Смартсорсинг.ру

Сообщество руководителей ИТ-компаний, ИТ-подразделений и сервисных центров

Статьи в блогах Вопросы и ответы Темы в лентах ITSM 365 Пользователи Компании Лента заказов Курс по ITSM

Парольная политика

На данный момент моя оутсорсингвая компания состоит из 2х доверенных сотрудников, планирую расштряться и нанимать сотрудников со стороны. На данный момент для администрированния клиентсого оборудованния используеться наш "Админский" пароль едиый для всех клиентов. С приходом новых сотрудников возможна их ротациия и проблемы при увольнении. Как обстоят дела с админскими паролями в аналогичных организациях?

Комментарии (14)

  • Аватар

    Ланцев Андрей [Sansey], 20 марта 2017, 17:24

    0
    Проблема решается отключеним удаленного доступа до клиента для уволившегося сотрудника. А также удаление его учетки в домене. Менять админский пароль у всех клиентов после каждого увольнения - это полный ваш ник :)
    • Аватар

      Перерва Станислав [paranoya], 20 марта 2017, 22:12

      0
      Так есть ещё сетевое и принтерное оборудование, в котором не всегда есть возможность завести кучу юзеров, а есть только два: админ и оператор.
      • Аватар

        Ланцев Андрей [Sansey], 21 марта 2017, 08:36

        0
        А чем оно отличается от всех остальных? Нет доступа - пофиг.
        • Аватар

          Перерва Станислав [paranoya], 21 марта 2017, 18:50

          0
          Тем, что у такого оборудования придётся пароль менять, там нет учеток, которые отключил и всё. И даже если есть возможность заведения юзеров, то уволившийся сотрудник мог иметь админский доступ и заранее создать там ещё одного "одмина" для себя. То есть, это дополнительные технические и административные решения - замена паролей на N-дцати железках у всех клиентов при увольнении сотрудника аутсорсера.
          • Аватар

            Ланцев Андрей [Sansey], 21 марта 2017, 18:53

            0
            Не вижу логики. Нет доступа у уволившегося. Нет! Ни физического, ни удаленного. Пусть он хоть сто "одминов" под себя создаст. Залогиниться он все равно не сможет.
            • Аватар

              Перерва Станислав [paranoya], 21 марта 2017, 21:07

              0

              Доступ к вайфай сети клиента с не radius-авторизацией, уже говорит о том, что можно зайти к клиенту стоя за дверью. А такой вайфай у подавляющего большинства клиентов. Когда сотрудник аутсорсера увольняется, то это замена ключевой фразы у всех клиентов, предупреждение клиентов о том, что пароль будет изменяться, и как-то надо выслать этот пароль клиенту, который не сможет получить письмо с паролем, потому что у вайфай сети пароль изменён.

              Можно даже просто зайти к клиенту и оставить свой вайфай воткнутый в разетку СКС. И потом, зная пароли, которые аутсорсер не сменил, можно мелко пакастить. Но это я уже параною слегка. :)

              • Аватар

                Ланцев Андрей [Sansey], 22 марта 2017, 08:43

                0

                Тут да, дырочка есть:) Но опять же, если удалена учетка в домене, то даже подключись он к сети по вай-фай, что он дальше сделает? Ни прав, ни доступа ни на одни ресурс. Хотя, конечно, нормальный админ знает пару-тройку десятков логинов/паролей юзеров :) Но и у юзеров опять же права обрезанные.

                А, например, мы вай-фай клиентам делаем чисто гостевой в отдельной подсети. Основная сеть сидит на проводах. Очень не любим мы вай-фай сети строить. Очень! Один геморрой с ними. А даже если и делаем, то на АС 5 Ггц. А там еще постараться надо, чтобы адаптер ее поддерживал. Хотя огрызки, кстати, видят АС-сети. Но я пока слабо представляю взлом сети с айфона :)

                • Аватар

                  Перерва Станислав [paranoya], 22 марта 2017, 11:52

                  1

                  Директора любят со своими ноутбуками сидеть через вайфай. Да ещё и так, чтобы и распечатать, и файлики поткрывать с файловой помойки, и посидеть в какой-нибудь сетевой программе.

                  И опять-же, если сотрудник аутсорсера имел какой-нибудь административный доступ к любому компьютеру в сети клиента, а обычно оно так и есть, то никто не запретит ему создать скрытого локального админа и сделать обход групповых политик, если, вдруг, последние применяются, имеется домен AD и настраивалась более-менее сносная ИБ.

                  А ещё можно установить свой прослушиватель, который подключен к проводной сети клиента. И даже воткнуть свой DHCP и прочие прелести перехвата трафика и реализовывать кучу вариантов атак. Но, опять же, это я нагнетаю обстановку. Обычно достаточно сменить админские пароли у клиента на всём оборудовании при увольнении сотрудника аутсорсера.

                  • Аватар

                    Ланцев Андрей [Sansey], 22 марта 2017, 12:12

                    0

                    А не проще воткнуть такому админу ножик в глаз? :) Станислав, ты начинаешь оправдывать свой ник :)

                    А по сути, менять пароли у десятков клиентов - это ты как себе представляешь? А если еще брать в расчет учетные записи из-под которых выполняются задачи, то там вообще караул! Реально, проще пристрелить админа :)

                    • Аватар

                      Перерва Станислав [paranoya], 22 марта 2017, 17:57

                      1

                      :) Или не увольнять.

                      PS. Но всегда стоит помнить о такой возможности уволенных.

                      • Аватар

                        [TrEsH], 03 апреля 2017, 00:12

                        0
                        Ну не у всех клиентов есть домены, а клиентов в районе 50 из которых домен стоит у 5, если говорить про сетевое оборудованние, то саботаж в этом плане будет иметь минимальные потери, а вот потеря данных или разглашение данных клиента...
                  • Аватар

                    [yur272700], 05 мая 2017, 16:21

                    0
                    Внедряйте WPA2-Enterprise c RADIUS сервером для учеток. Типовые решения Wi-Fi огромная дыра в безопасности.
                    • Аватар

                      Перерва Станислав [paranoya], 07 мая 2017, 13:05

                      0

                      WPA2 с радиусом сами по себе мало помогут. Тут важен четкий план разделения полономочий и выстроенный процесс, а так как у небольших аутсорсеров один острудник зачастую имеет админский доступ и к настройкам вайфая и к домену и к рабочим станциям, то вай-фай с радиусом не помогут.

  • Аватар

    [Alexandrov], 03 апреля 2017, 02:22

    0

    Общий пароль это удобно и просто, но это только до определенного времени... Рекомендую не использовать общих паролей для разных клиентов. Для хранения  большого количества паролей использовать базу данных с шифрованием, KeePass например. У каждого админа -аутсорсера своя учетка и свой пароль. Желательно логин админа -фамилия, не Admin1, Admin2  и т.д. Это для того чтобы проше было потом отключать. Уволился -закрываемшь учетку уволившегося админа, меняешь пароль на точки входа в инфраструктуру клиента. Старайся настраивать ИТ системы так, чтобы точек входа было как можно меньше. wifi -дыра Уволился админ, или даже сотрудник компании в идеале нужно менять пароль на wifi. Оптимизируйте мощность wifi точек  доступа, не нужно чтобы wifi работал аж на парковке. Используйте гостевые сети с доступом только в Интернет. Только пароль гостевой сети раздавай для смарфонов сотрудников. Пк и ноутбуки желательно на кабель.