Quali sono i problemi con l'archiviazione delle password in una cartella pubblica riservata in cambio?

6

È sicuro memorizzare dati come le informazioni di accesso all'account (per i siti Web dei fornitori, non gli account amministrativi), le politiche delle impostazioni, la documentazione di attivazione e le chiavi del sistema operativo in una cartella pubblica su Microsoft Exchange e impostare le autorizzazioni solo per i membri di un gruppo di sicurezza specifico sono autorizzati ad aggiungere / modificare / visualizzare i post?

Trovo i seguenti due vantaggi: Il server di scambio viene aggiornato in modo incrementale ogni ora e inviato fuori sede di notte, quindi in caso di emergenza una volta completato il ripristino, la documentazione è ancora disponibile.

Gli utenti possono aggiornare, pubblicare e leggere secondo necessità sul flusso da OWA o Outlook.

Ma non sono a conoscenza dei rischi per la sicurezza che potrei presentare.

    
posta Jeff 17.02.2012 - 17:31
fonte

1 risposta

3

Dovresti considerare i vantaggi del tuo approccio e gli svantaggi e confrontarlo con altre alternative per prendere una decisione informata.

alcuni suggerimenti:

  • Chi gestisce queste cartelle / scambi pubblici? Questi utenti potrebbero non aver bisogno di accedere a tali impostazioni / account, ma poiché è loro compito gestire il server di scambio, ora hanno anche accesso a tali dettagli.
  • Cosa succede se un dipendente lascia il proprio desktop sbloccato e se ne va per un breve periodo? o se qualcuno guarda sul loro schermo quando questa casella di posta è aperta (quelle password non saranno mascherate in alcun modo)
  • C'è qualche traccia di controllo di chi sta accedendo a questi dati, o sta apportando modifiche ad esso? (anche per errore)
  • Cosa succede quando uno degli utenti lascia l'azienda (o viene licenziato)? Con quale rapidità / efficacia puoi modificare le password?
  • C'è qualche regolamento / standard che la tua azienda deve rispettare per impedire l'archiviazione delle password in testo semplice?

La mia preferenza personale è usare un qualche tipo di gestore di password. Esistono diverse soluzioni affidabili per la gestione di account / password condivisi. Avere una ricerca online per "gestore di password online" o qualcosa di simile e sono sicuro che ne troverete alcuni. Sono disponibili gratuitamente, open source e commerciali, autoprodotti o offerti come servizio. Puoi scegliere il migliore per te. In generale, prendono molto più sul serio la sicurezza, poiché questa è la loro funzione principale. Offrono protezione contro alcuni di quegli inconvenienti che ho citato e probabilmente altri no. Alcuni potrebbero non richiedere nemmeno di creare i propri backup, e lo faranno per te, o terranno traccia delle modifiche ecc.

Detto questo, non c'è assolutamente giusto o sbagliato. Se tali password e dati non sono molto sensibili, è possibile che la sicurezza integrata offerta dalla cassetta postale condivisa di Exchange sia sufficiente per le tue esigenze.

    
risposta data 20.02.2012 - 22:59
fonte

Leggi altre domande sui tag