Windows

一直以管理員身份登錄不好嗎?

  • September 25, 2012

在我工作的辦公室,其他三名 IT 員工一直使用域管理員組成員的帳戶登錄他們的電腦。

我非常擔心使用管理員權限(本地或域)登錄。因此,對於日常電腦使用,我使用一個只有普通使用者特權的帳戶。我還有一個屬於域管理員組的不同帳戶。當我需要在我的電腦、其中一台伺服器或其他使用者的電腦上執行需要提升特權的操作時,我會使用此帳戶。

這裡的最佳做法是什麼?網路管理員是否應該始終以整個網路的權限登錄(或者甚至他們的本地電腦)?

絕對最佳實踐是Live User, Work Root。您在伺服器故障上每 5 分鐘刷新一次時所登錄的使用者應該是普通使用者。您用來診斷 Exchange 路由問題的應該是 Admin。獲得這種分離可能很困難,因為在 Windows 中至少它需要雙登錄會話,這在某種程度上意味著兩台電腦。

  • 虛擬機可以很好地解決這個問題,這就是我解決它的方法。
  • 我聽說組織將其提升的帳戶登錄限制為內部託管的某些特殊虛擬機,並且管理員依靠 RDP 進行訪問。
  • UAC 有助於限制管理員可以做的事情(訪問特殊程序),但持續的提示可能就像必須遠端進入另一台機器來做需要做的事情一樣煩人。

為什麼這是最佳實踐?部分是因為我這麼說,很多其他人也是如此。SysAdminning 沒有以任何明確方式設置最佳實踐的中央機構。在過去十年中,我們發布了一些 IT 安全最佳實踐,建議您僅在實際需要時才使用提升的權限。一些最佳實踐是通過系統管理員在過去 40 多年的經驗形成的。來自 LISA 1993 的一篇論文(連結),來自 SANS 的範例論文(連結,一個 PDF),來自 SANS 的“關鍵安全控制”部分涉及到這一點(連結)。

引用自:https://serverfault.com/questions/224467