Mauvais pour être connecté en tant qu'administrateur tout le temps?


20

Au bureau où je travaille, trois des autres membres du personnel informatique sont connectés en permanence à leur ordinateur avec des comptes membres du groupe des administrateurs de domaine.

J'ai de sérieuses inquiétudes quant à la connexion avec les droits d'administrateur (local ou pour le domaine). En tant que tel, pour une utilisation quotidienne de l'ordinateur, j'utilise un compte qui n'a que des privilèges utilisateur réguliers. J'ai également un compte différent qui fait partie du groupe d'administrateurs de domaine. J'utilise ce compte lorsque je dois faire quelque chose qui nécessite des privilèges élevés sur mon ordinateur, l'un des serveurs ou sur l'ordinateur d'un autre utilisateur.

Quelle est la meilleure pratique ici? Les administrateurs réseau doivent-ils être connectés avec des droits sur l'ensemble du réseau à tout moment (ou même sur leur ordinateur local, d'ailleurs)?


J'ai toujours pensé que c'était stupide. Je n'ai jamais entendu parler d'une seule bonne raison de le faire. Peut-être donner des comptes limités aux parents sur Windows, mais nous parlons de notre utilisation des comptes

Avez-vous déjà vu un enfant courir en cliquant sur des trucs sur son ordinateur? Que diriez-vous de supprimer accidentellement le partage de données principal au lieu de votre dossier mp3.
Barfieldmv

1
quelqu'un s'il vous plaît ajouter une balise "windows" à cette question
JoelFan

@Barfieldmv, cette question concerne un environnement de travail, pas le PC de votre salon. Les enfants ne devraient pas être à proximité et les suppressions accidentelles peuvent être restaurées à partir des sauvegardes.
John Gardeniers

Réponses:


36

La meilleure pratique absolue consiste à utiliser Live User, Work Root . L'utilisateur auquel vous êtes connecté lorsque vous appuyez sur Actualiser sur Server Fault toutes les 5 minutes doit être un utilisateur normal. Celui que vous utilisez pour diagnostiquer les problèmes de routage Exchange doit être Admin. Obtenir cette séparation peut être difficile, car sous Windows au moins, cela nécessite deux sessions de connexion et cela signifie deux ordinateurs d'une manière ou d'une autre.

  • Les machines virtuelles fonctionnent très bien pour cela, et c'est ainsi que je le résous.
  • J'ai entendu parler d'organisations qui restreignent la connexion de leurs comptes élevés à certaines machines virtuelles spéciales hébergées en interne, et les administrateurs s'appuient sur RDP pour l'accès.
  • L'UAC aide à limiter ce qu'un administrateur peut faire (accéder à des programmes spéciaux), mais les invites continues peuvent être tout aussi ennuyeuses que d'avoir à se connecter à une autre machine pour faire ce qui doit être fait.

Pourquoi est-ce une meilleure pratique? C'est en partie parce que je l'ai dit , et beaucoup d'autres aussi. SysAdminning n'a pas d'organe central qui définit les meilleures pratiques de manière définitive. Au cours de la dernière décennie, nous avons publié certaines des meilleures pratiques de sécurité informatique suggérant que vous n'utilisez des privilèges élevés que lorsque vous en avez réellement besoin. certaines des meilleures pratiques sont établies grâce à la gestalt d'expérience des administrateurs système au cours des 40 dernières années. Un article de LISA 1993 ( lien ), un exemple d'article de SANS ( lien , un PDF), une section des contrôles de sécurité critiques de SANS abordent ce sujet ( lien ).


6
Notez que dans Windows 7, le compte administrateur est beaucoup plus limité et ne nécessite pas de sessions de connexion doubles. UAC fonctionne très bien. Cela fonctionne beaucoup moins dans Vista.
Ricket

6
@Ricket, je ne suis pas d'accord avec le commentaire sur l'UAC, du moins pour les administrateurs. Je l'ai désactivé sur mon poste de travail car presque tous les logiciels que j'utilise obligent l'UAC à me demander l'autorisation. C'est tellement irritant et me ralentit tellement que ses points positifs sont largement compensés par ses points négatifs. Pour fonctionner "très bien", comme vous le dites, nous devrions pouvoir lui dire de toujours autoriser ou interdire les logiciels spécifiés, mais bien sûr, ce n'est pas si flexible. C'est tout simplement une tentative immature et irréfléchie de ce qui pourrait un jour être un élément de sécurité précieux.
John Gardeniers

1
^ Notez que l'article TechNet lié dans le commentaire ci-dessus est ancien, écrit avant Vista (car il fait référence à son nom de code, "Longhorn"). Mais pour les utilisateurs XP, c'est très valable. @John Je suppose que le kilométrage de chacun varie, mais je n'ai jamais de popup UAC et j'utilise pas mal de logiciels. La seule exception concerne les programmes d'installation (duh) et le programme de mise à jour Java ennuyeux. Vista était bien pire, donc si vous n'avez pas essayé UAC depuis Windows 7, je vous recommande vivement de le réactiver, sinon je suppose que vous utilisez simplement un logiciel obsolète / mal écrit. Il n'y a aucun moyen que presque chaque logiciel demande une autorisation d'administrateur ...
Ricket

1
@Ricket, nous utilisons clairement des logiciels très différents. J'imagine que nous effectuons également des tâches très différentes. Ce n'est pas parce que le logiciel que VOUS utilisez ne déclenche pas l'UAC que cela s'applique au logiciel utilisé par d'autres. En acquérant de l'expérience, vous apprendrez ces choses. Ce que j'ai dit, c'est un fait. Pourquoi le remettez-vous en question?
John Gardeniers

1
@Keith Stokes: Qu'avez-vous fait au pauvre PuTTY pour qu'il vous invite à l'UAC? PuTTY n'a pas besoin d'élévation pour fonctionner!
Evan Anderson

12

Puisqu'il s'agit d'un domaine Windows, il est probable que les comptes qu'ils utilisent ont un accès réseau complet à toutes les stations de travail, donc si quelque chose de mal se produit, il peut se produire sur le réseau en quelques secondes. La première étape consiste à s'assurer que tous les utilisateurs effectuent leur travail quotidien, naviguent sur le Web, rédigent des documents, etc. conformément au principe de l'accès le moins utilisateur .

Ma pratique consiste alors à créer un compte de domaine et à accorder à ce compte des privilèges d'administrateur sur tous les postes de travail (PC-admin), et un compte de domaine distinct pour le travail d'administrateur de serveur (server-admin). Si vous craignez que vos serveurs puissent se parler, vous pouvez avoir des comptes individuels pour chaque machine (<x> -admin, <y> -admin). Essayez certainement d'utiliser un autre compte pour exécuter les travaux d'administration du domaine.

De cette façon, si vous faites quelque chose sur un poste de travail compromis avec le compte d'administrateur PC, et qu'il saisit la chance que vous ayez des privilèges d'administrateur pour essayer d'atteindre d'autres machines sur le réseau, il ne pourra rien faire méchant à vos serveurs. Avoir ce compte signifie également qu'il ne peut rien faire pour vos données personnelles.

Je dois dire, cependant, qu'à un endroit où je sais où le personnel a travaillé avec les principes LUA, ils n'ont pas eu d'infestation de virus appropriée pendant les trois années que j'ai vues; un autre service au même endroit où tout le monde était administrateur local et le personnel informatique avec l'administrateur du serveur ont eu plusieurs épidémies, dont l'une a pris une semaine de temps informatique pour nettoyer en raison de la propagation de l'infection via le réseau.

La mise en place prend un certain temps, mais les économies potentielles sont énormes si vous rencontrez des problèmes.


Je me comporte de cette façon, j'utilise un compte de domaine pour mon travail quotidien et je passe à mon compte de domaine administrateur privilégié lorsque j'en ai besoin. Mes autres collègues se moquent de moi, et j'ai hâte de voir leurs postes de travail avoir un impact désagréable, alors je peux vous dire que je vous l'ai dit.
songei2f

1

Des comptes séparés pour des tâches séparées sont la meilleure façon de voir les choses. Le principe du moindre privilège est le nom du jeu. Limitez l'utilisation des comptes "admin" aux tâches qui doivent être effectuées en tant que "admin".


1

Les opinions diffèrent quelque peu entre Windows et * nix, mais votre mention des administrateurs de domaine me fait penser que vous parlez de Windows, c'est donc le contexte auquel je réponds.

Sur un poste de travail, vous ne devriez normalement pas avoir besoin d'être administrateur, donc la réponse à votre question sera dans la plupart des cas NON. Cependant, il existe de nombreuses exceptions et cela dépend vraiment de ce que la personne fait sur la machine.

Sur un serveur, c'est un sujet de débat. Ma propre opinion est que je ne me connecte à un serveur que pour faire du travail d'administrateur, donc cela n'a pas de sens de se connecter en tant qu'utilisateur, puis d'exécuter chaque outil séparé en utilisant run-as, ce qui a été franchement toujours une vraie douleur dans le vous-savez-quoi et pour la plupart des emplois, cela rend la vie d'un administrateur trop difficile et prend beaucoup de temps. Étant donné que la plupart des tâches d'administration Windows sont effectuées à l'aide d'outils GUI, il existe un certain degré de sécurité qui n'est pas présent, par exemple, un administrateur Linux travaillant sur la ligne de commande, où une simple faute de frappe pourrait l'envoyer se précipiter pour la bande de sauvegarde de la nuit dernière.


+1, "Que vous connectez-vous comme sur un serveur" EST un grand sujet de débat.
sysadmin1138

1

ma vie est simple ... les comptes sont nommés de manière distincte et ont tous des mots de passe différents.

Compte Dieu - l'administrateur de domaine pour faire tout le travail côté serveur

compte demi-dieu pour administrer les PC - n'a aucun droit sur les partages / serveurs - uniquement sur les PC

utilisateur faible - je m'accorde un utilisateur avancé sur mon propre PC, mais je n'ai même pas ces droits sur d'autres PC

les raisons de la séparation sont nombreuses. il ne devrait y avoir aucun argument, faites-le!


J'aime la séparation des privilèges à trois niveaux, mais amener les autres à pratiquer ce que vous prêchez doit être un casse-tête.
songei2f

Cela peut être difficile à vendre dans certains environnements. Mais si vous pouvez faire vos preuves auprès des décideurs, ils vous aideront à en faire une politique suivie. Aucun Exec ne veut perdre son entreprise lorsqu'une solution gratuite et simple existe.
cwheeler33

Vous avez oublié # 4: l'audit de l'utilisateur auquel Dieu se connecte, qui est par ailleurs indépendant de tous les autres comptes. Donc, si un pirate rend votre dieu vengeur, vous savez comment cela s'est produit.
Parthian Shot

0

Au risque d'être rejeté en enfer, je dois dire que cela dépend du flux de travail de l'administrateur. Pour moi personnellement, la grande majorité des choses que je fais sur mon poste de travail au travail auront besoin de ces informations d'identification d'administrateur. Vous avez des éléments intégrés comme des outils de gestion de domaine, des consoles de gestion tierces, des lecteurs mappés, des outils d'accès à distance en ligne de commande, des scripts, etc. La liste est longue. Devoir taper des informations d'identification pour presque chaque chose que vous ouvrez serait un cauchemar.

Les seules choses qui n'ont généralement pas besoin de privilèges d'administrateur sont mon navigateur Web, mon client de messagerie, mon client de messagerie instantanée et ma visionneuse PDF. Et la plupart de ces choses restent ouvertes de la connexion à la déconnexion. Je me connecte donc avec mes informations d'identification d'administrateur, puis je lance toutes mes applications privées faibles avec un compte privé faible. C'est beaucoup moins compliqué et je ne me sens pas moins sûr de le faire.


exécuter comme avec priv faible ne fait vraiment pas grand-chose pour la sécurité car le système fonctionne déjà avec un compte administrateur. Vous vous êtes donné un faux sentiment de sécurité. Faites-le dans l'autre sens, connectez-vous en tant qu'utilisateur, puis exécutez en tant qu'administrateur. Donnez-vous un utilisateur avancé pour votre connexion si vous voulez MAIS s'il vous plaît NE PAS ÊTRE EN COURS D'ADMINISTRATION tout le temps.
Liam

+1 Comme je l'ai dit dans ma réponse, "cela dépend vraiment de ce que la personne fait sur la machine". Malgré toute la théorie et les soi-disant «meilleures pratiques», il est parfois inutile de se connecter en tant qu'utilisateur. Du moins pas dans le monde Windows.
John Gardeniers

Je suis presque sûr qu'il n'y a aucun droit d'utilisateur avec pouvoir dans Windows 7. goo.gl/fqYbb
Luke99

@Liam Aucune infraction, mais vous vous trompez en disant que les RunAs à faible priv ne font pas grand-chose. Il fait exactement ce qu'il est censé faire, c'est-à-dire empêcher ce processus particulier (et ses enfants) de faire quoi que ce soit avec des privilèges élevés. Et cela est parfait pour les applications qui n'ont jamais besoin de privilèges élevés et qui ont généralement tendance à être les plus ciblées par les logiciels malveillants.
Ryan Bolger
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.