У нас есть два системных администратора, которые знают пароли ко всем нашим системам. Если произошло «немыслимое» (также известное как «они оба ушли под автобус»), в настоящее время у оставшихся членов команды нет возможности получить доступ администратора к системам.
Какие шаги или процедуры мы должны выполнить, чтобы защититься от этого, сохраняя при этом безопасность систем?
Попросите их записать важные пароли, запечатать их в конверте и хранить в сейфе, сейфовой ячейке или другом месте с высоким уровнем физической безопасности. Вы хотите убедиться, что только кто-то вроде генерального директора или другого заслуживающего доверия человека может получить к нему доступ, и убедиться, что они могут получить к нему доступ только таким способом, который оставит вещественные доказательства.
Все остальные упоминали о необходимости физической записи паролей и их хранения в надежном месте. Упомяну кое-что не менее важное: Убедитесь, что пароли читаются !!! Нет ничего хуже, чем просмотр журнала паролей аварийного восстановления и невозможность определить разницу между нулями, буквой O, единицами, строчными буквами l и т. Д., Потому что ваш ныне покойный / лишенный прав / отчужденный системный администратор имеет почерк штатного медицинского администратора. профессор. Даже «красивый» почерк может содержать двусмысленность различных символов. Если пароли достаточно сложные, эти неоднозначности могут привести к долгим ночам угадывания пароля. ИЛИ дать вам повод узнать, как настроить Каина и Авеля для перебора системы с паролем с использованием регулярных выражений.
Например, я бы написал стрелки, указывающие на имя пользователя, и сказал бы: «Всем администраторам Windows - Это имя пользователя чувствительно к регистру !!"или" Это 12-я буква английского алфавита, иначе буква "l" произносится как "ell". Да, я такой параноик.
Да, у меня ОКР.
Нет, я не принимаю лекарства. знак равно
Имейте процедуру, в которой каждый раз, когда они вносят существенную смену пароля (например, пароль восстановления на контроллере домена, например, пароль для исходной учетной записи администратора в первом домене леса (который должен быть в группе Enterprise Admins) или тому подобное что они записывают учетную запись и пароль дважды. И эти комбинации учетная запись / пароль немедленно запечатываются в конверте и маркируются соответствующим образом. Один конверт остается на месте в безопасном месте (например, в сейфе). Другой хранится везде, где бы вы ни находились. ленты / софт есть.В таком случае у вас есть восстановление всех важных паролей.
Кроме того, если вы параноик по поводу безопасности - разделите пароль. Передайте контроль, скажем, трети пароля генеральному директору и менеджеру, еще одной трети - техническому директору и другому менеджеру, а последнюю треть - ИТ-директору и менеджеру. Таким образом, как минимум три человека должны согласиться, прежде чем ваш драгоценный пароль может быть восстановлен, и никто не сможет вас обидеть (если его уволят или что-то в этом роде).
Я храню все пароли в PasswordSafe, а программа и база данных хранятся на сервере, и доступ предоставляется только тем руководителям высшего звена, которые должны иметь доступ в соответствии с требованиями компании. Содержимое базы данных также экспортируется в документ, который затем печатается с использованием шрифта, который позволяет легко различать эти неоднозначные символы, а распечатанная копия хранится вне офиса в безопасном месте. Никогда не полагайтесь на почерк для такого рода вещей.
Помимо своего рода защищенного списка паролей, задокументируйте процесс получения доступа к системе, когда пароль неизвестен ... физический доступ, принудительная смена пароля, «режим обслуживания» и т. Д.
Каким бы ни был метод для данной системы, стоит сделать это известным процессом с пониманием повсюду, что требуется для получения этого доступа (любое время простоя? Влияние принудительной смены пароля в системе?).
Мы вводим пароли и распечатываем их с помощью консоли или шрифта OCR. После проверки документ закрывается без сохранения. Затем пароли запечатываются в конверте и хранятся в сейфе финансового директора в любом месте. Иногда технический и финансовый директор открывают сейф, проверяют, что он все еще запечатан, и просят администраторов сделать новые конверты.
Отдельно технический директор поддерживает резервные учетные записи администратора, пароли которых хранятся за пределами предприятия с резервными лентами.
Мы не совсем понимаем, что делать при смене пароля, потому что есть службы, которые не запускаются при смене пароля администратора - но это случается достаточно редко, и это не представляет особой важности.
Уловка с конвертом действительно пригодилась, когда у самого старшего системного администратора развилось неизлечимое заболевание, и он прошел до того, как была завершена полная смена обязанностей. К сожалению, с ним были безвозвратно утеряны знания о некоторых маршрутах прокладки кабелей, и у нас есть проблемы с этим сегодня - годы и годы спустя.
Для обеспечения возможности входа в систему с учетной записью администратора домена в случае исчезновения ваших системных администраторов создайте специальную учетную запись пользователя и делегируйте этой учетной записи возможность сбрасывать / изменять пароли. Сообщите это имя пользователя и пароль доверенному лицу, например своему начальнику, с инструкциями о том, как и когда их использовать. Если ваш начальник может изменить пароль администратора домена в случае возникновения чрезвычайной ситуации, вы на полпути к восстановлению контроля над своей сетью.
Возможно, вам также потребуется создать настраиваемую консоль MMC, но ее можно сохранить в защищенном сетевом ресурсе.
Другой вариант - настроить учетную запись на серверах с привилегиями root и разрешить доступ к этой учетной записи только через ключ ssh. Храните закрытый ключ только на флешке и храните в надежном месте.
Если произойдет немыслимое, вы можете войти в систему через эту учетную запись / ключ и изменить пароли.
Проблема не в паролях. Любой приходящий заменяющий сисадмин должен будет доказать свои навыки, зная, как восстановить учетную запись с root-доступом на каждом сервере. Конечно, для этого требуется доступ к физическим серверам, но в любом случае это немыслимое явление. Со мной случилось так, что ИТ-специалист хотел войти в систему администратора для сервера, который был неисправен - я просто сказал ему, что «вам нужно поставить на сервер экран и клавиатуру и создать новую учетную запись для себя» - потому что я не был готов дать этому человеку с неизвестными способностями пароль.
Ненавижу думать, какой беспорядок может вызвать некомпетентный человек, если ему дать все пароли администратора.
Более важно задокументировать архитектуру системы. Включая URL-адреса и IP-адреса. И какие регулярные процедуры необходимо соблюдать для поддержания сети. Такая документация должна храниться в безопасности, но безопасность менее важна, чем для паролей.