Security Professionals - ipfw add deny all from eindgebruikers to any

Bedrijfsbreede passwoordtool

04-06-2012, 11:26 door Pandit, 7 reacties
Hallo

Ik ben werkzaam bij een grote ICT organisatie die de verantwoording draagt over duizenden IT devices zoals Windows \ Unix servers \ Routers \ Switches en Oracle databases. Het beheer wordt uitgevoerd door ongeveer 100 IT beheerders.
We maken noodgedwongen gebruik van duizenden onpersoonlijk beheer accounts. Te denken aan (Windows) service accounts, Locale administrator accounts, Oracle accounts etc.
Onze afdeling informatie beveiliging eist dat alle beheertaken die worden uitgevoerd op onze systemen te herleiden zijn naar een beheerder. Dit blijkt echter niet makkelijk te regelen zijn. We hebben grondig gekeken naar Password Manager Pro van het bedrijf ManageEngine. Dit pakket kan d.m.v automatisch doorloggen naar systemen, in/uitchecken van wachtwoorden en automatisch password roulatie voor service accounts deze taak aan. We zetten onze vraagtekens echter over de beheer(s)baarheid , stabiliteit en performance van dit programma en zijn daarom benieuwd hoe andere grote ICT organisaties het onpersoonlijk wachtwoord beheer hebben geregeld?
Reacties (7)
04-06-2012, 12:20 door Anoniem
Simpel lijkt me.
Onpersonlijke accounts niet meer gebruiken.
IT-beheerders op hun eigen naam rechten geven.
04-06-2012, 13:15 door Overcome
Door Anoniem: Simpel lijkt me.
Onpersonlijke accounts niet meer gebruiken.
IT-beheerders op hun eigen naam rechten geven.

Helaas, maar dat is niet altijd mogelijk. Daarnaast lost dat het probleem van service accounts niet op, noch van de (al dan niet ingebouwde) administrator/ root/ sa/ ... accounts, waarvan de wachtwoorden opgeslagen moeten worden in tools zoals PMP.

Een vorige klant waar ik werkte gebruikte Cyber-Ark (http://www.cyber-ark.com/), maar daar betaal je schijnbaar wel de hoofdprijs voor. Wat is het budget waar je binnen moet blijven?
04-06-2012, 13:17 door Anoniem
Itbeheerders NIET onder hun eigen naam admin rechten geven, een apart traceerbaar account maken en de beheerders leren om elevated te werken.

Amputatie invoeren voor degenen die toch onpersoonlijke accounts gebruiken.
Serviceaccounts binden op de machine waarvoor ze bedoeld zijn en nergens anders.
04-06-2012, 15:11 door Pandit
De beheerders hebben allemaal een ka account met gewone user rechten, Middels een extra beheeraccount kunnen ze inloggen op een beheeromgeving op basis van Citrix. Op deze omgeving is geen internet en worden alle handelingen gelogd. via een speciaal proces kunnen bestanden overgeheveld worden tussen de KA en Beheer omgeving, dat deel is redelijk geregeld.

Uiteraard gaan we zo veel mogelijk onpersoonlijke accounts persoonlijk maken. Maar je komt er niet onderuit dat je nog Duizenden accounts overhoud, zoals een lokaal admin account voor alle servers en zeker voor servers die niet in een domein hangen, zoals DMZ servers. Een budget weet ik niet, maar voor een goede oplossing zullen we best willen betalen. Ik ga naar Cyber-ark kijken, Bedankt voor de tip Overcome.
05-06-2012, 13:12 door Anoniem
LDAP & Puppet
05-06-2012, 13:15 door Flame
LDAP + Puppet.

Complete LDAP installatie uitrollen over alle systemen.
1 of 2 front boxes die dienen als de voordeur.

SSH username@kerker.bedrijf.com
Password****

username$: ssh prod.qa001.bedrijf.co

Problem solved.
06-06-2012, 14:23 door SirDice
Door Flame: Problem solved.
Helaas. Dit lost niet het probleem op, het enige wat je gedaan hebt is een centrale account database gebruiken. Of de accounts centraal, decentraal of lokaal zijn is eigenlijk niet relevant. Je zit nog steeds met service accounts waar de beheerders het wachtwoord van moeten weten. Dit om problemen met die service op te kunnen lossen.

Het gaat juist om de, min of meer, gedeelde wachtwoorden die ergens dusdanig opgeslagen moeten worden dat de beheerders er wel toegang toe hebben maar toch ook beveiligd zijn.

Ik snap 't probleem, we hebben er zelf ook last van. Ik heb alleen geen oplossing :(
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.