pok*_*oke 20 security windows best-practices
在我工作的办公室,其他三名 IT 员工始终使用域管理员组成员的帐户登录他们的计算机。
我非常担心以管理员权限(本地或域)登录。因此,对于日常计算机使用,我使用一个只有普通用户权限的帐户。我还有一个不同的帐户,它是域管理员组的一部分。当我需要在我的计算机、其中一台服务器或另一个用户的计算机上执行需要提升权限的操作时,我会使用此帐户。
这里的最佳做法是什么?网络管理员是否应该始终以对整个网络的权限(或者甚至是他们的本地计算机)登录?
sys*_*138 36
绝对的最佳实践是Live User, Work Root。每 5 分钟刷新一次 Server Fault 时,您登录的用户应该是普通用户。您用来诊断 Exchange 路由问题的应该是 Admin。实现这种分离可能很困难,因为至少在 Windows 中它需要双登录会话,这意味着在某种程度上有两台计算机。
为什么这是最佳实践?部分是因为我这么说,很多其他人也是如此。SysAdminning 没有一个中央机构来以任何确定的方式设置最佳实践。在过去十年中,我们发布了一些 IT 安全最佳实践,建议您仅在实际需要时才使用提升的权限。一些最佳实践是系统管理员在过去 40 多年中积累的经验。来自 LISA 1993 的论文(链接),来自 SANS 的示例论文(链接,PDF),来自 SANS 的“关键安全控制”部分涉及此(链接)。
Iai*_*lam 12
由于这是一个 Windows 域,因此他们使用的帐户很可能对所有工作站都具有完全的网络访问权限,因此如果发生不好的事情,它可以在几秒钟内通过网络。第一步是确保所有用户都按照最少用户访问原则进行日常工作、浏览网页、编写文档等。
我的做法是创建一个域帐户并为该帐户授予所有工作站上的管理员权限 (PC-admin),并为服务器管理工作 (server-admin) 提供一个单独的域帐户。如果您担心您的服务器能够相互通信,您可以为每台机器拥有单独的帐户(<x>-admin、<y>-admin)。绝对尝试使用另一个帐户来运行域管理员作业。
这样,如果您使用 PC-admin 帐户在受感染的工作站上做某事,并且它抓住了您拥有管理员权限的机会尝试通过网络访问其他机器,它将无法做任何事情讨厌你的服务器。拥有此帐户也意味着它无法对您的个人数据执行任何操作。
但是,我必须说,在我知道的一个地方,工作人员在何处使用 LUA 原则,在我看到的三年中,他们没有适当的病毒感染;同一个地方的另一个部门,每个人都拥有本地管理员,IT 人员都拥有服务器管理员,因此爆发了几次疫情,其中一次爆发需要一周的 IT 时间来清理,因为感染通过网络传播。
设置确实需要一些时间,但如果您遇到问题,潜在的节省是巨大的。
| 归档时间: |
|
| 查看次数: |
3630 次 |
| 最近记录: |