iT邦幫忙

1

請問要禁止所有IT日常不能用系統自帶的 admin 賬號嗎?

  • 分享至 

  • xImage

請問以資安角度,要禁止所有IT日常不能用系統自帶的 admin 賬號嗎?
除非特殊情況否則不能使用,只能創建新的賬號登入

看更多先前的討論...收起先前的討論...
alien663 iT邦研究生 3 級 ‧ 2023-05-26 14:02:25 檢舉
要,系統原本的admin帳號大多都被駭客記住了,會被拿來嘗試。
GGU.IN iT邦新手 4 級 ‧ 2023-05-26 14:04:39 檢舉
以前給師傅帶的時候,只要被發現我安裝的任何系統用預設帳號或密碼太簡單都會被罵爆
正確是 禁用與更名,每一台主機的 ADMIN 帳戶名都要改不同的名字,實際上你也不需要記憶這組帳號密碼,理論上它只是萬一需要的時候,才會去用他,萬一用網域管理者也開不了,其實花三分鐘重灌最快,不需要想太多
supermaxfight iT邦研究生 5 級 ‧ 2023-05-26 14:48:34 檢舉
有些套裝軟體admin帳號不能停用,資安稽核不知道過不過的了
PIZZ iT邦新手 2 級 ‧ 2023-05-26 15:35:31 檢舉
之前的經驗如下:

在系統建立每個管理者的管理者帳號(管理者權限),如AAA=AAA.admin,BBB=BBB.admin......

然後密碼長度最少要14碼,並符合複雜度:英文大小寫+符號+數字就被定義為安全密碼,甚至不用定期變更了!(包含無法停用的管理者密碼)

然後所有系統的密碼統一使用密碼管理軟體來儲存,所有管理者要使用則登入系統查詢,並要各管理員移除自己電腦內所有關於密碼的檔案(可用防毒設定關鍵字然後移除),然後密碼管理軟體定期做備份(加密)

之前這套機制是有通過ISO27001所以應該是可以符合資安要求的

只是要看每個公司要做到怎樣的程度(如公司內的SOP)或是符合怎樣的稽查與規範
印象中有一個系統原則,他可以把ADMIN 更改名稱,例如改成 AAA 的話
你登入時用 ADMIN 是無法登入的,必須用 AAA,這個方法適合AD環境用GPO直接定義
跟直接在本機使用者對 ADMIN更名的差異,用系統原則會比較好,給各位參考
但是對某些UAC支援不全的軟體的話,系統原則更名會造成某些問題,取捨與否看各位公司政策
froce iT邦大師 1 級 ‧ 2023-05-26 17:35:38 檢舉
我在做都是自己日常用一般user帳號,管理用domain admin,local admin通常都是關掉的。
小MIS iT邦研究生 1 級 ‧ 2023-05-29 09:48:52 檢舉
謝謝!
WUcheap iT邦研究生 5 級 ‧ 2023-05-30 17:10:51 檢舉
沒有一定,看貴公司對於資安的重視程度
簡單說,控管越多 相對越不方便 但是相對資安角度更嚴謹
至於權衡輕重,要看公司文化還有大頭的思維
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中
1
小處成就大事
iT邦研究生 1 級 ‧ 2023-05-26 16:10:01
最佳解答

請問以資安角度,要禁止所有IT日常不能用系統自帶的 admin 賬號嗎?

你的日常是指日常巡檢時的登入帳號、日常作業會用的登入帳號嗎?
其實不管日不日常,Admin帳號最好的控管起來,不要太常使用。

舉個例子:
1.資訊部有ABCDE五個成員,各自擁有不同權限的帳號,帳號名稱也以ABCDE命名。
有天發現AD Server突然關機了,透過Event Log發現,是因為B帳號登入後進行了Windows Update,執行完成後沒有選擇更新並重新開機,而是直接關機。

2.資訊部有ABCDE五個成員,每個人都用Admin帳號工作。
有天發現AD Server突然關機了,透過Event Log發現,是Admin帳號登入後進行了Windows Update,執行完成後沒有選擇更新並重新開機,而是直接關機。

這樣你有理解例子1跟例子2的差別嗎?
這還是只以內部作業為前提會遇到的情況來舉例。

欸不對,你們公司,或是你們集團的IT沒有控管Admin帳號嗎?

小MIS iT邦研究生 1 級 ‧ 2023-05-26 16:32:17 檢舉

有管控,只是想學習邏輯,感謝您

概念上就像LINUX,關掉root,大家都用sudoer變換權限~

1
望空
iT邦新手 1 級 ‧ 2023-05-26 14:01:35

若以GCB來看,是,而且大多數資安廠商都會打著"特權帳號回收"或"特權帳號調查"的字眼來宣揚admin或有admin權限的帳號回收的產品。
但,實際應用很難,所以建議事先盤點,確認回收前後差異及影響,確認回收範圍之後再行動,且需定期盤查。
(不過大多數公司還是有所謂"私有"或"MIS的萬能鑰匙"的特權帳號存在)

小MIS iT邦研究生 1 級 ‧ 2023-05-26 16:32:27 檢舉

感謝您

其實PAM也不會到很難用,將所有特權帳號納管收攏
增加用戶行為可視性及RBAC的概念
在更前端加入detection基本上就很完整了

望空 iT邦新手 1 級 ‧ 2023-05-29 13:09:10 檢舉

但是公司有些大頭只顧利益不顧資安 不肯投資...

0
hsiang11
iT邦好手 1 級 ‧ 2023-05-26 21:29:24

10多年前有大公司導入ISO27001被管到
本機admin被停用,只能用網域管理帳號
其實這對處理電腦端問題很麻煩,每次脫離網域後都要先破解才能使用admin權限
但是windows漏洞那麼多,也很難說停用admin就不會被駭客突破

再來說說銀行業
銀行業有聽說IT人員不持有admin權限
要作業要等到半夜時間 由另外持有權限的人協助登入
才可以進行系統維護作業

小MIS iT邦研究生 1 級 ‧ 2023-05-29 09:49:01 檢舉

謝謝您!

0
loke0204
iT邦新手 2 級 ‧ 2023-05-31 08:38:06

我是駭客我會先確定OS種類 然後開始踹 administrator admin root 的密碼

碰過的資安事件(被攻擊)的手法都是一樣這幾組帳號先被踹 供參考

我要發表回答

立即登入回答