Estoy tratando de reforzar la seguridad de mi dominio y parte de este proceso (como después de algo de RTFM) es:
- Cuentas de administrador de servicios: para servicios (antivirus, Spiceworks, programador de tareas, copia de seguridad NAS, administrador de SQL, etc.)
- Cuentas de administrador personal para administradores (CIO, CTO, RD Mgr...)
- intente limitar el uso del administrador del dominio a NULL
sin embargo, tengo problemas para organizar en mi cabeza cómo deberían ser estas cuentas:
para las cuentas de servicio ADM: está bastante claro (tienen acceso solo a lo que necesitan hacer y eliminan el acceso a la interfaz gráfica de usuario)
pero para los administradores personales: ¿cuáles son las credenciales que ellos (yo y otros) debemos tener?
Dado que crearé literalmente el mismo trabajo, solo iniciaré sesión como adm.myuser.name con una contraseña, ¿debería agregarme al grupo de Administradores?
- Hacer eso ayuda un poco a controlar a los usuarios, limitar las cuentas compartidas, etc., pero ¿es así como se debe hacer?
¿Cuál es la mejor práctica para tener administradores de dominio personales?
Una vez que comience en este camino, habrá muchos más usuarios que tendré que controlar y monitorear. ¿Cómo lo hago? - ¿Cómo superviso mi usuario srv.adm.sql?
Respuesta1
En cuanto a las cuentas de administrador personal, hay dos caminos a seguir:
- Todos obtienen una cuenta de administrador personal, así como una cuenta de usuario normal.
- Todos obtienen una cuenta de administrador personal que usan para cosas normales.
Obviamente, la primera es la opción más segura, pero la realidad sugiere que muchos administradores simplemente usarán esa y no se molestarán con la otra. Por eso existe la segunda opción. Las cuentas de administrador separadas aumentan la auditabilidad de su entorno, lo cual es correcto y verdadero.
Vivir con dos cuentas, una normal y otra elevada, es bastante factible, pero requiere algo de trabajo para vivir con éxito. El problema con Windows es que a veces sólo funciona para "ejecutar" ciertas herramientas de administración como su cuenta elevada. Una opción es tener un servidor Terminal en algún lugar donde los administradores deban iniciar sesión para usar sus cuentas elevadas. Otra opción son las máquinas virtuales solo para administradores.
En cuanto a monitorear su uso, requeriría algún tipo de monitoreo de seguridad en todo el entorno, que usted puede tener o no. Hay muchas maneras de hacerlo, lo cual está más allá del alcance de esta pregunta. Si opta por la ruta 'cuentas de administrador separadas, inicio de sesión restringido a ciertas estaciones de trabajo de administrador', puede monitorear esos registros de seguridad directamente, lo que puede ser más fácil que una solución para todo el entorno.