Riscos de segurança do Administrador do Domínio

Para responder a sua pergunta, sempre há bons erros antigos com rm ou del . Erros com essas ferramentas não são divertidos. Eu (ahem) tenho um amigo que pode ter desligado acidentalmente um servidor quando eu - errr, ele - pretendia apenas sair.

Mas não é uma má ideia se a pessoa precisa legitimamente dessas credenciais. Eu faço o login com as minhas muitas vezes por dia, mas como administrador de sistema, eu preciso delas em todo lugar. Dito isso, não preciso de credenciais de administrador para ler e-mails e navegar na Web.

Se você estiver em um setor regulamentado (PCI DSS, SarbOx, HIPAA), pode ser necessário separar suas tarefas o máximo possível, para que um administrador possa colocar a empresa (e possivelmente pessoalmente) ) em perigo legal. Francamente, foi o que finalmente nos levou a melhorar com nossas credenciais de administrador.

Então, o verdadeiro diferencial, acredito, é descobrir por que o usuário está usando as credenciais de administrador de domínio. Se o usuário está criando recursos, instalando software, etc., talvez seja o que eles precisam. Se você tiver tempo, você sempre pode delegar muitos privilégios individuais do AD - nós deixamos o nosso helpdesk juntar os PCs ao domínio e mudar as senhas, mas é só isso. Mas fazer login com credenciais de administrador de domínio, se você for um administrador, não significa necessariamente que há motivo para alarme.

Ninguém deve ter uma conta de usuário todos os dias como uma conta de "administrador de domínio" e ninguém deve ter uma conta de usuário todos os dias com acesso "administrativo" a mais de um punhado de máquinas.

Por quê? Worms, por exemplo. Seja infectado por um worm e o worm pode tentar infectar todas as máquinas da rede através de compartilhamentos administrativos - se você é um administrador de domínio, isso significa que CADA MÁQUINA - ESTAÇÃO DE TRABALHO OU SERVIDOR - pode estar seriamente infectado porque você (ou a pessoa )) em questão são muito preguiçosos para usar RunAs ou clique direito em um aplicativo e selecione "executar como administrador".

Esse seria o MAIOR motivo pelo qual eu posso pensar porque é uma má ideia.

Algumas empresas podem criar grupos de "Técnicos de Serviço" e colocar esses grupos no grupo de administradores locais de todas as estações de trabalho para que os técnicos sempre tenham acesso apropriado sem ter acesso aos servidores - isso é ótimo - MAS, mesmo os técnicos de serviço precisam de contas com privilégios.

Faça com que os usuários façam login como contas "diárias" e forneçam contas de administrador quando precisarem fazer alguma coisa. Se você precisar, conceda a eles direitos de administrador em seus laptops e desktops locais que eles normalmente usam, mas nem todos os sistemas. Então, não permita que eles acessem impressoras e outros "recursos diários" como seus usuários privilegiados, apenas como usuários diários.

Convencer as pessoas a seguirem as regras pode ser difícil - especialmente quando são espertas (posso pensar em algumas maneiras em torno da minha própria recomendação), mas mesmo que metade da equipe de TI siga os procedimentos corretos , então essa é uma redução potencial de 50% nos problemas.

Desculpe ressuscitar um tópico antigo, mas há um problema que não foi abordado aqui. Se um usuário não for administrador de domínio, para executar tarefas que exijam privilégios de administrador de domínio, ele precisará fazer login com uma conta compartilhada. Isso, por si só, é uma violação de muitos problemas de regulamentação relacionados ao gerenciamento de trilhas e identidades de auditoria. Com o UAC em 7 e 2008 / R2, todas as ações de um administrador de domínio são registradas sempre que elas são levadas para a conta de administrador de domínio "real" - sua conta normal é apenas nominalmente um administrador de domínio. Então, a menos que você inicie um prompt de comando / explorer window / etc explicitamente com "Run as Administrator", não há risco. E se você fizer isso - está logado.