Estou tentando reforçar a segurança do meu domínio e parte desse processo (como depois do RTFM) é:
- Contas de administrador de serviço - para serviços (antivírus, Spiceworks, Agendador de tarefas, backup NAS, administrador SQL, etc.)
- Contas de administrador pessoal para administradores (CIO, CTO, RD Mgr...)
- tente limitar o uso do administrador de domínio para NULL
no entanto, estou tendo problemas para organizar mentalmente como essas contas deveriam ser:
para as contas de serviço ADM - é bastante claro (ter acesso apenas ao que eles precisam fazer e remover o acesso à GUI)
mas para os administradores pessoais: quais são as credenciais que eles (eu e outros) precisam ter?
Como irei criar literalmente o mesmo trabalho, apenas faça login como adm.myuser.name com uma senha, devo me adicionar ao grupo Administradores?
- Fazer isso ajuda um pouco a controlar os usuários, limitar contas compartilhadas, etc., mas é assim que deveria ser feito?
qual é a melhor prática para ter esses administradores de domínio pessoal?
Assim que eu começar nesse caminho, haverá muito mais usuários que precisarei controlar e monitorar - como faço isso? - Como monitoro meu usuário srv.adm.sql?
Responder1
Em relação às contas de administrador pessoal, há dois caminhos a seguir aqui:
- Todos recebem uma conta de administrador pessoal, bem como uma conta de usuário normal.
- Todos recebem uma conta de administrador pessoal que usam para coisas normais.
Obviamente, a primeira é a opção mais segura, mas a realidade sugere que muitos administradores simplesmente usarão essa opção e não se preocuparão com a outra. É por isso que a segunda opção existe. Contas de administrador separadas aumentam a auditabilidade do seu ambiente, o que é algo certo e verdadeiro a se fazer.
Viver com duas contas, uma normal e outra elevada, é bastante factível, mas exige algum trabalho para realmente conviver com sucesso. O problema com o Windows é que às vezes ele só funciona para “executar” certas ferramentas de gerenciamento como sua conta elevada. Uma opção é ter um Terminal Server em algum lugar onde os administradores devam fazer login para usar suas contas elevadas. Outra opção são máquinas virtuais somente para administradores.
Quanto ao monitoramento de seu uso, seria necessária alguma forma de monitoramento de segurança em todo o ambiente, que você pode ou não ter. Existem muitas maneiras de fazer isso, o que está além do escopo desta questão. Se você optar pela rota 'contas de administrador separadas, login restrito a determinadas estações de trabalho administrativas', poderá monitorar esses logs de segurança diretamente, o que pode ser mais fácil do que uma solução para todo o ambiente.