4 votes

Ondrej Tucny avatar

Quels sont les avantages et les inconvénients de conserver un compte d'administrateur local pour les postes de travail Windows 7 dans un domaine ?

Demandé el 30 de Octobre, 2011
Quand la question a-t-elle été
7007 affichage
Nombre de visites la question a
2 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Nous avons un réseau avec des machines Windows 7 Enterprise, toutes membres d'un domaine. Nous avons conservé un compte "Admin" local (non verrouillé) sur chaque poste de travail, parallèlement au compte "Administrator" intégré (verrouillé). Comme l'installation du système d'exploitation nécessite la création d'un compte initial avant que l'ordinateur ne soit joint au domaine, nous avons laissé le compte "Admin" avec un mot de passe fort. Cependant, cela exige que le même mot de passe soit utilisé sur toutes les machines, et éventuellement qu'il n'expire jamais.

Notez que dans notre environnement, nous ne limitons pas beaucoup les utilisateurs (principalement les développeurs) et ne prévoyons pas de le faire. Habituellement, les comptes d'utilisateurs du domaine sont des membres du groupe Administrateurs sur les postes de travail respectifs. D'autre part, nous essayons de garder les choses gérées de manière centralisée.

Quels sont les avantages et les inconvénients de conserver de tels comptes d'administrateur locaux (hors domaine) sur des postes de travail reliés à un domaine en ce qui concerne.. :

  • sécurité
  • gestion
  • accès aux données
  • résolution de problèmes
Demandé el 30 de Octobre, 2011 par Ondrej Tucny

Réponses

Trop de publicités?

4voto

I say Reinstate Monica avatar
I say Reinstate Monica Points 3010

Quels sont les avantages et les inconvénients de conserver de tels comptes d'administrateur locaux (hors domaine) sur des postes de travail reliés à un domaine en ce qui concerne.. :

Sécurité

Il y a peu de différence. Un compte disposant de privilèges administratifs peut détruire une machine. Ceci est vrai qu'il s'agisse d'un compte de domaine ou d'un compte local. Certains diront que le compte local Administrator est plus vulnérable aux attaques simplement parce qu'il s'agit d'un nom d'utilisateur connu. Si cela vous préoccupe, vous pouvez toujours changer le nom d'utilisateur du compte. avec un GPP bien que cela n'atténue pas les attaques qui s'appuient sur l'identité du compte. SID bien connu qui ne peut être modifié. À mon avis, il est plus important d'utiliser un mot de passe fort que d'essayer d'échapper aux tentatives de connexion non désirées.

Une différence notable, propre à la local compte administrateur est que, par défaut, il contourne automatiquement l'UAC . Cela n'a aucun sens si un attaquant est connecté ; l'UAC ne l'arrêtera pas. Cependant, l'UAC peut être utile pour aider à protéger un administrateur légitime. Ce comportement peut être changé grâce au GP en l'éliminant comme une différence.

Gestion

Les comptes locaux sont plus difficiles à gérer. Et pas seulement le compte Administrateur local. La modification d'un compte de domaine se fait facilement en un seul endroit et affecte tous les ordinateurs où le compte est utilisé. Un compte local ne peut être modifié que sur le poste de travail où il existe. Cependant, avec l'avènement des préférences de stratégie de groupe, certaines modifications de comptes locaux (par exemple, renommer l'administrateur local en quelque chose d'autre [voir ci-dessus]) peuvent être gérées avec la stratégie de groupe. Il existe également des utilitaires permettant de modifier les mots de passe des comptes locaux.

Accès aux données/résolution de problèmes

Un compte d'administrateur local est indispensable. Seuls les 10 derniers comptes de domaine qui ont réussi à se connecter à une machine peuvent encore se connecter en cas de perte de connectivité à un DC (ce nombre est configurable ). Si aucun de ces comptes ne dispose de privilèges d'administrateur local et que vous êtes en train de dépanner une machine qui ne parvient pas à établir une connexion réseau, vous êtes coincé. Même l'accès à la console de récupération ne sera pas possible (du moins sans piratage). Mais avec un compte administrateur local disponible, vous n'aurez jamais à vous inquiéter de ce qui pourrait arriver. Rien que pour cette raison, j'ai un compte administrateur local sur toutes les machines du domaine que je gère, y compris (surtout) les serveurs.

Répondu el 10 de Décembre, 2014 par I say Reinstate Monica (3010 Points )

2 votes

Avatar de Ryan Bolger

Le compte de l'administrateur local (quel que soit son nom) contourne les règles de l'UAC, ce qui le rend légèrement plus dangereux que les autres comptes du groupe Administrateurs. De plus, renommer le compte administrateur ne sert plus à grand-chose, car la plupart des logiciels malveillants et des outils de test d'intrusion utilisent désormais le SID au lieu du nom d'utilisateur.

Commenté el 10 de Décembre, 2014 par Ryan Bolger

0 votes

Avatar de I say Reinstate Monica

Excellentes observations. J'ai inclus les deux points dans ma réponse avec des liens pour référence, y compris comment désactiver le contournement automatique de l'UAC pour le compte administrateur intégré.

Commenté el 10 de Décembre, 2014 par I say Reinstate Monica

1voto

Mike avatar
Mike Points 749

Ma réputation est encore trop faible pour poster des commentaires, je dois donc poster ceci comme une réponse :

avoir un compte administrateur local est généralement une bonne idée, lorsque le réseau tombe en panne ou que l'adhésion au domaine expire, vous pouvez toujours vous connecter et résoudre le problème. MAIS avoir le même mot de passe pour toutes les machines n'est pas une bonne idée, il y a deux solutions possibles pour cela 1. changer le mot de passe régulièrement 2. écrire un script qui génère un mot de passe aléatoire et le stocker à un endroit où vous seul avez accès (par exemple, sur un partage).

Répondu el 30 de Octobre, 2011 par Mike (749 Points )

0 votes

Avatar de ashutosh

Une meilleure façon de stocker ces mots de passe serait d'utiliser un identifiant unique pour le système (comme un nom d'hôte, un numéro de série, etc.) et de créer un "générateur" que vous pouvez interroger avec cet identifiant et qui produira le mot de passe. De cette façon, vous n'avez pas de mots de passe administrateur écrits quelque part, et vous pouvez accéder à ce générateur et le protéger par un mot de passe.

Commenté el 30 de Octobre, 2011 par ashutosh

1 votes

Avatar de Mike

Dans ce cas, la qualité de vos mots de passe est limitée à celle de l'algorithme qui les génère, et vous devez également cacher/protéger le générateur lui-même.

Commenté el 30 de Octobre, 2011 par Mike

0 votes

Avatar de Ondrej Tucny

Avoir un mot de passe unique pour chaque machine est généralement une bonne idée ; cependant, il s'agit d'un compromis sécurité/complexité. Je parle de ~10 machines. Je recommande également l'utilisation d'un gestionnaire de mots de passe comme KeePass. Ma principale préoccupation est de savoir si j'aurai besoin d'un compte d'administrateur local une fois que la machine sera dans un domaine - qu'il s'agisse d'une mesure fréquemment utilisée ou non.

Commenté el 30 de Octobre, 2011 par Ondrej Tucny
Afficher 1 autres commentaires

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X