Vantaggi e svantaggi di dare a un amministratore due account per i diritti elevati e un altro per l'uso quotidiano, come l'email

12

Microsoft ha a lungo promosso la necessità di separare gli account amministrativi dagli account di uso regolare, come mostrato con questa guida

MSFT è persino andato lontano fino a creare ADMINSDUser i diritti per inserire account amministrativi in un separata "classe" rispetto ai conti regolari. Hanno intenzionalmente reso difficile essere sia un "Amministratore" che un utente di Activesync

Sono sicuro che nessuna di queste decisioni di progettazione relative alla separazione dei compiti amministrativi è stata presa alla leggera, o senza l'apporto di molte persone intelligenti.

La mia domanda è:

  1. What bad habits can an Administrator do that cancels out the benefit of having dual accounts?
    • ie: checking email
    • casual surfing the internet, versus surfing the internet to troubleshoot, diagnose, or validate an issue
  2. What are we protecting ourselves from?
    • If an Administrator knows they may be visiting a hostile website, they are probably smart enough they should be testing this on an isolated network/machine
    • Administrators usually aren't tricked into running scripts, or hostile code (ActiveX) that other users may be

Supponiamo che l'amministrazione del lavoro giornaliero di di una persona sia e si occupi principalmente della risoluzione dei problemi usando le loro credenziali privilegiate. Sembra controproducente e improduttivo chiedere a loro "RunAs" per ogni nuovo compito.

Portando l'ultima idea un ulteriore passo avanti, forse sarebbe meglio eseguire RunAs per attività non amministrative, come email, servizi di file e stampa, ecc. Forse dovrebbero usare una macchina virtuale, VDI, ecc. per controllare la posta elettronica e aggiorna i diagrammi di rete (ecc.)

3 . Does it make sense for an Administrator to use his privileged credentials for signing into his PC, and using RunAs for non-administrative tasks?

    
posta random65537 22.09.2011 - 23:25
fonte

2 risposte

8

Navigare su Internet è un rischio per un'organizzazione: solitamente questo è mitigato in una certa misura da funzionalità limitate per gli utenti, quindi un exploit è limitato in ciò che può fare. Quando un amministratore esegue la navigazione, il suo account non è limitato, quindi un exploit può avere conseguenze importanti.

If an Administrator knows they may be visiting a hostile website, they are probably smart enough they should be testing this on an isolated network/machine

Purtroppo non è vero - gli amministratori sono anche persone

Administrators usually aren't tricked into running scripts, or hostile code (ActiveX) that other users may be

Ci sono già degli attacchi là fuori che non richiedono alcuna interazione se non quella di navigare in un sito web e, come ho detto, gli amministratori sono anche persone (soprattutto)

Suppose a person's daily job is administration, and deals primarily with troubleshooting using their privileged credentials. It seems self-defeating and unproductive to ask them to "RunAs" for every new task.

Per questo, si potrebbe argomentare il caso per la separazione per macchina, piuttosto che per account - cioè tutte le attività di amministrazione vengono eseguite su un dispositivo di amministrazione che non può connettersi a Internet, ecc, e le attività di tipo utente sono effettuato su un altro che può.

Taking the last idea a step further, perhaps it would be better to RunAs for non-administrative tasks, such as email, file and print services, etc. Does it make sense for an Administrator to use his privileged credentials for signing into his PC, and using RunAs for non-administrative tasks?

RunAs downwards è solo suscettibile all'amministrazione che dimentica, o semplicemente vuole fare qualcosa in modo rapido e semplice.

    
risposta data 23.09.2011 - 12:35
fonte
3

Penso che se non altro nella tua mente hai quella separazione logica, un costante promemoria per non essere disinvolto con il tuo account amministratore. Gli utenti privilegiati sono tutt'altro che invulnerabili agli attacchi.

Se disponi di un laboratorio isolato per testare siti o applicazioni non approvati o potenzialmente in grado di elevare l'esposizione della tua organizzazione ... se non è incredibilmente facile da fare, non viene svolto in questo modo.

Non ha senso rimanere connessi con il tuo account privilegiato a causa della natura umana. Quanto tempo ci vorrà prima di smettere di effettuare il downgrade di quei processi che non richiedono tali privilegi elevati.

    
risposta data 23.09.2011 - 03:55
fonte