Ich versuche, die Sicherheit meiner Domain zu verbessern, und ein Teil dieses Prozesses (wie nach somr RTFM) ist:
- Dienstadministratorkonten – für Dienste (Antivirus, Spiceworks, Taskplaner, NAS-Backup, SQL-Admin usw.)
- Persönliche Administratorkonten für Administratoren (CIO, CTO, RD Mgr...)
- Versuchen Sie, die Verwendung des Domänenadministrators auf NULL zu beschränken
Allerdings fällt es mir schwer, die Konten in meinem Kopf so zu ordnen, wie sie sein sollten:
für die Service-ADM-Konten – es ist ziemlich klar (Sie haben nur Zugriff auf das, was sie tun müssen, und entfernen den GUI-Zugriff)
aber für die persönlichen Administratoren: Welche Anmeldeinformationen müssen sie (ich und andere) haben?
Da ich im wahrsten Sinne des Wortes dieselbe Arbeit erstelle und mich nur als adm.myuser.name mit einem Kennwort anmelde, sollte ich mich der Administratorgruppe hinzufügen?
- Dies hilft zwar ein wenig bei der Kontrolle der Benutzer, der Begrenzung gemeinsam genutzter Konten usw., aber ist das die richtige Vorgehensweise?
Was ist die beste Vorgehensweise, um solche persönlichen Domänenadministratoren einzusetzen?
Wenn ich diesen Weg erst einmal einschlage, gibt es so viele weitere Benutzer, die ich kontrollieren und überwachen muss. Wie mache ich das? - Wie überwache ich meinen srv.adm.sql-Benutzer?
Antwort1
Bezüglich persönlicher Administratorkonten gibt es zwei Möglichkeiten:
- Jeder erhält ein persönliches Administratorkonto sowie ein normales Benutzerkonto.
- Jeder erhält ein persönliches Administratorkonto, das er für normale Dinge verwendet.
Natürlich ist die erste Option die sicherere, aber die Realität zeigt, dass viele Administratoren nur diese verwenden und sich nicht mit der anderen Option beschäftigen. Deshalb gibt es die zweite Option. Separate Administratorkonten erhöhen die Überprüfbarkeit Ihrer Umgebung, was richtig und richtig ist.
Das Leben mit zwei Konten, einem normalen und einem mit erhöhten Rechten, ist durchaus machbar, erfordert aber einige Arbeit, um wirklich erfolgreich damit zu leben. Das Problem mit Windows besteht darin, dass es nur manchmal funktioniert, bestimmte Verwaltungstools mit Ihrem erhöhten Konto „auszuführen“. Eine Möglichkeit besteht darin, irgendwo einen Terminalserver zu haben, bei dem sich Administratoren anmelden müssen, um ihre erhöhten Konten zu verwenden. Eine andere Möglichkeit sind virtuelle Maschinen nur für Administratoren.
Um ihre Nutzung zu überwachen, wäre eine Art umgebungsweite Sicherheitsüberwachung erforderlich, die Sie möglicherweise haben oder nicht. Es gibt viele Möglichkeiten, dies zu tun, was über den Rahmen dieser Frage hinausgeht. Wenn Sie sich für den Weg „separate Administratorkonten, Anmeldung auf bestimmte Administrator-Arbeitsstationen beschränkt“ entscheiden, können Sie diese Sicherheitsprotokolle direkt überwachen, was möglicherweise einfacher ist als eine umgebungsweite Lösung.