Innanzitutto, reingegnerizza il processo di gestione degli account , laddove possibile, in modo che gli utenti abbiano account admin personali e l'account amministratore incorporato sia disabilitato, oppure che la password dell'account integrato sia memorizzata in un luogo sicuro in modo che i tuoi amministratori non possano ottenere accesso non autorizzato ad esso (ad es. password vault).
In secondo luogo, se non puoi utilizzare la separazione degli account a livello di dispositivo / servizio, prendi in considerazione l'utilizzo di uno dei molti strumenti di accesso privilegiato o Cloud Service Brokers (CSB) ( es. CyberArc, Thycotic, ecc.) in modo che solo il sistema conosca la password e la separazione dell'account sia ottenuta su un livello di gestione. Il blocco dell'accesso a un utente è un'operazione con 1 clic nello strumento. Cambiare le password è altrettanto facile e gli utenti autorizzati non subiscono variazioni o inconvenienti.
In terzo luogo, anche se fai quanto sopra, hai una documentazione manuale e processo di controllo da coinvolgere:
- documenta tutti i servizi che devono essere gestiti
- documenta tutti gli account e gli utenti su ciascun servizio
- rivedere tutti gli account / utenti su base periodica (annualmente? trimestrali? mensilmente?) per confermare l'idoneità
- controlla la completezza di tutti i servizi e gli account
Ovviamente, uno strumento di accesso privilegiato o un Cloud Service Broker è la strada da percorrere per coerenza e uptime.