हर समय व्यवस्थापक के रूप में लॉग इन करने के लिए बुरा है?

20

जिस कार्यालय में मैं काम करता हूं, वहां आईटी स्टाफ के अन्य सदस्यों में से तीन अपने कंप्यूटर में हर समय उन खातों के साथ लॉग इन होते हैं जो डोमेन प्रशासक समूह के सदस्य होते हैं।

मुझे व्यवस्थापक अधिकारों (या तो स्थानीय या डोमेन के लिए) के साथ लॉग इन होने के बारे में गंभीर चिंताएं हैं। जैसे, रोजमर्रा के कंप्यूटर के उपयोग के लिए, मैं एक ऐसे खाते का उपयोग करता हूं, जिसमें सिर्फ नियमित उपयोगकर्ता विशेषाधिकार हैं। मेरा एक अलग खाता भी है जो कि डोमेन व्यवस्थापक समूह का हिस्सा है। मैं इस खाते का उपयोग तब करता हूं जब मुझे कुछ ऐसा करने की आवश्यकता होती है, जिसके लिए मेरे कंप्यूटर पर, किसी एक सर्वर पर, या किसी अन्य उपयोगकर्ता के कंप्यूटर पर निजीकरण की आवश्यकता होती है।

यहां सबसे अच्छा अभ्यास क्या है? क्या पूरे समय नेटवर्क के अधिकारों के साथ नेटवर्क प्रवेश को लॉग इन किया जाना चाहिए (या उस मामले के लिए उनका स्थानीय कंप्यूटर भी)?

windows  security  best-practices 
प्रहार
स्रोत
मुझे हमेशा लगता था कि बेवकूफ है। मैंने ऐसा करने का एक अच्छा कारण नहीं सुना। शायद खिड़कियों पर माता-पिता को सीमित खाते दे रहे हैं, लेकिन हम हमारे खातों के उपयोग के बारे में बात कर रहे हैं
कभी एक बच्चा अपने पीसी पर सामान क्लिक करने के आसपास चल रहा था? कैसे आप एमपी 3 फ़ोल्डर के बजाय मुख्य डेटा शेयर को गलती से निकाल रहे हैं।
बारफील्डम
1
कृपया इस सवाल पर "विंडोज़" टैग जोड़ें
जोएलफैन
@Barfieldmv, यह सवाल एक कामकाजी माहौल के बारे में है, न कि आपके लाउंज में पीसी के बारे में। बच्चों को इसके पास कहीं भी नहीं होना चाहिए और आकस्मिक विलोपन को बैकअप से बहाल किया जा सकता है।
जॉन गार्डनियर्स

जवाबों:

36

निरपेक्ष सर्वोत्तम अभ्यास लाइव उपयोगकर्ता, कार्य रूट के लिए है । जब आप सर्वर फॉल्ट पर हर 5 मिनट में रिफ्रेश करते हैं तो आप जिस उपयोगकर्ता के रूप में लॉग इन होते हैं, वह सामान्य उपयोगकर्ता होना चाहिए। Exchange रूटिंग समस्याओं का निदान करने के लिए आपके द्वारा उपयोग किया जाने वाला व्यवस्थापन होना चाहिए। इस पृथक्करण को प्राप्त करना कठिन हो सकता है, क्योंकि विंडोज में कम से कम इसे दोहरे लॉगिन-सत्रों की आवश्यकता होती है और इसका मतलब है कि किसी तरह से दो कंप्यूटर।

  • VMs इसके लिए अच्छी तरह से काम करते हैं, और यही मैं इसे हल करता हूं।
  • मैंने उन संगठनों के बारे में सुना है जो आंतरिक रूप से होस्ट किए गए कुछ विशेष वीएम को अपने उन्नत खातों को लॉगिन-प्रतिबंधित करते हैं, और प्रवेश के लिए आरडीपी पर भरोसा करते हैं।
  • UAC यह सीमित करने में मदद करता है कि एक व्यवस्थापक क्या कर सकता है (विशेष कार्यक्रमों तक पहुंच), लेकिन नित्य संकेत केवल एक पूरी अन्य मशीन में रिमोट करने के लिए उतना ही कष्टप्रद हो सकता है जितना कि करने की आवश्यकता है।

यह सबसे अच्छा अभ्यास क्यों है? भाग में यह इसलिए है क्योंकि मैंने ऐसा कहा है , और इसलिए बहुत कुछ करते हैं। SysAdminning में एक केंद्रीय निकाय नहीं है जो किसी भी तरह के निश्चित तरीके से सर्वोत्तम प्रथाओं को निर्धारित करता है। पिछले एक दशक में हमने कुछ आईटी सिक्योरिटी बेस्ट-प्रैक्टिस प्रकाशित किए हैं जो यह सुझाव देते हैं कि जब आप वास्तव में उनकी आवश्यकता होती है तो आप केवल उन्नत निजी का उपयोग करते हैं। पिछले 40+ वर्षों में कुछ सर्वश्रेष्ठ अभ्यासों को अनुभव के इशारों के माध्यम से sysadmins द्वारा निर्धारित किया गया है। LISA 1993 ( लिंक ) का एक पेपर, SANS का उदाहरण पेपर ( लिंक , एक PDF), SANS का एक सेक्शन 'महत्वपूर्ण सुरक्षा नियंत्रण' इस ( लिंक ) को छूता है ।

sysadmin1138
स्रोत
6
ध्यान दें कि विंडोज 7 में व्यवस्थापक खाता कहीं अधिक सीमित है और इसे दोहरे लॉगिन सत्रों की आवश्यकता नहीं है। यूएसी काफी अच्छी तरह से काम करता है। यह विस्टा में काफी कम काम करता है।
Ricket
6
@ टिकट, मैं कम से कम प्रवेश के लिए यूएसी के बारे में टिप्पणी से असहमत हूं। मैंने इसे अपने वर्कस्टेशन पर बंद कर दिया है क्योंकि लगभग हर सॉफ्टवेयर जो मैं उपयोग करता हूं, वह यूएसी के कारण मुझे अनुमति के लिए संकेत देता है। यह बहुत परेशान करता है और मुझे धीमा कर देता है ताकि इसकी सकारात्मकता नकारात्मक रूप से नकारात्मक हो जाए। "काफी अच्छी तरह से" काम करने के लिए, जैसा कि आप इसे कहते हैं, हमें यह बताने में सक्षम होना चाहिए कि हम निर्दिष्ट सॉफ़्टवेयर को हमेशा अनुमति दें या अस्वीकार करें लेकिन निश्चित रूप से यह उतना लचीला नहीं है। काफी सरल, यह एक अपरिपक्व और बीमार विचार है जो एक दिन एक मूल्यवान सुरक्षा घटक हो सकता है।
जॉन गार्डनियर्स
1
^ ध्यान दें कि उपरोक्त टिप्पणी में जुड़ा टेकनेट लेख पुराना है, जो विस्टा से पहले लिखा गया था (क्योंकि यह इसके कोडनेम, "लॉन्गहॉर्न" को संदर्भित करता है)। लेकिन XP उपयोगकर्ताओं के लिए यह बहुत मान्य है। @ मुझे लगता है कि हर किसी का माइलेज अलग-अलग होता है, लेकिन मुझे यूएसी पॉपअप कभी नहीं मिलता है और मैं सॉफ्टवेयर का काफी इस्तेमाल करता हूं। एकमात्र अपवाद इंस्टॉलर (duh) और कष्टप्रद जावा updater है। विस्टा बहुत खराब था, इसलिए यदि आपने विंडोज 7 के बाद से यूएसी की कोशिश नहीं की है, तो मैं निश्चित रूप से इसे वापस चालू करने की सलाह देता हूं, अन्यथा मुझे लगता है कि आप केवल पुराने / बुरी तरह से लिखे गए सॉफ़्टवेयर का उपयोग कर रहे हैं। वहाँ कोई रास्ता नहीं लगभग हर सॉफ्टवेयर प्रशासन की अनुमति के लिए संकेत देता है ...
20:20
1
@ टिकट, हम स्पष्ट रूप से बहुत अलग सॉफ्टवेयर का उपयोग करते हैं। मुझे लगता है कि हम बहुत अलग कार्य करते हैं। सिर्फ इसलिए कि आप जिस सॉफ़्टवेयर का उपयोग करते हैं, वह यूएसी को ट्रिगर नहीं करता है, इसका मतलब यह नहीं है कि यह दूसरों द्वारा उपयोग किए गए सॉफ़्टवेयर पर लागू होता है। जैसा कि आप अनुभव प्राप्त करते हैं आप इन चीजों को सीखेंगे। मैंने जो कहा वह तथ्य है। आप इस पर सवाल क्यों उठा रहे हैं?
जॉन गार्डनियर्स
1
@ कीथ स्टोक्स: आपने UAC के लिए संकेत देने के लिए खराब PuTTY का क्या किया है? पिल्ला चलाने के लिए उन्नयन की जरूरत नहीं है!
इवान एंडरसन
12

चूंकि यह एक विंडोज़ डोमेन है, इसलिए यह संभावना है कि वे जिन खातों का उपयोग कर रहे हैं, उनमें सभी वर्कस्टेशनों के लिए पूरा नेटवर्क एक्सेस है, इसलिए यदि कुछ बुरा होता है, तो यह सेकंड में नेटवर्क पर हो सकता है। पहला कदम यह सुनिश्चित करना है कि सभी उपयोगकर्ता दिन-प्रतिदिन के काम कर रहे हैं, वेब को ब्राउज़ करना, दस्तावेज़ लिखना, आदि लेस्टर यूजर एक्सेस के सिद्धांत के अनुसार ।

मेरा अभ्यास तब एक डोमेन खाता बनाने और सभी कार्यस्थानों (पीसी-व्यवस्थापक) पर खाता व्यवस्थापक विशेषाधिकार देने के लिए है, और सर्वर व्यवस्थापक कार्य (सर्वर-व्यवस्थापक) के लिए एक अलग डोमेन खाता है। यदि आप अपने सर्वर को एक-दूसरे से बात करने में सक्षम होने के बारे में चिंतित हैं, तो आपके पास प्रत्येक मशीन के लिए अलग-अलग खाते हो सकते हैं (<x> -admin, <y> -admin)। निश्चित रूप से डोमेन व्यवस्थापक नौकरियों को चलाने के लिए किसी अन्य खाते का उपयोग करने का प्रयास करें।

इस तरह, यदि आप पीसी-व्यवस्थापक खाते के साथ एक समझौता किए गए कार्य केंद्र पर कुछ कर रहे हैं, और यह नेटवर्क पर अन्य मशीनों पर प्राप्त करने की कोशिश करने के लिए आपके व्यवस्थापक विशेषाधिकार होने की संभावना को पकड़ लेता है, तो यह कुछ भी करने में सक्षम नहीं है। अपने सर्वर के लिए बुरा। इस खाते के होने का अर्थ यह भी है कि यह आपके व्यक्तिगत डेटा के लिए कुछ भी नहीं कर सकता है।

हालांकि, मुझे कहना होगा कि एक जगह मुझे पता है कि कर्मचारियों ने जहां एलयूए सिद्धांतों के साथ काम किया है, उनके पास तीन साल के दौरान उचित वायरस संक्रमण नहीं था जो मैंने देखा था; उसी स्थान पर एक और विभाग जिसमें सर्वर व्यवस्थापक के साथ स्थानीय व्यवस्थापक और आईटी कर्मचारियों के साथ सभी का कई प्रकोप था, जिनमें से एक ने नेटवर्क के माध्यम से संक्रमण फैलने के कारण सफाई के लिए एक सप्ताह का समय लिया था।

इसे सेट होने में कुछ समय लगता है, लेकिन यदि आप समस्याओं से जूझ रहे हैं तो संभावित बचत बहुत बड़ी है।

इयान हालम
स्रोत
मैं इस तरह से व्यवहार करता हूं, और अपने दिन भर के काम के लिए एक डोमेन खाते का उपयोग करता हूं, और जब मुझे जरूरत होती है तो अपने विशेषाधिकार प्राप्त व्यवस्थापक खाते को बढ़ाता हूं। मेरे अन्य सहकर्मी मुझ पर हंसते हैं, और मैं उनके काम के नतीजों को एक भयानक तरीके से प्रभावित करने के लिए इंतजार नहीं कर सकता, इसलिए मैं कह सकता हूं कि मैंने आपको ऐसा कहा।
गीतई
1

अलग कार्यों के लिए अलग खाते इसे देखने का सबसे अच्छा तरीका है। कम से कम निजीकरण का सिद्धांत खेल का नाम है। "व्यवस्थापक" खातों के उपयोग को उन कार्यों तक सीमित करें जिन्हें "व्यवस्थापक" के रूप में किया जाना है।

लियाम
स्रोत
1

विचार विंडोज और * निक्स के बीच कुछ हद तक भिन्न होते हैं, लेकिन आपके डोमेन व्यवस्थापक का उल्लेख मुझे लगता है कि आप विंडोज के बारे में बात कर रहे हैं, इसलिए यह वह संदर्भ है जिसमें मैं जवाब दे रहा हूं।

वर्कस्टेशन पर आपको सामान्य रूप से व्यवस्थापक होने की आवश्यकता नहीं होनी चाहिए, इसलिए अधिकांश मामलों में आपके प्रश्न का उत्तर NO होगा। हालांकि, बहुत सारे अपवाद हैं और यह वास्तव में उस व्यक्ति पर निर्भर करता है जो मशीन पर कर रहा है।

सर्वर पर यह बहुत बहस का विषय है। मेरा अपना विचार है कि मैं केवल व्यवस्थापक कार्य करने के लिए सर्वर पर लॉग इन करता हूं, इसलिए उपयोगकर्ता के रूप में लॉग ऑन करने का कोई मतलब नहीं है और फिर रन-एस का उपयोग करके प्रत्येक अलग टूल को चलाएं, जो हमेशा स्पष्ट रूप से एक वास्तविक दर्द रहा है आप-में-क्या और अधिकांश नौकरियों के लिए यह एक व्यवस्थापक के जीवन को अत्यधिक कठिन और समय लेने वाला बनाता है। क्योंकि ज्यादातर विंडोज एडमिन का काम GUI टूल्स का उपयोग करके किया जाता है, इसलिए सुरक्षा की एक डिग्री है जो कमांड लाइन पर काम करने वाले लिनक्स एडमिन के लिए मौजूद नहीं है, जहां एक साधारण टाइपो उसे कल रात के बैकअप टेप के लिए चिलचिलाती भेज सकता है।

जॉन गार्डनियर्स
स्रोत
+1, "आप सर्वर पर किस रूप में लॉग इन करते हैं" IS बहस का एक बड़ा केंद्र है।
sysadmin1138
1

मेरा जीवन सरल है ... खाते को विशिष्ट रूप से नाम दिया गया है, और सभी में अलग-अलग पासवर्ड हैं।

भगवान खाता - डोमेन व्यवस्थापक सभी सर्वर साइड काम करने के लिए

पीसी को संचालित करने के लिए डिमिगॉड खाते में शेयर / सर्वर का कोई अधिकार नहीं है - केवल पीसी के लिए

कमजोर उपयोगकर्ता - मैं अपने पीसी पर खुद को पावर उपयोगकर्ता प्रदान करता हूं, लेकिन मेरे पास अन्य पीसी पर उन अधिकारों को भी नहीं है

अलग होने के कारण कई हैं। कोई तर्क नहीं होना चाहिए, बस करो!

cwheeler33
स्रोत
मुझे तीन स्तरों पर विशेषाधिकार अलग करना पसंद है, लेकिन दूसरों को अभ्यास करने के लिए जो आप उपदेश देते हैं वह सिरदर्द होना चाहिए।
गीतई
यह कुछ वातावरणों में एक कठिन बिक्री हो सकती है। लेकिन अगर आप अपने आप को नीति निर्माताओं के लिए साबित कर सकते हैं, तो वे आपको इसे एक नीति बनाने में मदद करेंगे। कोई भी Exec अपनी कंपनी को तब ढीला नहीं करना चाहता जब एक निशुल्क और सरल समाधान मौजूद हो।
cwheeler33
आप # 4 को भूल गए: उपयोगकर्ता को ऑडिट करना कि कौन सा देवता लॉग करता है, जो अन्यथा अन्य सभी खातों से स्वतंत्र है। तो अगर कुछ हैकर आपके भगवान को तामसिक बना देता है, तो आप जानते हैं कि यह कैसे हुआ।
पार्थियन शॉट
0

नीचे नरक में मतदान होने के जोखिम पर, मुझे यह कहना होगा कि यह व्यवस्थापक के वर्कफ़्लो पर निर्भर करता है। मेरे लिए व्यक्तिगत रूप से, काम पर मैं अपने कार्य केंद्र पर काम कर रहा हूँ, जबकि उन व्यवस्थापक साख की आवश्यकता होगी। आपको डोमेन प्रबंधन उपकरण, तृतीय पक्ष प्रबंधन कंसोल, मैप किए गए ड्राइव, कमांड लाइन रिमोट एक्सेस टूल, स्क्रिप्ट आदि जैसे अंतर्निहित सामान मिल गए हैं। सूची जारी है। आपके द्वारा खोले गए लगभग हर एक काम के लिए क्रेडेंशियल टाइप करना एक बुरा सपना होगा।

केवल उन चीज़ों के बारे में जिन्हें आमतौर पर व्यवस्थापक की आवश्यकता नहीं होती है वे हैं मेरे वेब ब्राउज़र, ईमेल क्लाइंट, आईएम क्लाइंट और पीडीएफ दर्शक। और उन चीजों में से अधिकांश मैं उस समय से खुली रहती हूं जब मैं लॉगआउट करती हूं। इसलिए मैं अपने व्यवस्थापक क्रेडेंशियल के साथ लॉगिन करता हूं और फिर मैं अपने सभी कम निजी एप्लिकेशन को कम निजी खाते के साथ चलाता हूं। यह बहुत कम परेशानी है और मैं ऐसा करने के लिए किसी भी कम सुरक्षित महसूस नहीं करता।

रयान बोलगर
स्रोत
कम निजी के साथ चलाएं वास्तव में सुरक्षा के लिए बहुत कुछ नहीं करता है क्योंकि सिस्टम पहले से ही एक व्यवस्थापक खाते के साथ चल रहा है। आपने yourelf को सुरक्षा का झूठा एहसास दिलाया है। इसे दूसरे तरीके से करें, उपयोगकर्ता के रूप में लॉगिन करें, फिर व्यवस्थापक के रूप में चलाएं। यदि आप चाहते हैं कि आप अपने लॉगिन के लिए अपने आप को पावर उपयोगकर्ता दें, तो कृपया हर समय विज्ञापन के रूप में रनिंग न करें।
लियाम
+1 जैसा कि मैंने अपने जवाब में कहा, "यह वास्तव में इस बात पर निर्भर करता है कि व्यक्ति मशीन पर क्या कर रहा है"। सभी सिद्धांत और तथाकथित "सर्वश्रेष्ठ अभ्यास" के बावजूद, कई बार यह सिर्फ एक उपयोगकर्ता के रूप में लॉग इन करने के लिए समझ में नहीं आता है। कम से कम विंडोज की दुनिया में तो नहीं।
जॉन गार्डनियर्स
मुझे पूरा यकीन है कि विंडोज 7 में कोई पावर-यूज़र अधिकार नहीं है। goo.gl/fqYbb
ल्यूक 99
@ लियम कोई अपराध नहीं है, लेकिन आप गलत कह रहे हैं कि कम निजी के साथ रनएश बहुत कुछ नहीं करता है। यह वास्तव में वही करता है जो ऐसा करना चाहिए जो उस विशेष प्रक्रिया (और उसके बच्चों) को उन्नत विशेषाधिकार के साथ कुछ भी करने से रोक रहा है। और यह उन अनुप्रयोगों के लिए एकदम सही है जिन्हें कभी भी ऊंचे निजी की आवश्यकता नहीं होती है और आमतौर पर मैलवेयर द्वारा सबसे अधिक लक्षित होते हैं।
रयान बोल्गर
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.