Mauvais pour être connecté en tant qu'administrateur tout le temps?

Au bureau où je travaille, trois des autres membres du personnel informatique sont connectés en permanence à leur ordinateur avec des comptes membres du groupe des administrateurs de domaine.

J'ai de sérieuses inquiétudes quant à la connexion avec les droits d'administrateur (local ou pour le domaine). En tant que tel, pour une utilisation quotidienne de l'ordinateur, j'utilise un compte qui n'a que des privilèges utilisateur réguliers. J'ai également un compte différent qui fait partie du groupe d'administrateurs de domaine. J'utilise ce compte lorsque je dois faire quelque chose qui nécessite des privilèges élevés sur mon ordinateur, l'un des serveurs ou sur l'ordinateur d'un autre utilisateur.

Quelle est la meilleure pratique ici? Les administrateurs réseau doivent-ils être connectés avec des droits sur l'ensemble du réseau à tout moment (ou même sur leur ordinateur local, d'ailleurs)?

La meilleure pratique absolue consiste à utiliser Live User, Work Root . L'utilisateur auquel vous êtes connecté lorsque vous appuyez sur Actualiser sur Server Fault toutes les 5 minutes doit être un utilisateur normal. Celui que vous utilisez pour diagnostiquer les problèmes de routage Exchange doit être Admin. Obtenir cette séparation peut être difficile, car sous Windows au moins, cela nécessite deux sessions de connexion et cela signifie deux ordinateurs d'une manière ou d'une autre.

• Les machines virtuelles fonctionnent très bien pour cela, et c'est ainsi que je le résous.
• J'ai entendu parler d'organisations qui restreignent la connexion de leurs comptes élevés à certaines machines virtuelles spéciales hébergées en interne, et les administrateurs s'appuient sur RDP pour l'accès.
• L'UAC aide à limiter ce qu'un administrateur peut faire (accéder à des programmes spéciaux), mais les invites continues peuvent être tout aussi ennuyeuses que d'avoir à se connecter à une autre machine pour faire ce qui doit être fait.

Pourquoi est-ce une meilleure pratique? C'est en partie parce que je l'ai dit , et beaucoup d'autres aussi. SysAdminning n'a pas d'organe central qui définit les meilleures pratiques de manière définitive. Au cours de la dernière décennie, nous avons publié certaines des meilleures pratiques de sécurité informatique suggérant que vous n'utilisez des privilèges élevés que lorsque vous en avez réellement besoin. certaines des meilleures pratiques sont établies grâce à la gestalt d'expérience des administrateurs système au cours des 40 dernières années. Un article de LISA 1993 ( lien ), un exemple d'article de SANS ( lien , un PDF), une section des contrôles de sécurité critiques de SANS abordent ce sujet ( lien ).

Puisqu'il s'agit d'un domaine Windows, il est probable que les comptes qu'ils utilisent ont un accès réseau complet à toutes les stations de travail, donc si quelque chose de mal se produit, il peut se produire sur le réseau en quelques secondes. La première étape consiste à s'assurer que tous les utilisateurs effectuent leur travail quotidien, naviguent sur le Web, rédigent des documents, etc. conformément au principe de l'accès le moins utilisateur .

Ma pratique consiste alors à créer un compte de domaine et à accorder à ce compte des privilèges d'administrateur sur tous les postes de travail (PC-admin), et un compte de domaine distinct pour le travail d'administrateur de serveur (server-admin). Si vous craignez que vos serveurs puissent se parler, vous pouvez avoir des comptes individuels pour chaque machine (<x> -admin, <y> -admin). Essayez certainement d'utiliser un autre compte pour exécuter les travaux d'administration du domaine.

De cette façon, si vous faites quelque chose sur un poste de travail compromis avec le compte d'administrateur PC, et qu'il saisit la chance que vous ayez des privilèges d'administrateur pour essayer d'atteindre d'autres machines sur le réseau, il ne pourra rien faire méchant à vos serveurs. Avoir ce compte signifie également qu'il ne peut rien faire pour vos données personnelles.

Je dois dire, cependant, qu'à un endroit où je sais où le personnel a travaillé avec les principes LUA, ils n'ont pas eu d'infestation de virus appropriée pendant les trois années que j'ai vues; un autre service au même endroit où tout le monde était administrateur local et le personnel informatique avec l'administrateur du serveur ont eu plusieurs épidémies, dont l'une a pris une semaine de temps informatique pour nettoyer en raison de la propagation de l'infection via le réseau.

La mise en place prend un certain temps, mais les économies potentielles sont énormes si vous rencontrez des problèmes.

Des comptes séparés pour des tâches séparées sont la meilleure façon de voir les choses. Le principe du moindre privilège est le nom du jeu. Limitez l'utilisation des comptes "admin" aux tâches qui doivent être effectuées en tant que "admin".

Les opinions diffèrent quelque peu entre Windows et * nix, mais votre mention des administrateurs de domaine me fait penser que vous parlez de Windows, c'est donc le contexte auquel je réponds.

Sur un poste de travail, vous ne devriez normalement pas avoir besoin d'être administrateur, donc la réponse à votre question sera dans la plupart des cas NON. Cependant, il existe de nombreuses exceptions et cela dépend vraiment de ce que la personne fait sur la machine.

Sur un serveur, c'est un sujet de débat. Ma propre opinion est que je ne me connecte à un serveur que pour faire du travail d'administrateur, donc cela n'a pas de sens de se connecter en tant qu'utilisateur, puis d'exécuter chaque outil séparé en utilisant run-as, ce qui a été franchement toujours une vraie douleur dans le vous-savez-quoi et pour la plupart des emplois, cela rend la vie d'un administrateur trop difficile et prend beaucoup de temps. Étant donné que la plupart des tâches d'administration Windows sont effectuées à l'aide d'outils GUI, il existe un certain degré de sécurité qui n'est pas présent, par exemple, un administrateur Linux travaillant sur la ligne de commande, où une simple faute de frappe pourrait l'envoyer se précipiter pour la bande de sauvegarde de la nuit dernière.

ma vie est simple ... les comptes sont nommés de manière distincte et ont tous des mots de passe différents.

Compte Dieu - l'administrateur de domaine pour faire tout le travail côté serveur

compte demi-dieu pour administrer les PC - n'a aucun droit sur les partages / serveurs - uniquement sur les PC

utilisateur faible - je m'accorde un utilisateur avancé sur mon propre PC, mais je n'ai même pas ces droits sur d'autres PC

les raisons de la séparation sont nombreuses. il ne devrait y avoir aucun argument, faites-le!

Au risque d'être rejeté en enfer, je dois dire que cela dépend du flux de travail de l'administrateur. Pour moi personnellement, la grande majorité des choses que je fais sur mon poste de travail au travail auront besoin de ces informations d'identification d'administrateur. Vous avez des éléments intégrés comme des outils de gestion de domaine, des consoles de gestion tierces, des lecteurs mappés, des outils d'accès à distance en ligne de commande, des scripts, etc. La liste est longue. Devoir taper des informations d'identification pour presque chaque chose que vous ouvrez serait un cauchemar.

Les seules choses qui n'ont généralement pas besoin de privilèges d'administrateur sont mon navigateur Web, mon client de messagerie, mon client de messagerie instantanée et ma visionneuse PDF. Et la plupart de ces choses restent ouvertes de la connexion à la déconnexion. Je me connecte donc avec mes informations d'identification d'administrateur, puis je lance toutes mes applications privées faibles avec un compte privé faible. C'est beaucoup moins compliqué et je ne me sens pas moins sûr de le faire.