Usando credenciais de administrador para fazer logon como usuário versus armazenar senhas

2

Nosso escritório usa um domínio do Windows com o Active Directory para gerenciar o acesso do usuário a máquinas e recursos de rede. A equipe de TI mantém um registro da senha de todos os usuários, que é usada principalmente para solução de problemas. Por exemplo. Às vezes, os problemas aparecem apenas quando conectados como usuários "regulares", não como administradores. Além disso, isso permite que os administradores de TI configurem o software para usuários locais, verifique as configurações, etc.

Considera-se má prática manter essa lista de senhas? Em teoria, apenas os administradores têm acesso a ele. Existe alguma maneira de usar credenciais de administrador para efetuar login como um usuário local, o que evitaria a necessidade de armazenar a senha do usuário?

(Um pequeno histórico: o escritório tem cerca de 30 usuários, com 2 administradores de TI. Alguns usuários têm acesso remoto via VPN.)

    
por Hank 17.10.2011 / 19:37

4 respostas

9

Isso é considerado uma prática ruim, tanto para segurança de senha quanto para gerenciamento de identidade. Ter uma lista de senhas em texto puro disponível em qualquer lugar é algo que não deve ser feito, ou, se for feito, precisa ser mantido offline e com controles de acesso rígidos (e auditáveis). A violação de gerenciamento de identidade é que essas listas de senha permitem que os usuários com acesso à lista de senhas personifiquem qualquer pessoa nessa lista sem o conhecimento dessa pessoa .

A política da Microsoft é que, se tal acesso ao perfil local for necessário, essa equipe técnica precisará de acesso:

  • Faça o login do usuário.
  • Peça à equipe técnica que redefina a senha do usuário .

Em ambos os casos, o usuário está ciente de que sua identidade eletrônica está sendo representada por alguém que não é ele. Sim, isso pode levar a redefinições de senha "desnecessárias", pois o trabalho é feito no perfil local para identificar problemas, mas a diretiva de senha em vigor precisa acomodar essas ações. Isso é um inconveniente para a equipe técnica e não técnica? Sim é.

Considere isso. Se um de seus usuários for pego com algo que não deveria ter em sua estação de trabalho, o tipo de coisa que pode levar à demissão ou processo criminal, ter essa lista de senhas torna impossível provar que eles e apenas eles colocam essa dados lá . Isso se tornará um ponto muito importante se chegar ao tribunal (seja por rescisão injusta ou por defender a acusação criminal). É para sua própria proteção que as senhas precisam ser confidenciais até mesmo dos administradores do sistema.

    
por 17.10.2011 / 19:55
2

Prática muito ruim. Hoje em dia você nunca deve gravar uma senha de usuário na minha opinião. Se você quiser solucionar problemas relacionados a permissões não administrativas, configure uma conta fictícia no Active Directory. Se o problema for relacionado a uma única conta, você visitará o usuário e trabalhará com ele ou controlará remotamente sua sessão com o contrato, uma vez que já tenha feito login.

Eu nunca manteria uma lista de senhas de ninguém, só estaria pedindo problemas e se algum de seus funcionários fizesse algo estúpido / malicioso, isso lhes daria uma cláusula perfeita e eles poderiam apenas dizer que sua senha deve ter sido roubada. você e não relacionados a qualquer coisa que eles possam ter feito.

    
por 17.10.2011 / 19:42
2

Por que você precisa fazer logon como usuário? Você sempre pode criar um usuário de teste no AD e colocar o usuário de teste nos mesmos grupos que a pessoa que você precisa testar.

A resposta para sua primeira pergunta, "É considerada prática ruim manter essa lista de senhas?" está retumbando SIM de mim.

    
por 17.10.2011 / 19:44
2

Pergunta muito antiga, mas quero deixar minha opinião aqui.

Eu trabalho como administrador de sistema e de rede (e consultor de segurança também) em uma instituição do governo com mais de 600 computadores em sete prédios.

Existe muito software governamental (código muito antigo) que é instalado APENAS para o usuário específico. Então, quando eu precisar solucionar alguma coisa, preciso fazer login na área de trabalho remota usando esse usuário específico. Devido a esta antiga política de software (e segurança), este programa pode ser instalado apenas 1 vez, em um PC.

Às vezes as pessoas tiram férias.

Então, sendo admin, fazer o login como outra pessoa não é tão "ruim", todas as preocupações com "coisa legal" são reações exageradas.

É a mesma coisa que um administrador redefinindo a senha e & personificando-os, como login como aquele usuário sendo admin. Usando essa "coisa" legal você muda sua senha de usuário, faz coisas ilegais e então afirma que o administrador alterou a senha ?, sem fundamentos.

Na verdade, estou usando o radmin ou vnc que precisa ser instalado manualmente em cada PC.

Mas, galera, pode ser que você não tenha vivido, mas há muitos cenários em que você precisa fazer o login como usuário específico, e nenhum é um usuário fictício, precisa ser o usuário exato. E a redefinição da senha não é sequer uma opção em algum momento (arquivo local criptografado ... por exemplo).

De qualquer forma, a solução real que eu uso é um software remoto como vnc ou radmin (pode ser aplicado via GPO ou remotamente) ou repousar a senha.

    
por 22.01.2015 / 17:02