我注意到我们的一个域中有一个用户定期使用其域管理员凭据登录。
我一直都知道这是一个坏主意,但希望有人可以指出可能发生的漏洞、问题、安全漏洞等的具体例子。
答案1
严格回答你的问题,使用rm
或总是会犯一些老问题del
。使用这些工具时出错并不好玩。我(咳咳)有一个朋友可能不小心关闭了服务器,而我——呃,他——只是想注销。
但如果这个人确实需要这些凭证,那也不错。我用我的许多每天多次,但作为系统管理员,我到处都需要它们。也就是说,我不需要管理员凭据来阅读电子邮件和浏览网页。
如果您身处受监管的行业(PCI DSS、SarbOx、HIPAA),您可能需要尽可能地将职责分开,这样管理员就有可能将公司(甚至可能是他或她自己)置于法律风险之中。坦率地说,这最终让我们更好地管理管理员凭据。
因此,我相信,真正的收获是找出为什么用户正在使用域管理员凭据。如果用户正在创建资源、安装软件等,那么也许这就是他们所需要的。如果您有时间,您可以随时委派大量 AD 个人权限——我们让我们的帮助台人员将 PC 加入域并更改密码,但仅此而已。但如果您是管理员,仅使用域管理员凭据登录并不一定意味着有理由感到恐慌。
答案2
任何人都不应该让他们的日常用户帐户成为“域管理员”帐户,并且任何人都不应该让他们的日常用户帐户对多台机器具有“管理”访问权限。
为什么?蠕虫就是其中之一。被蠕虫感染后,蠕虫可能会尝试通过管理共享感染网络上的每台计算机 - 如果您是域管理员,则意味着每台计算机 - 工作站或服务器 - 都可能受到严重感染,因为您(或相关人员)懒得使用 RunAs 或右键单击应用程序并选择“以管理员身份运行”。
这就是我能想到的认为这是一个坏主意的最大原因。
一些公司可能会创建“服务技术人员”组并将这些组放入所有工作站的本地管理员组中,以便服务技术人员始终拥有适当的访问权限而无需访问服务器 - 这很好 - 但是,即使是服务技术人员也需要非特权帐户。
让用户以“日常”帐户登录,并在需要执行某些操作时为他们提供管理员帐户。如果必须,请授予他们经常使用的本地笔记本电脑和台式机的管理员权限,但不是所有系统。然后,不要让他们以特权用户的身份访问打印机和其他“日常资源”,而只能以日常用户的身份访问。
说服人们遵守规则可能会很困难 - 特别是当他们很聪明时(我可以想到几种绕过我自己的建议的方法),但如果即使只有一半的 IT 人员遵循正确的程序,那么问题就有可能减少 50%。
答案3
很抱歉重新提起旧话题,但这里没有涉及一个问题。如果用户不是域管理员,那么要执行需要域管理员权限的任务,他们将必须使用共享帐户登录。这本身就违反了许多与审计跟踪和身份管理相关的监管问题。使用 7 和 2008/R2 中的 UAC,只要域管理员提升到“真实”域管理员帐户,他们所做的所有操作都会被记录下来 - 您的普通帐户只是名义上的域管理员。因此,除非您使用“以管理员身份运行”明确启动命令提示符/资源管理器窗口/等,否则不会有任何风险。如果您这样做 - 它会被记录下来。