도메인 관리자를 위해 도메인에 별도의 로그인을하는 것이 모범 사례입니까?


33

나는 일반적으로 나 자신을 위해 별도의 로그인을 설정하고, 하나는 일반 사용자 권한이 있고 다른 하나는 관리 작업을 위해 설정합니다. 예를 들어 도메인이 XXXX 인 경우 XXXX \ bpeikes와 XXXX \ adminbp 계정을 설정했습니다. 솔직히 관리자로 로그인 한 것을 신뢰하지 않기 때문에 항상 해냈지만, 내가 일했던 모든 곳에서 시스템 관리자는 일반적인 계정을 Domain Admins 그룹에 추가하는 것 같습니다.

모범 사례가 있습니까? MS에서 기사를 보았습니다 .Run As를 사용하고 관리자로 로그인하지 않아야한다고 말한 것으로 나타 났지만 구현 예제를 제공하지 않으며 다른 사람이 본 적이 없습니다.


1
주로 Linux / Unix를 다루고 Windows 전문가가 아닌 사람으로서 UAC가 정확히 고쳐야하는 것이 아닙니까? 즉, 하나의 계정을 사용할 수는 있지만 승인 된 프로세스 만 관리 권한을 갖도록 할 수 있습니다.
Dolda2000

@ Dolda2000 UAC는 최종 사용자가 로컬 컴퓨터에서 관리자로 실행하는 습관이 더 많았습니다. 로컬 컴퓨터에서 도메인 관리자로 실행하는 경우 추가로 우려 할 사항이 있습니다. 자격 증명과 액세스는 컴퓨터에 바이러스를 설치하는 것보다 훨씬 더 나쁘게 사용될 수 있습니다. 전체 도메인.
HopelessN00b

1
@ HopelessN00b : UAC가 해당 사항에 적용되지 않는다고 말하고 있습니까? 왜 안돼? 기술적 인 이유가 있거나 구현이 단순히 부족합니까?
Dolda2000

2
@ Dolda2000 음, UAC는 로그온 한 관리 사용자의 사용자 컨텍스트를 사용하여 최종 사용자 및 소비자 PC에 자신을 설치할 수있는 맬웨어 문제를 해결해야했습니다. 그리고 그렇습니다. 또한 특정 벡터가 도메인 관리자의 사용자 컨텍스트를 사용하여 맬웨어를 로컬로 설치하는 것을 차단하지만 제한된 사용자 대신 도메인 관리자로 실행하는 데 관련된 보안 문제의 범위는 아닙니다.
HopelessN00b

1
@ Dolda2000 UAC는 프로세스가 로컬 컴퓨터에서 권한있는 기능을 실행하지 못하게합니다. 도메인 관리자로 로그인 한 경우 다른 시스템에서 권한있는 명령을 원격으로 실행할 수 있으며 UAC 프롬프트없이 원격 시스템에서 권한이 높은 명령이 실행됩니다. 따라서이를 악용하도록 특별히 설계된 맬웨어는 UAC 프롬프트를 보지 않고도 전체 도메인을 감염시킨 다음 다른 원격 컴퓨터를 사용하여 로컬 컴퓨터를 감염시킬 수 있습니다.
Monstieur

답변:


25

"모범 사례"는 일반적으로 LPU (최소 권한 사용자)를 지시하지만 사람들이이 모델을 거의 따르지 않는 것은 ETL 및 Joe와 마찬가지로 +1입니다.

2 개의 계정을 만들고 다른 사람과 공유하지 않는 것이 좋습니다. 하나의 계정에는 이론적으로 사용중인 로컬 워크 스테이션에 대한 관리자 권한이 없어야하지만 요즘에는 특히 UAC를 사용하여 해당 규칙을 따르는 사람이 있습니다 (이론적으로 사용하도록 설정되어 있어야 함).

이 경로를 가고 싶은 이유에는 여러 가지가 있습니다. 보안, 편의성, 회사 정책, 규제 제한 (있는 경우), 위험 등을 고려해야합니다.

지키는 Domain AdminsAdministrators최소한의 계정으로 도메인 수준 그룹의 친절하고 깨끗한 항상 좋은 아이디어이다. 그러나 일반적인 도메인 관리자 계정을 피할 수 있다면 공유하지 마십시오. 그렇지 않으면 누군가 무언가를하고 나서 sysadmins 사이에서 "그 계정을 사용한 사람이 아니 었습니다"라는 손가락을 가리킬 위험이 있습니다. 개별 계정을 보유하거나 CyberArk EPA와 같은 것을 사용하여 올바르게 감사하는 것이 좋습니다.

또한 이러한 행 Schema Admins에서 스키마를 변경 한 다음 계정을 입력하고 변경하고 계정을 제거하지 않으면 그룹은 항상 비어 있어야합니다. Enterprise Admins특히 단일 도메인 모델에서도 마찬가지 입니다.

또한 권한있는 계정이 네트워크에 VPN을 허용하지 않아야합니다. 일반 계정을 사용한 다음 필요에 따라 한 번 들어 올립니다.

마지막으로 권한있는 그룹을 감사하기 위해 SCOM 또는 Netwrix 또는 기타 다른 방법을 사용하고 해당 그룹의 구성원이 변경 될 때마다 IT의 해당 그룹에 알리십시오. 이렇게하면 "잠깐만 기다리세요. 왜 그렇게 갑자기 도메인 관리자입니까?"라고 말할 수 있습니다. 기타

하루가 끝날 무렵 "최상의 실습"이라고 불리는 이유가 있습니다. "실습 만"이 아닙니다. IT 그룹은 자체 요구 사항과 철학에 따라 적절한 선택을 할 수 있습니다. (Joe가 말한 것처럼) 일부는 단순히 게으르다 ... 다른 사람들은 이미 수백 건의 매일 화재가 발생할 때 하나의 보안 구멍을 막는 데 관심이 없기 때문에 신경 쓰지 않습니다. 그러나 이제이 모든 내용을 읽었으므로 선한 싸움에 맞서 싸울 수있는 일 중 하나를 고려하고 안전하게 지키십시오. :)

참고 문헌 :

http://www.microsoft.com/en-us/download/details.aspx?id=4868

http://technet.microsoft.com/en-us/library/cc700846.aspx

http://technet.microsoft.com/en-us/library/bb456992.aspx


최소 권한은 대부분 비 관리자 계정에 적용됩니다. 자격 증명 분리는 권한이 낮은 권한있는 자격 증명으로 인해 손상된 시스템에서 자격 증명을 사용하는 경우 최소한의 관점에서 도움이되지 않습니다.
Jim B

그러나 "LPU"는 필요에 따라 권한있는 그룹에만 액세스 권한을 부여하는 것으로 간주합니다. 많은 IT 부서. 액세스에 대한 무수한 요청을 처리하는 것보다 훨씬 쉬우므로 DA 액세스를 제공하십시오.
TheCleaner

28

AFAIK, 도메인 / 네트워크 관리자는 워크 스테이션에 로그온하기위한 표준 사용자 계정을 사용하여 일상적인 "사용자"작업 (이메일, 문서 등)을 수행하고 적절한 이름의 관리 계정을 갖는 것이 가장 좋습니다. 그룹 멤버쉽을 통해 관리 작업을 수행 할 수 있습니다.

기존 IT 직원이이 방법으로 익숙하지 않은 경우 구현하기는 어렵지만이 모델을 따르려고합니다.

개인적으로,이 방향으로 움직일 수있는 IT 직원을 찾으면 게 으르거나 경험이 없거나 시스템 관리 관행을 이해하지 못한다고 생각합니다.


12

보안상의 이유로 모범 사례입니다. 다른 사람들이 언급했듯이 실수로 무언가를하지 못하거나 네트워크 탐색으로 인해 타협하지 못하게합니다. 또한 개인 브라우징으로 인한 피해를 제한 할 수 있습니다. 이상적으로 일상 업무에는 로컬 관리자 권한이 없어도 도메인 관리자가 훨씬 적습니다.

또한 해시 또는 Windows 인증 토큰 하이재킹 을 방지하는 데 매우 유용합니다 . ( ) 적절한 침투 테스트는이를 쉽게 증명할 수 있습니다. 즉, 공격자가 로컬 관리자 계정에 액세스하면 해당 권한을 사용하여 도메인 관리자 토큰이있는 프로세스로 마이그레이션합니다. 그러면 그들은 효과적으로 그러한 힘을 갖게됩니다.

이것을 사용하는 사람들의 예를 들어, 우리 회사는합니다! (200 명, 6 명의 운영팀) 실제로 도메인 관리자는 -THREE- 개의 계정을 가지고 있습니다. 일상적인 사용을위한 것, 로컬로 PC 관리 / 설치를위한 것. 세 번째는 도메인 관리자 계정이며 서버 및 도메인 관리에만 사용됩니다. 우리가 더 편집증 적이거나 안전 해지기를 원한다면 4 분의 1이 될 것입니다.


세 가지 계정 ... 흥미 롭다 ... 회사의 도메인 변경에 대해 고려해야합니다.
pepoluan

1
우리 회사에서도 마찬가지입니다. 일반 데스크톱 계정, 클라이언트 컴퓨터의 로컬 관리자 액세스를위한 관리자 계정 및 별도의 서버 관리자 계정 두 관리자 계정 모두 이메일과 인터넷에 액세스 할 수 없습니다. 한 가지 문제는 서버 관리자 계정에 워크 스테이션에 대한 로컬 관리자 권한이 필요하거나 UAC가 서버 관리자 계정으로 RunAs를 사용하여 로컬로 MMC를 실행하는 것을 방해한다는 것입니다. RDP를 사용하여 서버에서 모든 것을 실행할 수 있지만 복사 / 붙여 넣기 또는 데스크톱 계정에서 실행되는 데이터와 비교해야 할 경우 실제로 방해가됩니다.
Tonny

우리는 관리 작업을 위해 Domain Admins RDP를 서버에 배치하는 것과 꽤 잘했습니다. Copy & Paste는 실제로 RDP에서 놀랍도록 잘 움직입니다. 그리고 단일 서버에는 모든 관리 유틸리티가 이미 설치되어 있습니다. 그러나 그 말은 ... 나는 Domain Admins 그룹에 기본적으로 로컬 관리자 권한이 있다고 생각합니다. 토큰 도용 등을 방지하기 위해 데스크톱에 손을 대지 않는 자격 증명을 선호합니다.
Christopher Karel

8

이전 회사에서는 모든 시스템 관리자가 2 개의 계정을 가졌다 고 주장했습니다.

  • 도메인 \ st19085
  • DOMAIN \ st19085a (관리자의 경우 "a")

동료들은 처음에는 꺼려했지만 바이러스 위협에 대한 일반적인 질문 인 "바이러스 백신을 얻었습니다"는 오래된 바이러스 데이터베이스에 의해 폭로 된 후 ...

  • 언급했듯이 RUNAS 명령을 사용할 수 있습니다 (배치 스크립트를 사용하여 사용자 정의 메뉴를 표시하고 RUNAS 명령으로 특정 작업을 시작했습니다).

  • 또 다른 것은 Microsoft Management Console을 사용하는 것입니다. 필요한 도구를 저장하고 마우스 오른쪽 단추를 클릭 하고 실행 도구 및 도메인 관리자 계정으로 도구를 시작할 수 있습니다.

  • 마지막으로, 최소한 PowerShell 관리자를 도메인 관리자로 시작하고 필요한 항목을 시작했습니다.

6
이것은 본질적으로 내가 말한 모든 곳에서 내가 사용하고 다른 사람들에게 강요 한 구현입니다. 컴퓨터에 로그온하여 다른 사람처럼 일상적인 작업을 일반 사용자로 수행합니다. 당신이 관리자 권한을 필요로 할 때, 당신은 Run As/ Run as Administrator및 관리 사용자 계정을 사용합니다. 모든 것에 대해 하나의 계정을 사용하는 것은 나쁜 보안 관행이며, 내 경험상 이의를 제기하는 사람들은 관리자 권한으로 모든 것을 실행하는 데 가장 고립 된 사람들입니다.
HopelessN00b

@ HopelessN00b의 +1 훌륭한 관찰 : "
이의를 제기

실제로 관리자 만 실행하기 위해 잠겨있는 별도의 워크 스테이션을 사용해야합니다.
Jim B

4

나는 두 가지 방법으로 일하는 곳에서 일했으며 일반적으로 별도의 계정을 선호합니다. joeqwerty의 꺼리는 사용자 / 고객이 생각하는 것과는 달리 실제로는 훨씬 더 쉽습니다.

도메인 관리 활동을 위해 일상적인 일상 계정을 사용하는 장점 : 예, 모든 관리 도구는 runas없이 내 워크 스테이션에서 작동합니다! W00t!

도메인 관리 활동을 위해 일상적인 일상 계정을 사용하는 단점 : 두려움. ;) 데스크톱 기술은 컴퓨터에 문제가 있는지 파악할 수 없기 때문에 컴퓨터를 살펴 보라고 요청합니다. 로그인하면 바이러스가 있습니다. 네트워크 케이블을 분리하고 비밀번호를 변경하십시오 (다른 곳에서). 관리자가 휴대 전화 제공 업체를 통해 개인 블랙 베리에 업무용 이메일을받지 못한 이유를 물으면 관리자가 DOMAIN ADMIN 비밀번호를 서버에 저장한다고 설명합니다. 기타 등등. 당신의 특권이있는 암호는 웹 메일, VPN,이 웹 페이지에 로그인하는 데 사용됩니다. (공개적으로, 내 계정은 "비밀번호 변경"웹 페이지에서 차단되었으므로 적어도 해당 내용이 있습니다. 웹 페이지가 동기화 된 기존 LDAP 비밀번호를 변경하려면 가야합니다. 동료의 책상에.)

도메인 관리자 활동에 다른 계정을 사용하는 장점 : 의도. 이 계정은 이메일, 웹 메일, VPN, 웹 페이지 로그인 등을위한 것이 아니라 관리 도구 등을 위한 것 입니다. 따라서 일반적인 "사용자"활동으로 인해 전체 도메인이 위험에 노출 될 우려가 줄어 듭니다.

도메인 관리자 활동에 다른 계정 사용의 단점 : 관리 도구에 runas를 사용해야합니다. 그것은 그렇게 고통스럽지 않습니다.

TL; DR 버전 : 별도의 계정을 갖는 것이 훨씬 쉽습니다. 또한 가장 필요한 권한이 없으므로 모범 사례 입니다.


2

최소한 Priv는 충분한 이유가되지만 그렇지 않은 경우에는 사용자와 동일한 권한을 가진 계정을 사용하는 경우 문제가 발생할 가능성이 높으며 자신의 계정으로 디버깅 할 수 있다는 점도 고려하십시오. 그들도 종종 그들을보기도 전에!

"나에게 효과적"이라고 말하고 티켓을 닫는 관리자보다 나쁘지 않습니다. :)


사용자 수준 계정을 매일 사용하면 문제 해결 효과가 향상됩니다.
Reinstate Monica

1

모든 이론에서 일상적인 활동에 최고 관리자 로그온을 사용하지 않는 것이 가장 좋습니다. 바이러스와 같은 여러 가지 이유가 있습니다. 바이러스에 감염되어 도메인 관리자 로그온을 실행중인 경우 바이러스가 네트워크에 쉽게 접근 할 수 있습니다. 가능한 실수는 확실히 확인하기 쉽지만 가장 큰 도전이라고는 생각하지 않습니다. 캠퍼스를 돌아 다니면서 최고 관리자로 로그온하면 누군가 어깨 너머로 비밀번호를 찾고있을 수 있습니다. 그런 종류의 것들.

그러나 실용적입니까? 나는 그 규칙을 따르는 것이 어렵다는 것을 알지만 그것을 따르고 싶습니다.


0

실제 경험을 바탕으로 내 2 센트를 추가 ..

일상 업무에 관리자 계정을 사용하고 있다는 사실을 알고주의를 기울이면 자신이하는 일에 매우 신중하게 대처할 수 있습니다. 따라서 이메일 / 링크를 클릭하거나 삼중 검사없이 응용 프로그램을 실행할 수 있습니다. 나는 그것이 당신의 발가락에 당신을 유지 생각합니다.

일상 업무에 최소 권한 계정을 사용하면 부주의하게됩니다.


그것은 좋은 이론이지만 내 경험으로는 작동하지 않습니다 (적어도 모든 사람에게 해당되는 것은 아닙니다). 동료가 실수로 프로덕션 시스템에서 대량의 데이터를 삭제하는 것을 보았습니다 (명령 줄의 잘못된 위치에 공백이 있으면 충분합니다).
제랄드 슈나이더

이론이 아니라 우리는 여기서 경험합니다 ;-) 내 경험상, 당신은 당신이 그러한 특권을 부여 할 사람들을 조사하고 단지 요청을 위해 그들을 넘겨주는 것이 아닙니다.
badbanana
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.