Groups | Search | Server Info | Keyboard shortcuts | Login | Register [http] [https] [nntp] [nntps]
Groups > de.comp.security.misc > #33010
| From | Thomas Wildgruber <excpronto@web.de> |
|---|---|
| Newsgroups | de.comp.security.misc |
| Subject | Re: Passwortliste absichern |
| Date | 2020-11-19 16:22 +0100 |
| Organization | @work |
| Message-ID | <cnz4fx868yyu.dlg@prontosystems.org> (permalink) |
| References | <hhrrz81ay6ua$.dlg@prontosystems.org> <slrnrqodth.rb6.amk@msgid.krell.zikzak.de> |
On Wed, 11 Nov 2020 19:12:49 -0000 (UTC), Andreas M. Kirchwitz wrote: > Thomas Wildgruber <excpronto@web.de> wrote: > >> ich brauche ein Konzept, welches am Ende es der Geschäftsleitung im Notfall >> ermöglicht, alle wichtigen Zugänge zur Infrastruktur einzusehen. Es soll >> sich dabei ausschließlich um eine Notfallmaßnahme handeln. > > [Ich persönlich würde mich zuallererst bemühen, dass es immer einen > Pool von vertrauenswürdigen und hinreichend fähigen Leuten gibt...], Das hätten wir schon, auch Dienstleister für verschiedene Aufgaben haben die Passwörter eigentlich. Wir haben nur gerade einen Wechsel in der Geschäftsleitung und da scheint das Vertrauen in die IT noch nicht so ausgeprägt zu sein, wie das beim früheren Geschäftsführer der Fall war. Der will sich halt absichern und vermeiden erpressbar zu sein. Sein gutes Recht... > [Solange personalisierte Zugänge möglich sind, bekommt die > Geschäftsleitung überall ihren eigenen Zugang...] Ja, und auch nur da wo es Sinn macht: Active Directory, Firewalls etc. Sinn macht das auch nur, wenn man ein Audit für diesen Dienst aktivieren kann... > [Wenn die Geschäftsleitung dann meint, sie brauche Zugriff, > zerstört sie den Umschlag...] Wir haben jetzt mal eine Passwort Server Demo[1] installiert und evaluieren das gerade. Der erste Eindruck überzeugt schon mal. Der Server hat ein Web-Frontend und man kann das ganze Benutzer- und Rollen-basiert konfigurieren und auch mehrere Ordner für unterschiedliche Passwörter anlegen, zB Webzugänge, Netzwerk, Server, etc. Die Passwörter werden einzeln zu den dazugehörigen Diensten abgespeichert und sind grundsätzlich alle maskiert. Der Benutzer aus der Rolle der GL, kann die Passwörter (einzeln) demaskieren, was aber sofort eine E-Mail Notification an die IT triggert wo drinnen steht, welches Passwort von welchen Benutzer und von welcher Workstation aus, wann demaskiert wurde. Das deckt schon mal einige unserer Bedürfnisse ab. Der Server wird dann auch so eingestellt, dass er nur aus dem internen Netz erreichbar ist. Das Problem ist jetzt nur, dass wir ein und dasselbe Passwort für mehrere verschiedene Dienste verwenden und somit wird die Kenntnis eines Passworts beim Try & Error Testing ziemlich viele Türen öffnen aber das ist unser Problem und eigentlich schon immer nicht sicher, sondern ausschließlich bequem. Schadet sicher nicht, wenn das ganze jetzt auch mal ordentlich gemacht wird. In diesem Zusammenhang haben wir jetzt auch die lokalen Admin Passwörter der Domänen-Computer mit LAPS[2] randomisiert. Ein enormer Gewinn... [1] https://www.passwordserver.de/ [2] https://tinyurl.com/MicrosoftLAPS > Die personalisierte Zugänge der Mitarbeiter gehören ausschließlich > genau denen, die dürfen niemals in die Hände anderer Menschen fallen, > auch nicht in die der Geschäftsleitung. Natürlich. Die können wir aus der IT auch nicht auslesen, zumindest die meisten nicht. AD-, Cloud-, E-Mail-Zugänge etc. keine Chance da technisch ranzukommen. Social Engineering wie Passwörter unter der Tastatur suchen oder einfach nachfragen oder andere schmutzige Tricks, sind natürlich was anderes aber tangiert unsere Aufgabenstellung jetzt erstmal nicht... ;-) > So eine Exceltabelle wird leaken, das ist praktisch unvermeidlich. > Wer soll die überhaupt verwalten, damit sie aktuell bleibt? Naja, irgendwo mussten wir ja bis jetzt auch schon unsere Passwörter verwalten und das hat mit der Exceltabelle bisher eigentlich ganz gut geklappt. Aber wir werden jetzt nicht untergehen, wenn ein anderes System zur Erfassung und Verwaltung verwendet wird und solche Nebeneffekte wie das Ändern der ganzen Uraltpasswörter und Verteilen vieler verschiedener Psswörter ist ja auch kein Rückschlag in Sachen Sicherheit... ;-) Thx & Bye Tom -- "Manches Gewissen ist nur rein, weil es nie benutzt wurde" (Robert Lembke)
Back to de.comp.security.misc | Previous | Next — Previous in thread | Find similar
Passwortliste absichern Thomas Wildgruber <excpronto@web.de> - 2020-11-10 15:19 +0100
Re: Passwortliste absichern Juergen Ilse <news@usenet-verwaltung.de> - 2020-11-10 14:42 +0000
Re: Passwortliste absichern Arno Welzel <usenet@arnowelzel.de> - 2020-11-10 17:59 +0100
Re: Passwortliste absichern Marc Haber <mh+usenetspam1118@zugschl.us> - 2020-11-11 08:11 +0100
Re: Passwortliste absichern Beate Goebel <boerps@spamfence.net> - 2020-11-11 11:16 +0100
Re: Passwortliste absichern Thomas Wildgruber <excpronto@web.de> - 2020-11-11 13:40 +0100
Re: Passwortliste absichern Beate Goebel <boerps@spamfence.net> - 2020-11-11 14:32 +0100
Re: Passwortliste absichern Thomas Wildgruber <excpronto@web.de> - 2020-11-11 15:09 +0100
Re: Passwortliste absichern Juergen Ilse <news@usenet-verwaltung.de> - 2020-11-11 16:12 +0000
Re: Passwortliste absichern Beate Goebel <boerps@spamfence.net> - 2020-11-11 18:03 +0100
Re: Passwortliste absichern Stefan Reuther <stefan.news@arcor.de> - 2020-11-11 18:03 +0100
Re: Passwortliste absichern Ralph Aichinger <ra@pi.h5.or.at> - 2020-11-12 11:08 +0100
Re: Passwortliste absichern Ralph Aichinger <ra@pi.h5.or.at> - 2020-11-11 15:13 +0100
Re: Passwortliste absichern "Andreas M. Kirchwitz" <amk@spamfence.net> - 2020-11-11 19:12 +0000
Re: Passwortliste absichern Thomas Wildgruber <excpronto@web.de> - 2020-11-19 16:22 +0100
csiph-web