Temos dois administradores de sistemas que conhecem as senhas de todos os nossos sistemas. Se o "impensável" aconteceu (AKA "ambos foram sob um ônibus") não há atualmente nenhuma maneira para os membros da equipe restante para obter acesso de administrador aos sistemas.
Quais etapas ou procedimentos devemos seguir para proteger contra isso, mantendo os sistemas seguros?
Peça-lhes para escrever as senhas críticas, selá-las em um envelope e armazená-las em um cofre, cofre ou em algum outro local onde a segurança física seja alta. Você quer ter certeza de que apenas alguém como o CEO ou alguma outra pessoa de confiança possa acessar isso, e garantir que eles só possam acessá-lo de uma maneira que deixe evidências físicas.
Tenha um procedimento em vigor sempre que fizerem uma alteração significativa de senha (como a senha de recuperação em um controlador de domínio, como a senha da conta original do administrador no primeiro domínio da floresta (que deve estar no grupo Administradores da empresa). ou semelhante, que gravam a conta e a senha duas vezes. E essas combinações de conta / senha são imediatamente lacradas em um envelope e rotuladas apropriadamente. Um envelope fica no local em um local seguro (como um cofre). O outro é protegido onde quer que estejam suas fitas externas / software. Nesse caso, você tem a recuperação de todas as senhas críticas.
Todos os outros mencionaram a necessidade de escrever fisicamente as senhas e guardá-las em um lugar seguro. Vou mencionar algo igualmente importante: Verifique se as senhas estão legíveis !!! Nada é pior do que olhar para um log de senha de recuperação de desastres e não ser capaz de dizer a diferença entre zeros, a letra O, uns , letras minúsculas, e porque o seu agora falecido / alienado SysAdmin tem a caligrafia de um professor médico. Mesmo a caligrafia "bonita" pode carregar ambiguidades em vários símbolos. Se as senhas forem suficientemente complexas, essas ambigüidades podem levar a noites muito longas de adivinhação de senha. OU lhe dará uma razão para aprender como configurar Cain e Abel para forçar o sistema a usar a senha usando termos regex.
Por exemplo, eu escreveria setas apontando para o nome de usuário e dizendo "Para todos os seus administradores do Windows - Esse nome de usuário é na verdade sensível a maiúsculas !! " ou "Esta é a 12ª carta do inglês alfabeto também conhecido como letra "l" pronunciado "ell" ". Sim, sou tão paranóico.
Sim, tenho TOC.
Não, não estou nos meus remédios. = (
Além disso, se você é paranóico quanto à segurança - separe a senha. Coloque o controle de dizer um terço da senha para o CEO e um gerente, outro terço para o CTO e um gerente diferente, e o último terço para o CIO e um gerente. Dessa forma, pelo menos três pessoas devem concordar antes que a sua preciosa senha possa ser reconstituída e que ninguém tenha a capacidade de manguizá-lo (caso ela seja demitida ou algo assim).
Eu armazeno toda a senha no PasswordSafe, com o programa e o banco de dados armazenados em um servidor com acesso concedido apenas aos gerentes seniores que devem ter acesso, conforme determina a empresa. O conteúdo do banco de dados também é exportado para um documento, que é impresso usando uma fonte que facilita a distinção entre esses caracteres ambíguos e a cópia impressa é armazenada fora do local em um local seguro. Nunca confie em caligrafia para esse tipo de coisa.
Além de ter algum tipo de lista de senhas seguras, documente o processo para obter acesso ao sistema quando nenhuma senha for conhecida ... acesso físico, forçando uma mudança de senha, "modo de manutenção", etc.
Qualquer que seja o método para um determinado sistema, vale a pena ter esse processo conhecido com a compreensão de como o acesso é obtido (qualquer tempo de inatividade? impacto de forçar uma alteração de senha em um sistema?).
Digitar as senhas e imprimi-las usando um console ou fonte OCR. Após a verificação, o documento é fechado sem ser salvo. As senhas são então seladas em um envelope e armazenadas no cofre do CFO de todos os lugares. Com alguma regularidade, o CTO e o CFO abrem o cofre, verificam se ele ainda está lacrado e solicitam que os administradores façam novos envelopes.
Separadamente, o CTO mantém uma conta de administrador de backup, com as senhas armazenadas fora do site com as fitas de backup.
Ainda não aprendemos o que fazer quando uma senha é alterada, porque há serviços que não são iniciados quando uma senha de administrador é alterada, mas raramente acontece o suficiente para que não seja uma transação muito grande.
O truque do envelope realmente foi muito útil quando o administrador de sistemas mais experiente desenvolveu uma condição médica terminal e passou antes que uma troca completa de tarefas estivesse completa. Infelizmente, com ele, o conhecimento de algumas das rotas de cabeamento foi irrecuperavelmente perdido, e temos problemas com isso até o dia - anos e anos depois.
Como um seguro contra falhas para poder fazer logon com a conta de Administrador do Domínio no caso de seus administradores desaparecerem, crie uma conta de usuário especial e delegue a capacidade de redefinir \ alterar senhas para essa conta. Dê este nome de usuário e senha para um indivíduo confiável, como seu chefe, com instruções sobre como e quando usá-lo. Se o seu chefe puder alterar a senha do administrador do domínio em caso de emergência, você estará a meio caminho de recuperar o controle da sua rede.
Você provavelmente precisará criar um console MMC personalizado também, mas isso pode ser armazenado em um compartilhamento de rede seguro.
Outra opção é configurar uma conta nos servidores com privilégios de root e permitir acesso somente a essa conta via chave ssh. Mantenha a chave privada apenas em uma unidade flash e armazenada com segurança.
Se o impensável acontecer, você pode fazer login por meio dessa conta / chave e alterar as senhas.
As senhas não são o problema. Qualquer sysadmin substituto de entrada precisará provar sua habilidade sabendo como recuperar uma conta ativada para a raiz em cada servidor. Claro que requer acesso aos servidores físicos, mas é uma ocorrência impensável de qualquer maneira. Aconteceu comigo que um profissional de TI queria um login de administrador para um servidor que estava com defeito - eu simplesmente disse a ele "você precisa colocar uma tela e um teclado no servidor e criar uma nova conta para você" - porque eu não disposto a dar a essa pessoa de habilidades desconhecidas uma senha.
Eu odeio pensar na bagunça que uma pessoa incompetente pode causar se receber todas as senhas do administrador.
É mais importante documentar a arquitetura do sistema. Incluindo endereços de URL e IP. E quais procedimentos regulares devem ser seguidos para manter a rede. Esse tipo de documentação deve ser mantido com segurança - mas a segurança é menos importante que as senhas.