Dove dovrebbero essere le credenziali del server di un negozio di gruppo [duplicato]

Il tuo problema è abbastanza comune e in genere definito PAM / PUM / PIM / PAM / Privileged Account / User / Identity Management.

Mantieni di sicuro è una soluzione utilizzata abbastanza spesso, ma dal punto di vista della sicurezza, della conformità e dell'audit non è la migliore. Dato che sei una squadra di cinque persone, è difficile dire se devi rispettare qualsiasi politica. Ma se è necessario, una soluzione commerciale sarebbe qualcosa da esaminare. Si rivolge non solo alla gestione delle password e alla condivisione delle password in un team, ma anche alla responsabilità individuale, al reporting e così via.

Quindi in realtà dipende dalle tue esigenze, da che parte andare. Dalla mia esperienza, posso dirvi che ci sono molti modi diversi di utilizzare in ambienti aziendali, a partire dalla carta in una posizione sicura, fino a file su condivisioni. Soprattutto per quanto riguarda i file su condivisioni, e-mail o altri dispositivi di archiviazione "online", ricorda sempre che potrebbe esserci qualche amministratore in grado di accedere a coloro a cui non è destinato.

HTH.

Stiamo usando un file di testo in chiaro crittografato gnupg, che è distribuito & versione di git. Ogni amministratore può decrittografarlo con

1. una chiave comune nota (segreto condiviso - forse più rischio in caso di smantellamento) o
2. ogni amministratore può decifrare con la propria chiave (credo che il rischio di perdite segrete sarà comparabile)

Git ti salverà in caso di operazioni di crittografia configurate in modo errato.

Per l'utilizzo su desktop posso solo suggerire strumenti per kubunutu:

• L'elemento della lista kgpg è uno strumento piacevole in trybar con un piccolo editor integrato per la decrittografia, ad es. il file delle credenziali
• Kleopatra può en- / decriptare gli appunti

Posso immaginare che ci siano strumenti simili per Windows. Puoi visitare il link per una prima panoramica

KeePass funziona bene con password relativamente statiche o per voci dinamiche. Vedi Password Vault - Enterprise per i dettagli.

Ho trovato anche un'opzione davvero utile (alternativa?) per gli account condivisi predefiniti come l'amministratore locale. Spingendo le copie delle tue password su una condivisione SMB o utilizzando SCP (con controllo per l'accesso e la crittografia in uso) funziona bene per una soluzione di homebrew.

Pianifica le modifiche giornaliere / orarie / etc, verifica l'accesso ai file di password e agli eventi di accesso e disponi di una cronologia accurata di chi ha effettuato l'accesso.

Is c'è più rischio nel cambiare la password dell'amministratore localmente rispetto a una posizione centralizzata?

LastPass o 1Password sembrano buone soluzioni come il loro online che sarà più facile da aggiornare rispetto a qualcosa offline come KeePass. Meglio per premium, quindi si configura un token con esso ma non sono sicuro se ciò funzionerebbe con la condivisione. I gestori di password offline dovrebbero essere sincronizzati tra il team mentre ognuno si aggiunge a esso e probabilmente alla fine porteranno agli stessi problemi.

Nel frattempo è meglio del tuo attuale processo; tuttavia questa non è una soluzione a lungo termine. Alla fine avrai bisogno di una soluzione a livello di organizzazione per ospitare e proteggere tali informazioni. Qualcosa che puoi controllare, in grado di soddisfare le esigenze della tua organizzazione. Ciò significa che dipende dalle risorse disponibili, che sto scommettendo sono troppo limitate per permettermi un sistema completamente aggiornato. Ciò ti lascia soluzioni economiche a breve termine. Ma penso che siamo tutti abituati.