Контрол на правата на администраторския акаунт

НавигацияСистемна администрация Решения с отворен код Мрежова структура Компютърни мрежи за малки фирми Централно управлявана мрежа Управление на групови правила Взаимодействие с WAN Сигурност Конфигуриране на виртуализация и отстраняване на проблеми Инструменти за управление на системата Автоматизирано инсталиране на софтуер Решаване на компютърни проблеми Разни
Любими
Pathping. Traceroute на стероиди. FreeNAS: Създаване на мрежово хранилище (NAS) Iperf е помощна програма за тестване на пропускателната способност на мрежата. Лек за мрежова слепота Предимства и недостатъци на RAID 6 RAID дискови масиви По-надеждни от RAID 5 Унифициран обмен на корпоративни комуникации и SAN: Не е толкова лесно Cisco срещу Meru
Управление на групови правила » Групови правила - Контрол на акаунта на администратора

Днес в мрежата има стотици, може би дори хиляди администраторски акаунти. Имате ли контрол върху всички тези акаунти и знаете ли какво могат да направят?

Защо е необходимо да се наблюдават администраторски акаунти?

Ако сте мрежов администратор на Windows, а повечето от тях са, тогава вниманието ви трябва да бъде насочено към корпоративното предприятие на Active Directory. С всички тези опасения за сигурността относно домейн контролерите, сървърите, услугите, приложенията и интернет свързаността, остава малко време, за да се уверите, че вашите администраторски акаунти са правилно контролирани.

Има много причини, поради които трябва да наблюдавате тези сметки. Първо, потенциално може да има хиляди такива акаунти в големи или средни мрежи, така че има голям шанс тези акаунти да излязат извън контрол. Второ, повечето компании позволяват на обикновените потребители да имат достъп до локалния администраторски акаунт, което може да причини проблеми. Трето, с оригиналния администраторски акаунт трябва да се работи внимателно, така че ограничаването на привилегиите е отлична предпазна мярка.

Колко администраторски акаунта имате?

За да се отговори на този въпрос, трябва да се направят някои изчисления (както би казал Jethro Bodine). защото всеки компютър с Windows има локален администраторски акаунт, ще започнем от тук. Тези компютри включват Windows NT, 2000, XP и Vista. Уверете се, че сте включили всички клиентски компютри, които се използват от администратори, разработчици, служители и дори тези в сървърната стая или на устройства с приложения. Ако имате павилиони, тестови компютри, централизирани работни станции и т.н., тогава всички също трябва да бъдат включени в нашето изчисление. Все още не е необходимо да броите потребителски акаунти, защото броят на устройствата може да не съвпада с броя на потребителите.

Ограничаване на правата за достъп

Ограничаване на достъпа до локалния администраторски акаунт

Независимо дали разрешавате на обикновени потребители достъп до тяхната работна станция или не, трябва да ограничите достъпа им до локалния администраторски акаунт. Два лесни начина да направите това са да промените името на акаунта на локалния администратор и да го променяте честопарола за нея. Има обекти на групова политика за всяка от тези настройки. Първата настройка се намира в Computer ConfigurationWindows SettingsSecurity SettingsLocal PoliciesSecurity Options, както е показано на Фигура 1. Политиката, която трябва да бъде конфигурирана, се нарича Accounts: Rename Administrator Account.

акаунт

Фигура 1: Политика за промяна на името на локалния администраторски акаунт

Втората политика, която трябва да конфигурирате, е част от новия пакет от настройки на политиката, идващ през 2007 г. Тази политика е част от пакет, наречен пакет PolicyMaker, и се намира в Конфигурация на компютъра Windows Настройки Контролен панел Локални потребители и групи, както е показано на Фигура 2.

контрол

Фигура 2: Политика за нулиране на паролата за локалния администраторски акаунт Администраторски акаунти

Забележка: Тази политика не пречи на редовния потребител да има постоянен контрол върху този акаунт. единственият начин да направите това е да премахнете обикновения потребител от групата администратори.

Ограничение за достъп до мрежата

правата

Фигура 3: Политика за предотвратяване на достъп на администратор до компютър от мрежа

Други настройки

Можете също да ограничите достъпа до администраторския акаунт в рамките на корпорация. Други примери, при които можете да ограничите достъпа:

  • Не използвайте администраторски акаунт като сервизен акаунт
  • Откажете достъп до терминални услуги на сървъри и домейн контролери
  • Предотвратете възможността на администраторите да влизат като услуга на сървъри и домейн контролери
  • Предотвратете влизането в администраторския акаунткато партидна работа

администраторския

Фигура 4: Политика за конфигуриране на управление на акаунта и одит на използването