Question Mauvais pour être connecté en tant qu'administrateur tout le temps?


Au bureau où je travaille, trois des autres membres du personnel informatique sont connectés en permanence à leur ordinateur avec des comptes membres du groupe des administrateurs de domaine.

Le fait de me connecter avec des droits d'administrateur (que ce soit local ou pour le domaine) m'inquiète sérieusement. En tant que tel, pour un usage informatique quotidien, j’utilise un compte qui n’a que des privilèges d’utilisateurs réguliers. J'ai également un compte différent qui fait partie du groupe des administrateurs de domaine. J'utilise ce compte lorsque je dois faire quelque chose qui nécessite des privilèges élevés sur mon ordinateur, sur l'un des serveurs ou sur l'ordinateur d'un autre utilisateur.

Quelle est la meilleure pratique ici? Les administrateurs réseau doivent-ils être connectés en permanence avec des droits sur l'intégralité du réseau (ou même sur leur ordinateur local)?


20
2018-01-20 01:44


origine


J'ai toujours pensé que c'était stupide. Je n'ai jamais entendu parler d'une seule bonne raison de le faire. Peut-être donner des comptes limités aux parents sur Windows mais nous parlons de notre utilisation des comptes
Avez-vous déjà vu un enfant courir en cliquant sur son ordinateur? Que diriez-vous de supprimer accidentellement le partage de données principal au lieu de votre dossier mp3. - Barfieldmv
quelqu'un s'il vous plaît ajouter un tag "windows" à cette question - JoelFan
@Barfieldmv, cette question concerne un environnement de travail et non le PC de votre salon. Les enfants ne devraient pas être à proximité et les suppressions accidentelles peuvent être restaurées à partir des sauvegardes. - John Gardeniers


Réponses:


La meilleure pratique absolue consiste à Utilisateur en direct, racine de travail. L'utilisateur auquel vous êtes connecté lorsque vous cliquez sur Actualiser sur l'erreur de serveur toutes les 5 minutes doit être un utilisateur normal. Celui que vous utilisez pour diagnostiquer les problèmes de routage Exchange doit être Admin. Obtenir cette séparation peut s'avérer difficile, car Windows requiert au moins deux sessions de connexion, ce qui implique deux ordinateurs.

  • Les machines virtuelles fonctionnent vraiment bien pour cela, et c'est comme ça que je le résous.
  • J'ai entendu parler d'organisations qui limitent leurs comptes avec privilèges d'ouverture de session à certaines machines virtuelles spéciales hébergées en interne, et les administrateurs dépendent de RDP pour y accéder.
  • Le contrôle de compte d'utilisateur permet de limiter les tâches qu'un administrateur peut faire (accès à des programmes spéciaux), mais les invites incessantes peuvent être aussi ennuyeuses que de devoir se connecter à une autre machine pour faire ce qui doit être fait.

Pourquoi est-ce une pratique exemplaire? En partie c'est Parce que je l'ai ditet beaucoup d'autres. SysAdminning ne dispose pas d'un organisme central qui définit les meilleures pratiques de manière définitive. Au cours des dix dernières années, certaines meilleures pratiques en matière de sécurité informatique ont été publiées, suggérant que vous n'utilisiez des privilèges élevés que lorsque vous en avez réellement besoin. certaines des meilleures pratiques sont définies par la gestion de l'expérience des administrateurs système au cours des 40 dernières années. Un article de LISA 1993 (lien), un exemple de papier de SANS (lien, un PDF), une section de «contrôles de sécurité critiques» de SANS aborde ce sujet (lien).


36
2018-01-20 01:49



Notez que dans Windows 7, le compte Administrateur est beaucoup plus limité et ne nécessite pas de session de connexion double. UAC fonctionne assez bien. Cela fonctionne beaucoup moins dans Vista. - Ricket
@Ricket, je ne suis pas d'accord avec le commentaire à propos de l'UAC, du moins pour les administrateurs. Je l'ai désactivé sur mon poste de travail car presque chaque logiciel que j'utilise provoque le contrôle de compte d'utilisateur m'a demandé l'autorisation. C'est tellement irritant et ça me ralentit tellement que ses aspects négatifs l'emportent largement sur ses avantages. Pour fonctionner "très bien", comme vous dites, nous devrions pouvoir lui dire de toujours autoriser ou interdire les logiciels spécifiés, mais bien sûr, ce n'est pas si flexible. En termes simples, il s’agit d’une tentative immature et inconsidérée de créer un élément de sécurité précieux. - John Gardeniers
^ Notez que l'article TechNet lié au commentaire ci-dessus est ancien, écrit avant Vista (puisqu'il fait référence à son nom de code, "Longhorn"). Mais pour les utilisateurs de XP, c'est très valable. @ John Je suppose que le kilométrage de chacun varie, mais je ne reçois jamais de popups UAC et j'utilise pas mal de logiciels. La seule exception concerne les installateurs (duh) et le gênant programme de mise à jour Java. Vista était bien pire, donc si vous n'avez pas essayé UAC depuis Windows 7, je vous recommande vivement de le réactiver, sinon je suppose que vous utilisez simplement un logiciel obsolète / mal écrit. Il est impossible que presque chaque logiciel demande l'autorisation de l'administrateur ... - Ricket
@Ricket, nous utilisons clairement des logiciels très différents. J'imagine que nous effectuons également des tâches très différentes. Le fait que le logiciel utilisé par VOUS ne déclenche pas le contrôle de compte d'utilisateur ne signifie pas que cela s'applique au logiciel utilisé par d'autres. En acquérant de l'expérience, vous apprendrez ces choses. Ce que j'ai dit est un fait. Pourquoi le remets-tu en question? - John Gardeniers
@ Keith Stokes: Qu'avez-vous fait au pauvre PuTTY pour qu'il vous invite à demander le contrôle de compte d'utilisateur? PuTTY n'a pas besoin d'altitude pour courir! - Evan Anderson


Comme il s’agit d’un domaine Windows, il est probable que les comptes qu’ils utilisent disposent d’un accès réseau complet à tous les postes de travail. Par conséquent, en cas de problème, le problème peut se produire sur le réseau en quelques secondes. La première étape consiste à s’assurer que tous les utilisateurs travaillent au quotidien, naviguent sur le Web, écrivent des documents, etc. conformément au principe de Moins d'accès utilisateur.

Mon travail consiste ensuite à créer un compte de domaine et à lui attribuer les privilèges d’administrateur sur tous les postes de travail (PC-admin), ainsi qu’un compte de domaine distinct pour le travail d’administrateur de serveur (server-admin). Si vous craignez que vos serveurs puissent communiquer entre eux, vous pouvez avoir des comptes individuels pour chaque ordinateur (<x> -admin, <y> -admin). Essayez certainement d’utiliser un autre compte pour exécuter les travaux d’administrateur du domaine.

Ainsi, si vous utilisez quelque chose sur un poste de travail compromis avec le compte PC-admin et que vous possédez des privilèges d'administrateur pour essayer de vous connecter à d'autres ordinateurs sur le réseau, vous ne pourrez rien faire. méchant à vos serveurs. Avoir ce compte signifie également qu'il ne peut rien faire pour vos données personnelles.

Cependant, je dois dire que dans un endroit où je sais que le personnel a appliqué les principes de la LUA, il n’a pas été infesté par le virus pendant les trois années que j’ai vues; un autre service dans le même lieu, où toutes les personnes ayant un administrateur local et le personnel informatique avec un administrateur de serveur, a eu plusieurs éclosions, dont l'une a pris une semaine de temps informatique à nettoyer en raison de la propagation de l'infection via le réseau.

Cela prend un peu de temps à mettre en place, mais les économies potentielles sont énormes si vous rencontrez des problèmes.


12
2018-01-20 04:16



Je me comporte de cette façon et utilise un compte de domaine pour mon travail quotidien, puis je passe à mon compte de domaine administrateur privilégié lorsque j'en ai besoin. Mes autres collègues se moquent de moi et je suis impatient de voir leurs stations de travail influer négativement sur quelque chose afin que je puisse dire que je vous l'ai dit. - songei2f


Des comptes séparés pour des tâches distinctes constituent le meilleur moyen de le consulter. Le principe du moindre privilège est le nom du jeu. Limitez l'utilisation des comptes "admin" aux tâches à exécuter en tant qu '"admin".


1
2018-01-20 02:14





Les opinions diffèrent quelque peu entre Windows et * nix, mais votre mention des administrateurs de domaine me fait penser que vous parlez de Windows. C'est donc le contexte dans lequel je réponds.

Sur un poste de travail, vous n'avez normalement pas besoin d'être administrateur. La réponse à votre question sera dans la plupart des cas NON. Cependant, il existe de nombreuses exceptions et cela dépend vraiment de ce que la personne fait sur la machine.

Sur un serveur, c'est un sujet de débat. Mon point de vue personnel est que je ne me connecte qu’à un serveur pour faire du travail d’administrateur. Il n’a donc aucun sens de se connecter en tant qu’utilisateur, puis d’exécuter chaque outil séparément à l’aide de run-as, ce qui, franchement, a toujours été très pénible. dans le vous-savez-quoi et pour la plupart des emplois, cela rend simplement la vie d'un administrateur excessivement difficile et longue. Etant donné que la plupart des tâches administratives de Windows sont effectuées à l'aide d'une interface graphique, il existe un degré de sécurité insuffisant pour un administrateur Linux travaillant sur la ligne de commande, où une simple faute de frappe pourrait l'envoyer fouiller pour la bande de sauvegarde de la nuit dernière.


1
2018-01-20 03:27



+1, "Comment vous connectez-vous en tant que sur un serveur" est un sujet de discussion important. - sysadmin1138♦


Ma vie est simple ... les comptes sont nommés distinctement et ont tous un mot de passe différent.

Compte divin - l'administrateur du domaine doit faire tout le travail côté serveur

compte démigod pour administrer le PC - n'a aucun droit sur les partages / serveurs - seulement sur le PC

utilisateur faible - je m'accorde le pouvoir d'utilisateur sur mon propre ordinateur, mais je n'ai même pas ces droits sur d'autres ordinateurs

les raisons de la séparation sont nombreuses. il ne devrait y avoir aucun argument, juste le faire!


1
2018-01-20 05:01



J'aime la séparation de privilège à trois niveaux, mais amener les autres à pratiquer ce que vous prêchez doit être un casse-tête. - songei2f
Cela peut être difficile à vendre dans certains environnements. Mais si vous pouvez faire vos preuves auprès des décideurs, ils vous aideront à en faire une politique suivie. Aucun dirigeant ne veut perdre son entreprise lorsqu'il existe une solution simple et gratuite. - cwheeler33
Vous avez oublié # 4: auditer un utilisateur auquel dieu se connecte, ce qui est par ailleurs indépendant de tous les autres comptes. Donc, si un pirate informatique rend votre dieu vengeur, vous savez comment cela s'est passé. - Parthian Shot


Au risque d'être voté au diable, je dois dire que cela dépend du flux de travail de l'administrateur. Pour moi personnellement, la grande majorité des choses que je fais sur mon poste de travail au travail auront besoin de ces informations d'identification. Vous disposez d'éléments intégrés tels que des outils de gestion de domaine, des consoles de gestion tierces, des lecteurs mappés, des outils d'accès à distance en ligne de commande, des scripts, etc. La liste est longue. Devoir taper les informations d'identification pour presque chaque chose que vous ouvrez serait un cauchemar.

Mon navigateur Web, mon client de messagerie, mon client de messagerie instantanée et mon lecteur PDF sont les seuls éléments qui ne nécessitent généralement pas de privilèges d'administrateur. Et la plupart de ces choses restent ouvertes du moment où je me connecte au moment où je me déconnecte. Je me connecte donc avec mes identifiants d’administrateur, puis j’exécute toutes mes applications low priv avec un compte low priv. C'est beaucoup moins compliqué et je ne me sens pas moins en sécurité pour le faire.


0
2018-01-20 16:07



exécuter comme avec le bas-priv ne fait vraiment pas beaucoup pour la sécurité puisque le système fonctionne déjà avec un compte d'administrateur. Vous vous êtes donné un faux sentiment de sécurité. Faites l'inverse, connectez-vous en tant qu'utilisateur, puis exécutez-le en tant qu'administrateur. Donnez-vous le pouvoir utilisateur pour votre connexion si vous voulez MAIS s'il vous plaît ne pas être en cours d'exécution en tant qu'administrateur tout le temps. - Liam
+1 Comme je l'ai dit dans ma réponse, "cela dépend vraiment de ce que la personne fait exactement sur la machine". Malgré toute la théorie et la "meilleure pratique", il est parfois inutile de se connecter en tant qu'utilisateur. Du moins pas dans le monde Windows. - John Gardeniers
Je suis presque sûr qu'il n'y a pas de droits d'utilisateur avec pouvoir dans Windows 7. goo.gl/fqYbb - Luke99
@Liam Pas d'offense, mais vous avez tort de dire que les RunAs avec low priv ne font pas grand chose. Il fait exactement ce qu'il est censé faire, c'est-à-dire empêcher ce processus particulier (et ses enfants) de faire quoi que ce soit avec des privilèges élevés. Et ceci est parfait pour les applications qui n'ont jamais besoin de privilèges élevés et qui sont généralement les plus ciblées par les malwares. - Ryan Bolger