É ruim estar conectado como administrador o tempo todo?

20

No escritório em que trabalho, três dos outros membros da equipe de TI ficam conectados em seus computadores o tempo todo com contas que são membros do grupo de administradores de domínio.

Tenho sérias preocupações em fazer login com direitos de administrador (local ou para o domínio). Como tal, para o uso diário do computador, uso uma conta que apenas possui privilégios regulares de usuário. Eu também tenho uma conta diferente que faz parte do grupo de administradores de domínio. Uso essa conta quando preciso fazer algo que exija privilégios elevados no meu computador, em um dos servidores ou no computador de outro usuário.

Qual é a melhor prática aqui? Os administradores de rede devem estar conectados com direitos a toda a rede o tempo todo (ou até mesmo o computador local)?

windows security best-practices cutucar
fonte
Eu sempre pensei que isso era estúpido. Eu nunca ouvi falar de um bom motivo para fazer isso. Talvez dando contas limitadas aos pais sobre janelas, mas nós estamos falando sobre o uso de contas
Já teve um garoto correndo clicando em coisas no PC? Que tal remover acidentalmente o compartilhamento de dados principal em vez da pasta mp3.
precisa saber é o seguinte
11
alguém por favor adicione uma tag "windows" a esta pergunta
JoelFan
@ Barfieldmv, esta pergunta é sobre um ambiente de trabalho, não o PC no seu lounge. As crianças não devem estar nem perto disso e as exclusões acidentais podem ser restauradas dos backups.
John Gardeniers

Respostas:

36

A melhor prática absoluta é Usuário Vivo, Raiz de Trabalho . O usuário no qual você está conectado como quando pressiona a atualização na falha do servidor a cada 5 minutos deve ser um usuário normal. O que você usa para diagnosticar problemas de roteamento do Exchange deve ser Admin. Conseguir essa separação pode ser difícil, pois no Windows requer pelo menos duas sessões de login e isso significa dois computadores de alguma forma.

  • As VMs funcionam muito bem para isso, e é assim que eu resolvo.
  • Ouvi falar de organizações que restringem o login de suas contas elevadas a determinadas VMs especiais hospedadas internamente e os administradores dependem do RDP para acessar.
  • O UAC ajuda a limitar o que um administrador pode fazer (acessando programas especiais), mas as solicitações contínuas podem ser tão irritantes quanto ter que se conectar remotamente a uma outra máquina para fazer o que precisa ser feito.

Por que essa é uma prática recomendada? Em parte, é porque eu disse isso e muitos outros. O SysAdminning não possui um órgão central que defina as melhores práticas de qualquer forma definitiva. Na última década, publicamos algumas práticas recomendadas de segurança de TI, sugerindo que você use privs elevados apenas quando realmente precisar deles. algumas das melhores práticas são definidas através da gestalt de experiência dos administradores de sistemas nos últimos 40 anos. Um artigo da LISA 1993 ( link ), um exemplo de artigo da SANS ( link , um PDF), uma seção dos 'controles críticos de segurança' do SANS abordam esse assunto ( link ).

sysadmin1138
fonte
6
Observe que no Windows 7 a conta de administrador é muito mais limitada e não requer sessões de login duplas. O UAC funciona muito bem. Funciona significativamente menos no Vista.
Ricket
6
@Ricket, eu discordo do comentário sobre o UAC, pelo menos para os administradores. Eu o desliguei na minha estação de trabalho porque quase todos os softwares que eu uso fazem com que o UAC me peça permissão. Isso é tão irritante e me atrasa tanto que seus pontos positivos são grosseiramente superados por seus negativos. Para funcionar "muito bem", como você disse, devemos poder dizer sempre para permitir ou não o software especificado, mas é claro que não é tão flexível. Simplesmente, é uma tentativa imatura e mal considerada do que um dia pode ser um componente de segurança valioso.
John Gardeniers
11
^ Observe que o artigo do TechNet vinculado no comentário acima é antigo, escrito antes do Vista (já que se refere ao nome de código "Longhorn"). Mas para usuários de XP é muito válido. @ John Acho que a milhagem de todo mundo varia, mas nunca recebo pop-ups do UAC e uso bastante software. A única exceção são os instaladores (duh) e o atualizador Java irritante. O Vista era muito pior; portanto, se você não experimentou o UAC desde o Windows 7, eu recomendo ativá-lo novamente, caso contrário, acho que você está apenas usando software desatualizado / mal escrito. Não há nenhuma maneira quase todas as peças de instruções de software para permissão de administrador ...
Ricket
11
@Ricket, claramente usamos software muito diferente. Imagino que também realizamos tarefas muito diferentes. Só porque o software que VOCÊ usa não aciona o UAC não significa que isso se aplica ao software usado por outras pessoas. Ao adquirir experiência, você aprenderá essas coisas. O que eu disse é fato. Por que você está questionando isso?
John Gardeniers
11
@Keith Stokes: O que você fez com o pobre PuTTY para que ele solicitasse o UAC? PuTTY não precisa de elevação para funcionar!
Evan Anderson
12

Como esse é um domínio do Windows, é provável que as contas que eles estão usando tenham acesso completo à rede a todas as estações de trabalho; portanto, se algo de ruim acontecer, poderá ocorrer na rede em segundos. O primeiro passo é garantir que todos os usuários estejam realizando um trabalho diário, navegando na Web, escrevendo documentos etc. de acordo com o princípio de Acesso Mínimo de Usuário .

Minha prática é criar uma conta de domínio e conceder privilégios de administrador a essa conta em todas as estações de trabalho (PC-admin) e uma conta de domínio separada para o trabalho de administração do servidor (server-admin). Se você estiver preocupado com a possibilidade de seus servidores se comunicarem, é possível ter contas individuais para cada máquina (<x> -admin, <y> -admin). Definitivamente, tente usar outra conta para executar os trabalhos de administração do domínio.

Dessa forma, se você estiver fazendo algo em uma estação de trabalho comprometida com a conta de administrador do PC e aproveitar a chance de ter privilégios de administrador para tentar acessar outras máquinas pela rede, não será possível fazer nada desagradável para seus servidores. Ter essa conta também significa que ela não pode fazer nada com seus dados pessoais.

Devo dizer, porém, que em um lugar que sei onde a equipe trabalhou com os princípios da LUA, eles não tiveram uma infestação adequada de vírus durante os três anos que vi; outro departamento no mesmo local em que todos os membros da equipe de administração local e de TI com o administrador do servidor tiveram vários surtos, um dos quais levou uma semana de tempo para ser limpo devido à disseminação da infecção pela rede.

Demora algum tempo para configurar, mas as economias potenciais são enormes se você for atingido por problemas.

Iain Hallam
fonte
Eu me comporto dessa maneira, uso uma conta de domínio para o meu dia-a-dia e elevo para a minha conta de domínio de administrador privilegiado quando preciso. Meus outros colegas de trabalho riem de mim e mal posso esperar para ver suas estações de trabalho impactando algo de uma maneira desagradável, para que eu possa dizer que disse isso a você.
songei2f
1

Contas separadas para tarefas separadas é a melhor maneira de ver isso. Princípio de menor privilégio é o nome do jogo. Limite o uso de contas "admin" para as tarefas que precisam ser executadas como "admin".

Liam
fonte
1

As opiniões diferem um pouco entre o Windows e o * nix, mas sua menção a administradores de domínio me faz pensar que você está falando sobre o Windows, então esse é o contexto em que estou respondendo.

Em uma estação de trabalho, você normalmente não precisa ser administrador; portanto, na maioria dos casos, a resposta para sua pergunta será NÃO. No entanto, existem muitas exceções e isso realmente depende exatamente do que a pessoa está fazendo na máquina.

Em um servidor, é um tópico de muito debate. Minha opinião é que eu só logon em um servidor para executar tarefas administrativas, por isso não faz sentido fazer logon como usuário e, em seguida, executar cada ferramenta separada usando run-as, o que, francamente, sempre foi uma verdadeira dor no you-know-what e para a maioria dos trabalhos, isso simplesmente torna a vida de um administrador excessivamente difícil e demorada. Como a maior parte do trabalho de administração do Windows é feita usando ferramentas da GUI, existe um grau de segurança que não existe, por exemplo, um administrador do Linux trabalhando na linha de comando, onde um simples erro de digitação pode enviá-lo correndo para a fita de backup da noite passada.

John Gardeniers
fonte
+1, "O que você faz logon em um servidor" é um grande foco de debate.
sysadmin1138
1

minha vida é simples ... as contas têm nomes distintos e todas têm senhas diferentes.

Deus - administrador de domínio para fazer todo o trabalho no servidor

conta semideus para administrar os PCs - não tem direitos a compartilhamentos / servidores - apenas aos PCs

usuário fraco - concedo a mim mesmo usuário avançado no meu próprio PC, mas nem tenho esses direitos em outros PCs

as razões para a separação são muitas. não deve haver argumento, apenas faça-o!

cwheeler33
fonte
Gosto da separação de privilégios em três níveis, mas fazer com que outras pessoas pratiquem o que você prega deve ser uma dor de cabeça.
songei2f
Pode ser uma venda difícil em alguns ambientes. Mas se você puder provar a si mesmo aos formuladores de políticas, eles ajudarão a torná-la uma política seguida. Nenhum Exec quer perder sua empresa quando existe uma solução simples e gratuita.
precisa saber é o seguinte
Você esqueceu o nº 4: auditando o usuário no qual god registra, o que é independente de todas as outras contas. Então, se algum hacker faz seu deus se tornar vingativo, você sabe como isso aconteceu.
Parthian Shot
0

Correndo o risco de ser votado para o inferno, devo dizer que depende do fluxo de trabalho do administrador. Para mim, pessoalmente, a grande maioria das coisas que estou fazendo na estação de trabalho enquanto estiver no trabalho precisará dessas credenciais de administrador. Você tem itens internos, como ferramentas de gerenciamento de domínio, consoles de gerenciamento de terceiros, unidades mapeadas, ferramentas de acesso remoto da linha de comando, scripts, etc. A lista continua. Ter que digitar credenciais para quase todas as coisas que você abrir seria um pesadelo.

As únicas coisas que geralmente não precisam de privilégios de administrador são meu navegador da Web, cliente de email, cliente de IM e visualizador de PDF. E a maioria dessas coisas fica aberta desde o momento em que faço o login até o momento em que saio. Portanto, faço login com minhas credenciais de administrador e, em seguida, corro como todos os meus aplicativos privados com uma conta privada baixa. É muito menos aborrecido e não me sinto menos seguro por fazer isso.

Ryan Bolger
fonte
executar como com baixo priv realmente não ajuda muito na segurança, pois o sistema já está sendo executado com uma conta de administrador. Você se deu uma falsa sensação de segurança. Faça o contrário, faça o login como usuário e execute como administrador. Dê a si mesmo um usuário avançado para o seu login, se quiser, MAS NÃO FUNCIONE COMO ADMIN o tempo todo.
Liam
+1 Como eu disse na minha resposta, "realmente depende exatamente do que a pessoa está fazendo na máquina". Apesar de toda a teoria e as chamadas "melhores práticas", há momentos em que simplesmente não faz sentido fazer login como usuário. Pelo menos não no mundo do Windows.
John Gardeniers
Tenho certeza de que não há nenhum direito de usuário de energia no Windows 7. goo.gl/fqYbb
Luke99
@ Liam Sem ofensas, mas você está errado ao dizer que RunAs com pouco priv não faz muito. Ele faz exatamente o que deve fazer, o que impede que esse processo específico (e seus filhos) façam qualquer coisa com privilégios elevados. E isso é perfeito para os aplicativos que nunca precisam de privs elevados e geralmente tendem a ser os mais direcionados por malware também.
Ryan Bolger