Posso forzare password univoche per gli account di amministratore di dominio?

Naviga le tue risposte
2

Le best practice impongono che gli amministratori del dominio non debbano essere registrati come tali per le attività quotidiane.

Idealmente, l'utente avrebbe due account; Il loro account "giornaliero" e il loro account di amministratore di dominio.

Come si può assicurare (tramite un controllo tecnico) che Bob non utilizza la stessa password per il proprio account di amministratore di dominio che utilizza per il suo account giornaliero?

Affinché ciò funzioni, suppongo che ci sia la possibilità di legare la proprietà dei 2 account a un'entità specifica e di imporre l'univocità della password tra questi due account e solo questi due account.

Altrimenti, le persone potrebbero determinare che qualcun altro stia utilizzando la stessa password come se l'univocità fosse forzata su tutti gli account.

    
posta k1DBLITZ 02.12.2014 - 17:31
fonte

2 risposte

2

Forzare password univoche sia per l'amministratore del dominio che per l'account giornaliero farebbe semplicemente le persone in modo che utilizzino come "MyP @ ssw0rd1" per il loro Daily e "MyP @ ssw0rd2" per l'amministratore del dominio.

In ogni caso, le password potrebbero essere facilmente indovinate, sapendo che la password giornaliera renderebbe più semplice a un utente malintenzionato la deduzione della password del dominio.

Il rischio che vuoi proteggere è se un software dannoso o un utente malintenzionato potrebbe accedere all'account amministratore del dominio, conoscendo la password dell'account giornaliero.

Per proteggerlo suggerirei di utilizzare una soluzione token 2FA con token OTP. Ogni volta sincronizzata o evento sincronizzato. O anche un Yubikey. Il vantaggio con i token OTP basati su codice o yubikey è che possono essere utilizzati nei sistemi di password legacy semplicemente sostituendo il modulo di convalida della password con uno che può convalidare un codice costituito da una password statica e una OTP. 2FA è quindi abilitato solo per l'amministratore di dominio, il che significa che il token può essere bloccato in sicurezza in una cassastrong mentre non è utilizzato.

Un'altra soluzione è applicare una regola di accesso a 2 persone. Semplice, hai 2 amministratori di dominio. Un amministratore di dominio ha una password che conosce a metà senza che l'altro guardi, poi l'altro amministratore di dominio ne scrive un'altra metà che conosce, senza che l'amministratore 1 guardi. Quindi entrambe le persone devono venire all'unisono per accedere all'account dell'amministratore del dominio, che aumenta sia la tracciabilità, ma anche la sicurezza poiché è necessario conoscere entrambe le password, quindi anche se entrambi gli amministratori impostano la loro metà sulla propria password giornaliera, la sicurezza non è compromessa. p>     

risposta data 02.12.2014 - 22:10
fonte
1

Suppongo che stiamo discutendo di Windows Active Directory all'interno di un dominio.

Per quanto ne so, non credo sia possibile imporre password univoche tra due account separati relativi allo stesso utente finale utilizzando metodi standard di implementazione della password.

Tuttavia, è possibile utilizzare un software di terze parti per gestire gli account degli amministratori e modificare la password in una generazione casuale adeguatamente difficile. (Questo non impedisce loro di cambiarlo in qualcosa che vogliono in seguito, dato che sono amministratori di dominio ... ma funziona davvero bene per gli amministratori locali!)

    
risposta data 02.12.2014 - 18:05
fonte

Leggi altre domande sui tag

Come funziona la vulnerabilità di sicurezza di sicurezza dei file di Samba configurata in modo errato '/ etc / passwd'? Il framework Spring Security sconsiglia l'utilizzo di cookie double-submit per impedire CSRF. La loro preoccupazione è legittima?