问域管理安全风险

EN

要严格地回答你的问题，rm或del总是有很好的旧错误。那些工具的错误并不有趣。我(嗯)有一个朋友，他可能在我--他--只是想退出的时候，意外地关闭了一台服务器。

但如果这个人确实需要那些证件，那也不是个坏主意。我每天都和我的人一起登录很多次，但是作为一个系统管理员，我需要把它们都放在上面。这就是说，我不需要管理员凭证来阅读电子邮件和浏览网页。

如果你在一个受监管的行业(PCI，SarbOx，HIPAA)，你可能被要求尽可能地把你的职责分开，这样一个管理员就可以把公司(可能是他本人)置于法律的危险之中。坦白地说，这就是我们最终把我们的管理凭证做得更好的原因。

因此，我相信真正需要了解的是，为什么用户使用域管理凭据。如果用户正在创建资源、安装软件等，那么也许这就是他们所需要的。如果你有时间的话，你可以把大量的AD个人特权委托出去--我们让服务台的人加入个人电脑进入域名并更改密码，但仅此而已。但是，只要登录域管理凭据，如果您是管理员，并不一定意味着有理由感到惊慌。

没有人应该拥有他们每天的用户帐户是一个“域管理”帐户，也没有人应该有一个每天的用户帐户有“管理”访问超过少数几台机器。

为什么？比如虫子。被蠕虫感染，蠕虫可能试图通过管理共享感染网络上的每一台机器--如果您是域管理员，这意味着每台计算机--工作站或服务器--都可能受到严重感染，因为您(或有关人员(S))太懒，不愿使用RunAs，或者右击应用程序并选择“以管理员身份运行”。

这将是我能想到为什么这是个坏主意的最大原因。

一些公司可能会创建“服务技术员”组，并将这些组放在所有工作站的本地管理员组中，这样服务技术人员就可以在不访问服务器的情况下进行适当的访问--这是很棒的--但是，即使是服务技术人员也需要非特权帐户。

让用户登录作为他们的“每天”帐户，并为他们提供管理帐户时，他们需要做些什么。如果必须的话，给他们在他们经常使用的本地笔记本电脑和台式机上的管理员权限，但不是所有的系统。然后，不要让他们访问打印机和其他“每天的资源”作为他们的特权用户，只是作为他们的每天的用户。

说服人们遵守规则是很困难的--尤其是当他们很聪明的时候(我可以想出几种方法来绕过我自己的建议，但如果有一半的IT员工遵循正确的程序，那么问题就可能减少50%。)

很抱歉恢复了一条旧的线索，但有一个问题没有在这里讨论。如果用户不是域管理员，那么要执行需要域管理特权的职责，他们必须使用共享帐户登录。这本身就违反了与审计跟踪和身份管理有关的许多监管问题。在7和2008/R2中使用UAC，每当将域管理提升到“真实”域管理帐户时，所有的域管理操作都会被记录下来--您的正常帐户只是名义上的域管理。因此，除非您以“”显式启动命令提示符/资源管理器窗口/etc，否则没有风险。如果你这么做了-它被记录下来了。