Sys yöneticisinin kullanıcıların parolalarını bildiği bir ağ ilkesi için ve bu değişkene karşı olan argümanlar nelerdir? [kapalı]

Ben artıları ve eksileri .. sys yönetici parolaları ile kullanıcı hesap listeleri tutma fikrine karşı ve nedenlerini bilmek istiyorum .. ve ek olarak bu kullanıcıların parolalarını değiştirmek için izin vermiyor.

Windows gibi sistemlerin, kullanıcıların kendi şifre güvenliğini sürdürmeleri ve istedikleri zaman şifrelerini değiştirmelerine izin verilmesi gerektiği fikrini teşvik ettiğini düşünüyoruz. Bir meslektaş kelimesinin sistem günlüklerine katılmaması durumunda gizlilik ihtiyacını ve alibis sahibi olan kullanıcıların kendilerini korumalarını takdir edebilirim. Ancak aynı zamanda, kullanıcıların özel tutmak isteyebilecekleri bazı malzemelere erişim gerektiğinde, bazı kullanıcıların kullanıcı şifrelerini dosyada bulundurmayı nasıl haklı kılabileceğini de görebilirim.

Bu fikir konusunda eğitim almayı çok isterim.

Bir sysadmin, şifrelenmedikçe kullanıcının sahip olduğu dosyalara erişebilmelidir; bu durumda kullanıcının Windows şifresi yardımcı olmaz. Sistemin şifreleri bilmesi, bir kullanıcının bir şey yaptığını veya bir sistem yöneticisinin yaptığını asla bilemeyeceğiniz anlamına gelir; bu da bir anlaşmazlığa girerseniz çok fazla soruna neden olabilir. Parolaların bir yerde saklanması gerekir, yani kaybolma potansiyeli vardır. Son olarak, kullanıcılar oluşturmadıkları bir şifreyi hatırlamakta zorlanacaklardır.

Profesyoneller, şifreleri sıfırlamaya gerek olmadığı, ancak kullanıcılara hatırlatmanız gerekecek. Ayrıca kullanıcı hesaplarına giriş yapmayı kolaylaştırır, ancak bir sorunun test edilmesi veya teşhisi dışında bu gerekli değildir ve şifreleri duruma göre alabilirsiniz.

Bunu yapmak için gerçekten bir neden yok, gerçek bir kazanç için çok fazla sorun yaratıyor.

Gerekçe yok. Sistem yöneticisi gerekirse şifreyi değiştirebilir, ancak bilmemeli veya kaydetmemelidir.

Orada sadece eksileri.

İK'nın gizli kalmasını beklediğim özel bilgilerime ne olacak?

Park alanlarını aldığım için nerede yaşadığımı öğrenmek ... internette maaşımı göndermek ... eski bir kişiye bilgi aktarmak ... yönetime e-postayla gönderilen porno benim ismim eklendi ...

Bir şirketin böyle bir politikasının yazılı olması durumunda şaşırırdım.

Kimlik doğrulama ve yetkilendirmeyi karıştırmayın.

Parola, sisteme kim olduğunuzu kanıtlar (kimlik doğrulama)

Grup üyeliği ve dosya sistemi izinleri genellikle yapabileceklerinizi belirler (yetkilendirme).

Güvenilir bir yöneticinin başkasının sahip olduğu dosyalara erişmesine izin vermek için yetkilendirme düzeylerini yükseltirsiniz. Diğer kişi gibi giriş yapmalarına izin vermiyorsunuz.

Yöneticiler her zaman bir kullanıcının şifresini değiştirebilir. Kullanıcının şifresini bilmek için hiçbir nedenleri yoktur. Bir sorun varsa veya kullanıcı uzaktaysa ve başka birinin dosyalara erişmesi gerekiyorsa, bir yönetici gün için parolanın değiştirilmesini isteyebilir ve kullanıcı bir dahaki sefere parolalarını geri ayarlayabilir.

Zayıf parolaların kullanılmasını önlemek için kullanıcıların parolalarını kırmaya çalışan yöneticilerin bir yararı vardır.

Diğerlerinin burada daha önce belirttiği gibi: BT'nin kullanıcı parolasını bilmesi için iyi bir neden yoktur, bunun yerine kullanıcı parolasına erişim birkaç şekilde olumsuz bir duruma neden olabilir.

Daha önce söylenenlere ek olarak , bir parolayı bilmeniz gerekiyorsa, makine (veya kök) için yerel yöneticinin parolası ve Sistem için ana şifreleme parolasıdır. Kullanıcı profillerine ilişkin herhangi bir şey, bu dosyaları sorgulamak için yönetimsel bir istek olmadıkça sınır dışı kabul edilmelidir (bunun için araçlar vardır)

Kullanıcı adı / şifre kombinasyonlarını yazdıysanız çok önemli bir listeniz olduğunu unutmayın. Bu listeyi kaybetmek ya da daha da kötüsü, bir kopyasının yapıldığını bilmeden birisinin bu listeyi kopyalaması büyük bir sorun olacaktır. Ve gerçekten bir dosyada bir yerde bazı disk istemiyorum, bu ortak çözüm olacaktır.

Bu, şifrelerin açık metin olarak yazılmamasının birçok nedeninden biridir.

Sorumluluk sorun.

Kullanıcılar giriş yaptıkları aktiviteler hakkında hiç soru sormazlarsa, başka birinin parolasını değiştirmeden hesaplarına girebileceği standart bir işlem prosedürü ise otomatik bir çıkışa sahiptirler.

Sistem yöneticilerinizin ve / veya kullanıcılarınızın hesap verebilirliğini kaybetme riski taşımayın.

Profesyoneller görmüyorum.

Biraz teğet geçeceğim.

Mesele şu ki, yönetici% 100 etik ise, kullanıcı şifrelerini bilip bilmemesi önemli değildir, aynı şekilde yönetici% 100 etik değilse, şifreyi bilmemesi önemli değildir. Kökü var, kimseyi bilmeden şifreyi alabilir. (Köktür, hatırlayın, makinenin hükümdarı. Bu makinede günlükleri temizlemek, bağlantı noktalarını engellemek, istediği aracı çalıştırmak vb. Dahil hiçbir şey yapamaz.)

İK'nın gözünde% 100 etik olan hiç kimse yoktur, bu nedenle yöneticinin her zaman kullanıcı şifrelerine erişebileceğini varsaymalısınız.

Yöneticinin yetenekleri olmadığı için bunu yapamayacağını düşünüyorsanız, lütfen onu yerine getiren biriyle değiştirin.

Bu nedenle, yöneticinin kullanıcı parolalarına erişmemesi gereken bir ilkeye sahip olmak, zorlanamayacağı için yazdırılmış İlke ve Prosedürler belgesinin israfıdır. En iyi ihtimalle yanlış bir güvenlik hissi sunar ve bu en kötü güvenlik türüdür.

İçimdeki her şey "Hayır!"

İhtiyacınız olduğunu düşünüyorsanız, muhtemelen diğer cevaplarda belirtildiği gibi bir sistem yöneticisi olarak kullanabileceğiniz araçları ve yetkileri anlamıyorsunuzdur.

Size SAGE Etik Kurallarını da göstereyim .

Edit: Bu bir yöneticinin fikri miydi? Her iki şekilde de bir eğitim düzenlidir: kendiniz için, teknik, yasal ve etik olarak neler yapılabileceğini ve yapılamayacağını biliyorsunuz; yönetim için siz ve onlar iş gereksinimlerini karşılayan bir politika geliştirebilirsiniz; ve kullanıcılar için ne bekleyebileceklerini biliyorlar.

Sistemlerin bakımını yapmak için yöneticilerin herhangi bir şey yapma yeteneğine ihtiyaçları vardır - dosyalara erişme, bunları değiştirme vb. Bu nedenle bir yöneticinin herhangi bir dosyaya erişmesi için bir yol olması gerekir, ancak kullanıcıların şifreler.

Kendime göre, sadece insanların parolalarına sahip olmanın olumsuzluklarını görüyorum - asıl hesap verebilirlik kaybı. Kimsenin şifresi yoksa, dosyalarına veya e-postalarına rutin olarak erişemiyorum, onlar gibi davranıp adlarında bir şey yapamıyorum. Şirket başkanımız, şifresini almamızı istiyordu, böylece kendi sistemi üzerinde kolayca çalışabildik, ama çok denedikten sonra onu değiştirmeye ikna ettim ve bize ne olduğunu söylemedim.

Bir yöneticinin, acil bir durumda dosyalara erişebilmeleri için parola değiştirme özelliğinden başka bir şeye ihtiyaç duyduğu olası bir durumu düşünemiyorum. Bu ve geçici olarak insanların şifrelerini bilmek her zaman yeterliydi. Bir bilgisayarda kişi olarak biraz çalışmamız gerektiğinde, ya parolalarını alıp sonra değiştiririz ya da değiştirir ve geri değiştirmelerini isteriz.

Sunucu odaklı cevap.

Önceki bir işverende, yönetici personelin parolaları ayarlanmamıştı. Yalnızca SSH kimlik doğrulaması kullandık. Orada çalıştıktan sonra, parola korumalı istemci sertifikası veya anahtarı (SSH anahtarı veya SSL istemci sertifikası gibi) iki faktörlü kimlik doğrulama şemasına büyük bir inanan oldum.

Yöneticiye tüm şifreleri bildirmenin dezavantajı, kuruluştan vazgeçmiş olabilmesi ve tüm bu verileri birlikte almasıdır. Ancak aynı şey ağ paylaşımlarında bulunan veriler için de olabilir.

Ne yaparsanız yapın kullanıcı parolalarını düz metin olarak saklamayın. "Şifrenizi unutursanız bizi arayın" gibi. Bu bir hareketsiz. Kullanıcıya yardım masasında kişisel olarak gösterildiğinde yeni bir şifre atanır ve ilk girişten önce şifresini değiştirmek zorunda kalır.

Gerçekten gizli bilgi için, kullanıcıların PGP veya Truecrypt gibi ek önlemler almasını öneririm, ancak daha sonra verilerinin güvenilir sistem yöneticileri tarafından kurtarılamayacağı açıkça belirtilmelidir.

Yönetim, yöneticilerin her belgeye bakabilmeleri konusunda endişe duyuyorsa, sistem yöneticisi kendileri çalışmalıdır. Bir sistem yöneticisinin neredeyse tamamen güven duyması gerekir.

Burada bahsettiğimi görmedim, ama sadece cevapları gözden kaçırdım. Birçok kullanıcı HER ŞEY için aynı şifreleri kullanır. Eğer ağ şifreniz varsa, kişisel e-postaları, photobucket, facebook, ne olursa olsun şifreniz vardır.

Bence bu kötü bir fikir. Sahte bir sistem yöneticisi çok fazla soruna neden olabilir.

Sysadmin'in şifreyi bilmesi gereken politikaya karşıyım. Her durum için ayrı ayrı olmalıdır. BT personeli olarak işi yapmak için kullanıcı şifresine ihtiyaç duyduğumuzda, onlardan istedik ve kullanıcıya çalışmamızı bitirdikten sonra bunları değiştirmelerini tavsiye etmeliyiz. Ve BT herhangi bir biçimde hiçbir şifreyi saklamamalıdır.

Ancak, bir parola sayfasına sahip olmanın çok kullanışlı, çok çok kullanışlı olduğunu da itiraf etmeliyim.

Çalışma bilgisayarları, üzerinde saklanan sahibinin bilgilerine erişme yetkisi olmayan kişilerden gizlilik sağlar. Bir işverenin ekipmanını kullanırken çalışanların gizliliği yoktur, bu nedenle oturum açma banner'ınız tüm etkinliklerin herhangi bir zamanda, nedensiz veya nedensiz olarak izlenebileceğini söylüyor.

(Böyle bir oturum açma banner'ınız yoksa, en kısa sürede kurumsal danışmanınıza koşun - yürümeyin - çünkü Gerçekten İyi Bir Fikir.)

Ancak, bu başka bir soru. Başka bir cevapta söylenmeyen bir şey söyleyebileceğimi sanmıyorum, ancak bir parolanın bireysel bir tanımlayıcı olduğunu açıkça belirtmek zorunda olduğumu düşünüyorum ve bu nedenle herhangi bir parola tam olarak bir kişi tarafından bilinmelidir; Genel Yönetici vb. hesap şifreleri güvenli bir yerde saklanmalı ve her kullanımdan sonra değiştirilmelidir.

Veri koruma, kişisel bilgilerin kullanımı, vb. Bakımından da yasal zorunluluklar olabilir. Doğru, bir yönetici olarak bir kullanıcı parolasını değiştirmemi ve hesaplarına erişmemi engelleyecek teknik bir şey yok, ancak bunu yapmadan önce her zaman İK yöneticisinden (kişinin kendi yöneticisi yeterince iyi değil) yazılı izin alırım .

Benim için büyük olan güven. En yüksek güce sahipseniz, en alçak homurdanmadan CEO'ya kadar herkesin onu kötüye kullanmamanıza güvenmesi gereken bir konumtasınız. Arkasındaki gerçekliğe bakılmaksızın, güvenin güçlendirilmesine yardımcı olan her şey işleri sizin için çok daha kolay hale getirecektir. "Parolalarınızı bilmiyoruz ve parolanızı değiştirmeden hesabınıza erişemiyoruz (bu durumda bunu bileceksiniz)" iyi bir şeydir.

Birisi uzaktayken ve başka bir kişi işi istediğinde / ona ihtiyaç duyduğunda neden birinin şifresini sıfırlıyorsunuz? hemen hemen herkes bu gün işle ilgili olmayan verileri hesaplarında saklıyor. Yalnızca gerekli verileri alanlarından taşımalı ve bunu gerektiren kullanıcıya ait alana yerleştirmelisiniz.