Jak zarządzasz poświadczeniami konta usług (hasłami)? [Zamknięte]

9

Jak w środowisku Windows rozwiązujesz następujące problemy z kontami usług?

  1. Regularne zmiany hasła - w przypadku pojedynczych kont usług używanych na wielu komputerach, w jaki sposób regularnie zmieniasz hasła bez znacznych okresów przestoju? Czy po prostu nigdy ich nie zmieniasz?
  2. Śledzenie haseł - z konieczności wiele osób musi je znać, w jaki sposób zapisujesz hasła, zachowując je w tajemnicy?
  3. Do jakiego momentu korzystasz z tego samego konta na wielu komputerach / usługach? Jak śledzić, które konto jest używane? Jakieś narzędzia, które mogą w tym pomóc?
  4. Czy ktoś znalazł jakieś dobre zasoby dla odpowiednich minimalnych ustawień uprawnień dla wymagań wspólnych kont usług dla aplikacji takich jak SQL Server, Sharepoint itp.
windows security active-directory password Joel Mansford
źródło
Myślę, że punkt 4 jest trochę nie na temat. Moją główną troską jest punkt 1. Nie widzę, jak możesz zmienić hasła bez awarii.
Joel Mansford
Nawet jeśli punkt 4 jest poza tematem, nadal chciałbym śledzić ten wątek. Znalazłem to pytanie, szukając sposobu zapobiegania interaktywnym logowaniom za pomocą konta usługi. Myślałem, że istnieje ustawienie GPO, ale jeszcze go nie znalazłem.
Nathan Hartley,

Odpowiedzi:

3

Wielu naszych klientów korzysta z Secret Server do zarządzania kontami usług.

Może automatycznie wykryć, gdzie używane są konta usług (skanuje sieć pod kątem zastosowań), a następnie te usługi systemu Windows można dodać jako „zależność” poświadczeń. Można ustawić harmonogram wygaśnięcia (powiedzmy co 30 dni), a następnie automatycznie wygeneruje nowe losowe hasło do konta usługi AD i zmieni wszystkie używane miejsca (nawet zatrzymując i ponownie uruchamiając Usługi Windows). Secret Server obsługuje również użytkowników puli aplikacji IIS i zaplanowane zadania systemu Windows jako „zależności”.

Zdobądź darmowy 30-dniowy okres próbny tutaj: http://www.thycotic.com


źródło
4

Przejście do Server 2008 R2 dookoła ^^ (ok, może nie - ale pomyślałem, że powinienem wspomnieć o zarządzanym koncie usługi i jego kontach wirtualnych , które obiecują rozwiązać ten bałagan)

Oskar Duveborn
źródło
Dzięki za to, nie zauważyłem tego na liście funkcji R2. Jestem wielkim fanem Server 2008 (R1). Byłem trochę rozczarowany stabilnością i wydajnością wersji beta 2008 R2 w porównaniu z Win7 RC - miejmy nadzieję, że dobrze będzie, gdy ją wypuszczą
Joel Mansford
2

Joel,

Używamy aplikacji innej firmy do zarządzania rotacją haseł do kont serwisowych. Aplikacja śledzi hasła, tworzy nowe i oferuje skarbiec, dzięki czemu możesz uzyskać dostęp do haseł w razie potrzeby.

Staramy się ponownie wykorzystywać konta usługowe, gdy jest to możliwe, aw ramach procesu tworzenia konta mamy formularz, który ludzie muszą wypełnić. po przesłaniu formularza jest on zapisywany, a utworzone konto jest zapisywane wraz z formularzem. w ten sposób, jeśli musimy wiedzieć, kto korzysta z konta lub dlaczego został utworzony, możemy przeprowadzić badania. upewniamy się również, że pole menedżera w AD jest poprawnie wypełnione, a menedżerom przypisano zadanie wiedzieć, za jakie konta usług są odpowiedzialni.

MSDN miałby wiele informacji na temat minimalnych uprawnień wymaganych dla ustawień konta wspólnej usługi. Jak zawsze sposób konfiguracji tych ustawień zależy od potrzeb środowiska.

SQLRockstar
źródło
Masz pojęcie, jakiego narzędzia innej firmy używasz do tego?
Joel Mansford
na pewno, cyber-ark.com
SQLRockstar
0

Polecam passgen.exe Pobierz informacje tutaj Wystarczy przejrzeć dokument towarzyszący. Daje precyzyjny scenariusz zmiany hasła na wielu komputerach oraz łatwość utrzymania ich unikalności i złożoności.

KAPes
źródło