我正在尝试加强我的域安全性,这个过程的一部分(就像在 RTFM 之后一样)是:
- 服务管理员帐户 - 用于服务(防病毒、spiceworks、任务计划程序、NAS 备份、SQL 管理等)
- 适用于管理员(CIO、CTO、RD Mgr...)的个人管理员帐户
- 尝试将域管理员的使用限制为 NULL
然而,我在脑子里无法组织这些帐户应该如何:
对于服务 ADM 帐户 - 它非常清晰(只能访问他们需要执行的操作,并删除 GUI 访问权限)
但是对于个人管理员来说:他们(我和其他人)需要具备什么资质?
由于我将创建完全相同的工作,仅以 adm.myuser.name 身份使用密码登录,我应该将自己添加到管理员组吗?
- 这样做确实有助于控制用户、限制共享账户等,但应该这样做吗?
拥有这样的个人域管理员的最佳做法是什么?
一旦我开始走这条路,就会有更多的用户需要我控制和监控 - 我该怎么做? - 我如何监控我的 srv.adm.sql 用户?
答案1
对于个人管理员账户,有两条路可走:
- 每个人都有一个个人管理员帐户,以及一个普通用户帐户。
- 每个人都有一个个人管理员帐户,用于日常事务。
显然,第一种是更安全的选择,但现实情况表明,许多管理员只会使用前者,而不会考虑后者。这就是为什么会有第二种选择。单独的管理员帐户可以提高环境的可审计性,这是正确且正确的做法。
使用两个帐户(一个普通帐户和一个高级帐户)是完全可行的,但要真正成功使用需要一些工作。Windows 的问题在于,它有时只能以高级帐户的身份“运行”某些管理工具。一种选择是将终端服务器放置在管理员必须登录才能使用其高级帐户的地方。另一种选择是仅供管理员使用的虚拟机。
至于监控它们的使用情况,它需要某种形式的安全监控环境,你可能有也可能没有。有很多方法可以做到这一点,这超出了这个问题的范围。如果你采用“单独的管理员帐户,登录限制在某些管理员工作站”路线,你可以直接监控这些安全日志,这可能比环境范围的解决方案更容易。