Windows server: Uitloggen of locken?

Enige voordeel zou kunnen zijn dat ze ook meteen de inlog naam weten voor de administrator.
(Er van uitgaand dat je een copy van administrator hebt gemaakt en administrator gedisabledis)

Wat DeeJee hierboven zeght klopt. Echter zie ik er een nog groter probleem in.

Ik begrijp dus dat alle admins gebruik maken van hetzelfde account in Windows om de admin taken te doen. Het is - vanuit security gezien - veel wijzer om elke admin gebruik te laten maken van een eigen admin account. Ja, dan moeten ze 2 wachtwoorden onthouden, maar dat is dan jammer.

Het is nu dus onmogelijk om te achterhalen wie (lees: welke persoon) dus een specifieke actie heeft uitgevoerd op een bepaald account/resource. En dat wil je dus wel kunnen doen.

Zoek maar eens op accountability

Equator schreef op maandag 01 februari 2010 @ 08:57:

Ik begrijp dus dat alle admins gebruik maken van hetzelfde account in Windows om de admin taken te doen. Het is - vanuit security gezien - veel wijzer om elke admin gebruik te laten maken van een eigen admin account.

Ik zie alleen staan dat er 'een admin account' wordt gebruikt, niet dat het 'de Administrator' account is.
Kan ook een bewuste maatregel zijn tegen mstsc /admin abuse, overigens.
Heerlijk irritant als je 2 ts + console sessie al bezet zijn.

alt-92 schreef op dinsdag 02 februari 2010 @ 07:55:
[...]

Ik zie alleen staan dat er 'een admin account' wordt gebruikt, niet dat het 'de Administrator' account is.
Kan ook een bewuste maatregel zijn tegen mstsc /admin abuse, overigens.
Heerlijk irritant als je 2 ts + console sessie al bezet zijn.

Dat lijkt me erg onwerkelijk, daar de server console dan gelocked is met een account waarvan je waarschijnlijk het wachtwoord niet weet. Weet je dat wel, dan gaat mijn verhaal nog steeds op. Je weet nog steeds niet wie er welke actie heeft gedaan.

En als je als admin op het console kan inloggen, dan kan je de eventuele TS console sessie ook beëindigen.

Ik zie nog wel een ander risico dan de al genoemde, namelijk wanneer de desbetreffende beheerders domain admin-rechten hebben.

Er blijven dan langdurig processen draaien met deze privileges. Een aanvaller die toegang met genoeg privileges weet te krijgen tot een member server, kan daarmee direct domain admin-rechten krijgen. Als admins uitgelogd zijn, zal er gewacht moeten worden totdat er een inlogt voordat zo'n privilege escalation-aanval uitgevoerd kan worden, of dienen cached credentials gebruikt te worden. Het daadwerkelijk risicoverschil is niet heel groot, vind ik, maar toch misschien iets om rekening mee te houden.