我注意到我们的一个域有一个用户,他的域pipe理员凭据定期login。
我一直都知道这是一个坏主意,但希望有人能指出可能发生的漏洞,问题,安全漏洞等的具体例子。
要严格回答你的问题, rm或del总会有很多错误。 与这些工具的错误是不好玩的。 我(ahem)有一个朋友,他可能会在意外退出时意外closures服务器。
但是,如果合法需要这些证件的人也不错。 我每天都会login很多次,但作为系统pipe理员,我需要他们全部。 也就是说,我不需要pipe理员凭据来阅读电子邮件和浏览网页。
如果您处于受监pipe的行业(PCI DSS,SarbOx,HIPAA),您可能需要尽可能将职责分开,因此pipe理员可以将公司(可能本人)置于合法危险。 坦率地说,这就是最终让我们更好地使用我们的pipe理员凭证。
所以,我相信真正的外卖是找出用户为什么使用域pipe理员凭证。 如果用户正在创build资源,安装软件等,那么也许这就是他们所需要的。 如果你有时间的话,你总是可以委托出许多AD个人特权 – 我们让我们的帮助台人员join个人电脑到域名,并更改密码,但是这是关于它的。 但是,只要使用域pipe理员凭据login,如果您是pipe理员,并不一定意味着有报警的原因。
没有人应该把他们的每一天的用户账号都设为“域名pipe理员”帐号,没有人应该让每天的用户帐号都有“pipe理”权限访问多台机器。
为什么? 蠕虫,为一个。 受到蠕虫感染,蠕虫可能试图通过pipe理共享感染networking上的每台机器 – 如果您是域pipe理员,则意味着每台机器 – 工作站或服务器 – 都可能严重感染,因为您(或该人))懒得使用RunAs或右键单击一个应用程序,并select“以pipe理员身份运行”。
那将是我能想到的最大的原因,为什么这是一个坏主意。
一些公司可能会创build“服务技术人员”小组,并将这些小组放在所有工作站的本地pipe理员组中,这样服务技术人员总是能够访问服务器,而无需访问服务器 – 这很好,但是即使是服务技术人员也需要非特权帐户。
让用户以他们的“每一天”帐户login,并在他们需要做某事时给他们pipe理员帐户。 如果你必须,给他们在他们经常使用的本地笔记本电脑和台式机上的pipe理员权限,但不是所有的系统。 那么不要让他们作为他们的特权用户访问打印机和其他“每一天的资源”,而仅仅是他们每天的用户。
说服人们遵守规则可能是困难的 – 特别是当他们聪明(我可以想到围绕我自己的build议的几种方法),但是如果只有一半的IT人员遵循正确的程序,那么这是潜在的问题减less50%。
对不起,复活旧的线程,但有一个问题,这里没有涉及。 如果用户不是域pipe理员,那么要执行需要域pipe理员权限的职责,他们将不得不使用共享帐户login。 这本身就违反了许多与审计跟踪和身份pipe理有关的监pipe问题。 使用7和2008 / R2中的UAC,域pipe理员的所有操作都会logging下来,只要他们提升到“真实”域pipe理员帐户 – 您的正常帐户名义上只是域pipe理员。 所以,除非你用“以pipe理员身份运行”显式地启动命令提示符/浏览器窗口/ etc,否则没有风险。 如果你这样做 – logging。