Limitando minha conta de administrador de domínio

Navegue suas respostas
1

Estou tentando melhorar minha segurança de domínio e parte desse processo (como após o RTFM) é:

  • Contas de administrador de serviço - para serviços (Anti-vírus, spiceworks, Agendador de tarefas, backup do NAS, administrador do SQL, etc.)
  • Contas de administrador pessoal para administradores (CIO, CTO, gerente de RH ...)
  • tente limitar o uso do administrador do domínio para NULL

No entanto, estou tendo dificuldade em organizar na minha cabeça a maneira como essas contas devem ser:

  • para as contas do serviço ADM - é bastante claro (tenha acesso apenas ao que eles precisam fazer e remova o acesso gui)

  • mas para os administradores pessoais: quais são as credenciais que eles (eu e outros) precisam ser?

Como vou criar literalmente o mesmo trabalho, apenas faça o login como o adm.myuser.name com uma senha, devo adicionar o meu eu ao grupo Administradores?

  • Fazer isso ajuda a controlar os usuários, limitar as contas compartilhadas, etc., mas é assim que deve ser feito?

  • qual é a melhor prática para ter esses administradores de domínio pessoal?

  • Uma vez que eu comece nesta estrada, haverá muitos outros usuários que eu preciso controlar e monitorar - como faço isso? Monitorar meu usuário srv.adm.sql?

por Saariko 26.08.2012 / 16:04

1 resposta

3

Com relação às contas de administrador pessoal, há duas estradas a serem levadas até aqui:

  1. Todos recebem uma conta de administrador pessoal, bem como uma conta de usuário normal.
  2. Todos recebem uma conta de administrador pessoal que usam para coisas normais.

Obviamente, a primeira é a opção mais segura, mas a realidade sugere que muitos administradores usarão isso e não se incomodarão com o outro. É por isso que a segunda opção está lá. Contas de administrador separadas aumentam a capacidade de auditoria do seu ambiente, o que é uma coisa certa e verdadeira a fazer.

Viver com duas contas, uma normal e uma elevada, é bastante factível, mas requer algum trabalho para realmente viver com sucesso. O problema com o Windows é que às vezes ele só funciona para "executar" determinadas ferramentas de gerenciamento como sua conta elevada. Uma opção é ter um servidor de terminal em algum lugar em que os administradores devem efetuar login para usar suas contas elevadas. Outra opção são as máquinas virtuais somente de administrador.

Quanto ao monitoramento de seu uso, seria necessário algum tipo de ambiente de monitoramento de segurança, que você pode ou não ter. Há muitas maneiras de fazer isso, o que está além do escopo desta questão. Se você optar pela rota "contas de administrador separadas, com acesso restrito a determinadas estações de trabalho administrativas", poderá monitorar diretamente esses registros de segurança, o que pode ser mais fácil do que uma solução para todo o ambiente.

    
por 26.08.2012 / 17:48

Tags

Lista de distribuição do servidor Windows ou lista de discussão compartilhada do Exchange? Monitorar o uso da cpu (e talvez a memória usando) para um único processo simples quanto possível