Как вы "предотвращаете использование мощных учетных записей в неавторизованных системах"?

Question

Как вы "предотвращаете использование мощных учетных записей в неавторизованных системах"?

Я просматривал рекомендации корпорации Майкрософт по обеспечению безопасности Active Directory и увидел связанную диаграмму, в которую включены некоторые рекомендации, включенные в документ, по степени важности.

Под номером 6 "Запретить использование мощных учетных записей в неавторизованных системах". Я понимаю, что некоторые учетные записи, то есть администраторы, ориентированные на задачи (например, администраторы DNS), не могут войти в "неавторизованные системы", такие как клиентский ПК в сети.

Когда люди думают о мощных учетных записях, они склонны думать о администраторах, которые имеют доступ ко всему. Однако, если организация реализует задачи LUA, их можно делегировать различным администраторам, чтобы все полномочия не находились в одной группе, что позволило бы ограничить такие вещи.

Возможно ли №6, только когда домен реализует делегирование полномочий и использует LUA? Если это не правильная точка зрения, что подразумевается под этим утверждением?

Примечание. Номер 5 - "Защита и мониторинг учетных записей для пользователей, имеющих доступ к конфиденциальным данным" - что в идеальном мире означало бы принцип наименьших прав / делегирования, да?

-2

active-directory security best-practices lua

Источник

cutrightjm 20 дек '14 в 04:18

1 ответ

Другие вопросы по тегам active-directory security best-practices lua

Katherine Villyard 20 дек '14 в 05:10 2014-12-20 05:10 · Answer 1 · 2014-12-20 05:10

Я предполагаю, что это означает, например, не входить в систему с учетными данными администратора домена, чтобы выполнять ежедневную работу на рабочей станции. В этом случае у вас будет "обычная" учетная запись пользователя для выполнения "обычной" работы и учетная запись администратора домена, которую вы используете специально для действий администратора домена. Для вашего примера с администратором DNS то же самое - есть отдельная учетная запись, которую он / она использует для повседневной работы, и учетная запись администратора DNS для работы с администратором DNS.

Я работал в местах, которые делают это обоими способами, и я лично предпочитаю подход с отдельным аккаунтом. Например, предыдущий работодатель предложил мне получить рабочее письмо на личную ежевику. Это потребовало бы сохранения учетных данных администратора домена на серверах моего сотового провайдера, поэтому я отказался. У меня также иногда был настольный компьютер, который просил меня взглянуть на машину, которая "вела себя забавно", и меня всегда пугало необходимость делать это с учетными данными администратора домена (я бы сразу сменил пароль).