有一个单独的本地管理帐户真的有什么好处吗？

Question

我一直在考虑实现一种新的实践，即从所有端点完全禁用本地管理权限。对于需要提升权限的用户，他们将拥有一个单独的管理帐户，并且仅限于本地管理。

我在考虑如何管理密码。(这是个很长的时间，但是)有什么办法可以集中管理密码吗？例如，如果用户忘记了他们的密码或需要重置他们的密码，这是通过AD通过呼叫服务台集中完成的事情，还是我们只需要完全依赖用户。

此外，除了恶意软件不能自动运行的管理特权，如果发生妥协，这是我实现这一主要原因，这还能提供什么其他好处？这是最好的做法吗？

Answer 1

将管理帐户与常规用户帐户分开管理有几个好处。

• 普通用户活动，如电子邮件或网页浏览，是在没有特殊管理特权的情况下完成的，限制了攻击的范围，增加了攻击的难度。
• 使用静态密码作为管理员登录可以将散列留在一个可被攻击者获取并在“传递哈希”攻击中重用的框上。如果域管理员登录到桌面框，并且该框后来成为phish的牺牲品，则它们的凭据散列可能会继续运行，直到密码更改为止！具有旋转密码的结帐帐户一旦更改密码，就会使这些哈希无效。
• 结帐帐户为提升特权的使用提供了可见性和可审计性。允许经理审核一个特定帐户的使用，无需向该经理的每个帐户授予完全的审核权限。
• 结帐帐户系统可以有自己的身份验证机制，从而能够将多因素身份验证(如TOTP)添加到旧的或封闭的系统中，否则无法支持2FA。

大多数这些好处都可以通过使用集中工具来管理组织中的帐户和密码来获得。有几种可以动态管理密码的外部产品，它们各有优缺点。

• 企业许可版本的HashiCorp Vault有一个可以更新密码的模块，但它需要对AD进行管理访问的凭据才能进行这些更改。他们还拥有一个RESTful API，可以方便地从其他系统以编程方式访问凭据。他们的系统非常适合为自动化系统(如CI/CD管道)安全地存储密码。
• CyberArk密码库允许为“结帐帐户”设计的时间凭证；您可以从保险库签出用户名/密码，当计时器弹出或用户签入帐户时，它会自动更改AD密码。(我相信，如果出了问题，它也可以关闭账户。)您也可以设置它，以便用户可以重置他们自己的结帐帐户。它们有一个可以通过编程方式远程访问凭据(用于CI/CD使用)的“本地代理”，但是访问和使用非常困难。它们非常适合手动检查紧急使用的ID。
• BeyondTrust软件提供密码安全和DevOps秘密安全，这也同样适用于这两个问题空间。

所有这些解决方案都为管理员提供了重置和撤销密码、报告使用情况等方法。它们是控制特权访问的一种方法，审计跟踪可以帮助SOC识别问题和事件的来源。它们都带有价格标签，所以你也可以在决策过程中权衡一下。

Answer 2

这绝对是一个好主意-你可能会有一个最初的仇恨从用户谁习惯了安装他们想要的，但一旦这一消失，你将更加安全。在启动之前，您需要一种很好的方式来推动软件(或者让服务台远程完成它)。您还需要确保人们不只是使用管理帐户而不是缓存的AD帐户进行登录。这可能是一个想法，让少数的用户得到一个管理帐户为自己单独的管理帐户，然后添加另一个服务台的一个类似于圈。

LAPS是确保所有本地密码安全和可用(https://techcommunity.microsoft.com/t5/itops-talk-blog/step-by-step-guide-how-to-configure-microsoft-local/ba-p/2806185)的好方法。我很肯定我也见过类似的哈希科普·沃特的设计。也许其中之一会让事情对你来说更容易一些。

Answer 3

我们有单独的管理帐户多年来，有更严格的密码和访问规则比一个非管理帐户。最近，我们实现了PAM解决方案，其中我们的管理用户必须使用一个密码签入/退出，该密码仅对该会话有效，会话将在预定义的时间段后超时。从最终用户的角度来看，绝对不方便，但良好的安全实践。