В нашем офисе используется домен Windows с Active Directory для управления доступом пользователей к машинам и сетевым ресурсам. ИТ-персонал ведет учет паролей каждого пользователя, который используется в основном для устранения неполадок. Например. иногда проблемы появляются только при входе в систему как «обычный» пользователь, а не как администратор. Кроме того, это позволяет ИТ-администраторам настраивать программное обеспечение для локальных пользователей, проверять настройки и т. Д.
Считается ли плохой практикой хранить этот список паролей? Теоретически доступ к нему имеют только администраторы. Есть ли способ использовать учетные данные администратора для входа в систему в качестве локального пользователя, что избавит от необходимости хранить пароль пользователя?
(Немного предыстории: в офисе около 30 пользователей, из них 2 ИТ-администратора. У некоторых пользователей есть удаленный доступ через VPN.)
Это считается плохой практикой как с точки зрения защиты паролей, так и с точки зрения управления идентификацией. Иметь открытый список паролей, доступный где угодно, - это то, чего просто не следует делать, или, если это вообще делается, его нужно держать в автономном режиме и с жесткими (и проверяемыми) средствами контроля доступа. Нарушение управления идентификацией состоит в том, что такие списки паролей разрешают пользователям доступ к списку паролей. выдавать себя за кого-либо из этого списка без ведома этого человека.
Политика Microsoft заключалась в том, что, если требуется такой доступ к локальному профилю, технический персонал, которому требуется доступ, либо:
В обоих случаях пользователь знает, что его электронная личность выдает себя за кого-то, кто им не является. Да, это может привести к «ненужному» сбросу пароля, поскольку в локальном профиле выполняется работа по выявлению проблем, но действующая политика паролей должна учитывать такие действия. Доставляет ли это неудобство как техническому, так и нетехническому персоналу? Да, это так.
Но учтите это. Если кого-то из ваших пользователей поймают с чем-то, что им не должно быть на своей рабочей станции, что может привести к увольнению или уголовному преследованию, наличие такого списка паролей делает невозможным доказать, что они и только они помещают туда такие данные. Это станет очень важным моментом, если дело когда-либо дойдет до суда (либо незаконное прекращение, либо защита уголовного обвинения). Для вашей собственной защиты пароли должны быть конфиденциальными даже от системных администраторов.
ОЧЕНЬ плохая практика. Я считаю, что в настоящее время вам НИКОГДА не следует записывать пароль пользователя. Если вы хотите устранить проблемы, связанные с разрешениями, не являющимися администраторами, настройте фиктивную учетную запись в своей Active Directory. Если затем выясняется, что проблема связана с одной учетной записью, тогда вы посещаете пользователя и работаете с ним, или принимаете удаленное управление его сеансом с его согласия, как только он уже вошел в систему.
Я бы никогда не стал вести список чьих-либо паролей, он просто вызывает проблемы, и если кто-то из ваших сотрудников делает что-то глупое / злонамеренное, это дает им идеальный пункт выхода, и они могут просто сказать, что их пароль был украден у вас, а не связанных со всем, что они могли сделать.
Зачем нужно входить в систему как пользователь? Вы всегда можете создать тестового пользователя в AD и поместить тестового пользователя в те же группы, что и человек, которого вам нужно тестировать.
Ответ на ваш первый вопрос: «Считается ли плохой практикой хранить этот список паролей?» звучит ДА от меня.
Очень старый вопрос, но я хочу оставить здесь свое мнение.
Я работаю системным и сетевым администратором (а также советником по безопасности) в государственном учреждении с 600+ компьютерами в 7 зданиях.
Существует много правительственного (очень старого кода) программного обеспечения, которое устанавливается ТОЛЬКО для конкретного пользователя. Поэтому, когда мне нужно что-то устранить, мне нужно войти на удаленный рабочий стол, используя этого конкретного пользователя. Из-за этой старой политики в отношении программного обеспечения (и безопасности) эту программу можно установить только 1 раз на один компьютер.
Иногда люди берут отпуск.
Итак, будучи администратором, входить в систему как кто-то еще не так уж и плохо, все эти «юридические вопросы» - это чрезмерная реакция.
Это то же самое, что администратор сбрасывает пароль пользователя и выдает себя за него, если войти в систему как этот пользователь как администратор. Используя эту легальную "штуку", вы меняете свой пароль пользователя, совершаете незаконные действия, а затем утверждаете, что администратор изменил пароль?
На самом деле я использую radmin или vnc, которые необходимо установить вручную на каждый компьютер.
Но, ребята, может быть, вы не пережили этого, но существует множество сценариев, когда вам нужно войти в систему как конкретный пользователь, а не фиктивный, нужно быть точным пользователем. И сброс пароля даже не вариант когда-то (например, зашифрованный локальный файл).
В любом случае, реальное решение, которое я использую, - это удаленное программное обеспечение, такое как vnc или radmin (может применяться через GPO или удаленно) или с сохранением пароля.