Estoy realizando algunos cambios fundamentales en un entorno de Windows Server 2003/2008. En el lado de Unix, mis restricciones de seguridad son simples:
- Los usuarios que deberían tener derechos de administrador están en un grupo especial ("rueda" o similar).
- Cuando esos usuarios inician sesión en esas máquinas, todavía no tienen derechos de administrador, hasta que ejecutan explícitamente un comando con esos derechos de administrador ("comando sudo" o "su").
- Incluso cuando ejecutan el comando con "su" (algo así como "runas"), todavía necesitan ingresar una contraseña: la suya.
En este sistema, puedo controlar quién tiene privilegios de administrador (según la membresía del grupo), evitar que ejecuten accidentalmente algo con privilegios de administrador (al requerir "su" o "sudo") y nunca revelar un "Administrador" principal (es decir, "root"), ya que se les solicita la suya propia.
¿Cómo hago el equivalente en Windows Server? Las opciones como yo lo veo son:
- Agregar usuario a la cuenta de administradores locales: pero luegotodolo que hacen es como administrador, arriesgándose a cometer errores.
- Solicitarles que hagan "runas Administrator": pero luego deben conocer la contraseña del administrador, que no quiero que se comparta.
¿Existe alguna solución en la que pueda simultáneamente: controlar quién tiene acceso por membresía del grupo; evitar que accidentalmente hagan cosas dañinas al requerir una contraseña separada; ¿Evitar que alguna vez conozcan la contraseña de administrador?
Respuesta1
En primer lugar, sólo los administradores deben obtener acceso de administrador, por lo que, a menos que haya una ENORME (no se me ocurre ninguna buena) razón por la que lo necesiten, entonces debería dejarse en manos de los administradores; Hay raras ocasiones en las que un usuario normal obtiene privilegios de administrador, e incluso entonces soy escéptico sobre por qué los necesita.
En segundo lugar, puede lograr lo que desea utilizando la Membresía de grupo en Windows. No dijiste que estabas usando Active Directory, así que no estoy seguro si tienes un dominio y lo estás haciendo, pero puedes crear grupos de seguridad y agregarles cuentas de usuario individuales. Mira aquí. No agregaría usuarios al grupo de administradores locales en el servidor individualmente, ya que esto se volverá complicado y será difícil realizar un seguimiento en el futuro, y le generará muchos dolores de cabeza y posibles problemas de seguridad. Lo que haría, como se mencionó anteriormente, es crear un grupo de seguridad y agregar los miembros que desea que tengan acceso de administrador a este grupo. Crearía dos cuentas de usuario para sus usuarios; una para iniciar sesión normalmente y luego una segunda cuenta que solo se usó para acciones elevadas. Agregaría la cuenta "superior/privilegiada" de los usuarios al grupo de seguridad, luego, puede colocar este grupo en una membresía de grupo local elevada en el servidor real, digamos Usuarios avanzados, por ejemplo. Esto les permitirá realizar muchas funciones sin ser administradores. A veces, el grupo necesitará acceso de administrador local y en ese momento podrá colocar el grupo en ese grupo de administrador local en el servidor.
En cuanto a Ejecutar como administrador, no es necesario que lo haga todo el tiempo. La mejor manera de hacer que las personas ejecuten cosas sin conocer la contraseña del administrador o de cualquier administrador es usar Shift+clic derecho y luego seleccionar Ejecutar como usuario diferente, o hacer clic derecho y ejecutar como administrador. Primero querrá crear un usuario separado para ellos que tenga derechos más altos o derechos elevados como se mencionó anteriormente (este usuario elevado se agregaría nuevamente al grupo de seguridad como se mencionó anteriormente), ya que luego este usuario podría usarse para ejecutar cosas que requiere elevación todo el tiempo mientras inicia sesión con una cuenta de usuario normal/estándar. Mira mi captura de pantalla:
Eso debería encargarse de lo que desea hacer en cuanto a ejecutar cosas como administrador. Una nota final que podría agregar es mantener la UAC. Si hace esto, los usuarios deberán escribir su contraseña (elevada) y no una contraseña de administrador para las cosas que hagan en el servidor. Es una molestia tener que escribir mucho, pero por seguridad vale la pena.
Respuesta2
Deje su cuenta estándar como "estándar". Créeles una segunda cuenta privilegiada y agréguela a los distintos grupos administrativos. Utilice 'runas' con la cuenta privilegiada. (Puede que le resulte útil desactivar los inicios de sesión interactivos con la cuenta de administrador, pero, de nuevo, esto probablemente resulte molesto).
Respuesta3
En Server 2003, necesitaría usar la Run As...opción para ejecutar como una cuenta con privilegios administrativos.
Con el servidor 2008+,tu usas UAC, y/o la Run as Administratoropción que sugeriste. Esto no requiere saber la contraseña paraelCuenta administrativa [local]: cualquier credencial administrativa servirá.
Entonces agregaría sus cuentas a los grupos administrativos locales, o mejor, desde el punto de vista de la seguridad, crearía cuentas administrativas separadas y las agregaría a los grupos administrativos locales. Luego, cuando necesiten ejecutar algo con privilegios administrativos, UAC solicitará credenciales administrativas y/o usarán la opción Run As.../ Run as Administrator.