]

Именно это я и хочу узнать - опыт сообщества или хотя бы общие мысли и аргументы.
Можно поинтересоваться, чем вы руководствуетесь, говоря, что надо создавать дополнительные учетные записи?

[Alexey Dmitriev]

Николай Корабельников, здравым смыслом, оценкой текущей структуры и требованиями соответствующих служб.

Общие мысли могут быть абсолютно разные в зависимости от запросов.
Кто-то выделяет просто отдельную учетную запись администратора и дает все права нужные ей, кто-то делит инфраструктуру на уровни доступа и выдает отдельные учетные записи в каждом уровне где они нужны, кто-то использует PAM и выдает временные права на учетную запись по запросу.

[Николай Корабельников]

Алексей, спасибо за ваш подробный ответ.

Answer 3

[Akina]

Сколько учетных записей должно быть у администратора?

У одного администратора должна быть одна учётная запись. Которая является членом кучи групп, и каждая из групп даёт минимально необходимый набор прав для выполнения вполне определённой функции/работы.

Если администратору нужна вторая учётная запись, для одновременной работы с двумя записями, или учётная запись с некими ограниченными правами - он просто создаёт такую учётную запись, ограничивая срок её действия необходимым периодом времени, либо, если таковая уже существует, разблокирует её на нужный срок и при необходимости корректирует набор её прав включением в нужные группы либо исключением из ненужных групп.

Answer 4

[pindschik]

Очень хорошо, когда у разных уровней привилегий админов есть разные учетки и их права не пересекаются (на высшем уровне администрирования). Если одна компрометируется - остальные остаются. Если админ всюду будет ходить с одной учеткой - то однажды он ее где-то сольет.
Пользователям - да, выделяйте локальных админов. И я б еще порекомендовал локальным админам закрыть сетевой вход на рабочие станции. Иначе однажды словите червя, который заразит от одного админа всю сеть.

1С, антивирус и т.п. - это однозначно пользователь и его учетка, а вот внутренние межсерверные дела, например между серверами 1С и SQL - там отдельная своя, может даже и с доменом не связанная. И вообще следует танцевать в таких продуктах от их специфических рекомендаций по безопасности. Зачастую и админская учетка для взаимодействия разных служб не требуется, когда грамотно настроено.

Вообще поставьте себя на место злоумышленника, который купил в сети базу скомпрометированных фишингом и троянами учеток вашей организации, ПО для криптовымогания и эксплойты против антивирусов. Вот представьте, что он теперь может войти по удаленке, а как войдет - воспользуется еще одним инструментом - головным мозгом. Осмотрится и сделает всё правильно, чтоб у вас потом подгорало и иного выхода, как платить выкуп - не было.
Думайте, отталкиваясь от подобной парадигмы. Сильные стороны и недостатки ваших решений в свете такого подхода - сразу намного понятней. Сразу видны настоящие цели и задачи...

Ну и в конце концов - AD ведь предоставляет любую нужную степень абстрагирования прав. Где-то надо поименно пользователей прописывать в доступе, а где -то применять несколько вложенных групп.