Peterzz 11 Geschrieben 14. Mai 2013 Melden Teilen Geschrieben 14. Mai 2013 Hallo, bei uns wird mal wieder Sicherheit groß geschrieben und nun soll eine Passwortrichtlinie im Unternehmen erstellt werden. Für unsere User (wir sind ein ca. 70 Mann starkes Ingenieur Büro) haben wir schon die Richtlinie, dass Kennwörter alle 75 Tage geändert werden müssen, dass komplexe Kennwörter genutzt werden müssen und es gibt eine Kennwortchronik, usw. Nun sollen auch Kennwörter regelmäßig (alle 60 Tage) geändert werden, die die IT für Server-Dienste, für Zugänge zu Hardware (Router, Switche, …) für Anwendungen und für diverse Webportalen benötigt. Jetzt meine Fragen:Wie macht ihr das mit dem Kennwortwechsel von Dienstkonten und anderen Zugängen?Gibt es Best Practice Regeln oder Richtlinien, wonach man gehen könnte, die für ein Ingenieur Büro und nicht für eine Bank sind? Zitieren Link zu diesem Kommentar
MrCocktail 191 Geschrieben 14. Mai 2013 Melden Teilen Geschrieben 14. Mai 2013 Dienstkonten können sich nicht local anmelden haben ein Kennwort was man sich nicht merken kann (steht im Passwordsafe) das gleiche für Router usw Logins sind an das Adminkonto gebunden und so weit beschränkt, wie notwendig... Man kann es auch übertreiben, dienstkonten sollten nicht ablaufen... was macht man denn, wenn jemand krank wird und das Kennwort nicht ändern kann? Geht dann der Dienst auch nicht mehr? Zitieren Link zu diesem Kommentar
Dunkelmann 96 Geschrieben 15. Mai 2013 Melden Teilen Geschrieben 15. Mai 2013 Ergänzend zu MrCocktail ... für die tägliche Administration sollten möglichst nicht die Buildin Konten verwendet werden. Die bekommen ein generiertes Kennwort, das in einer PW Datenbank und/oder im Tresor liegt. Bei vielen Komponenten (Router, Switches, Storages etv.) kann ein RADIUS (NPS) ansteller einer lokalen Benutzerdatenbank verwendet werden. Über entsprechnde AD Gruppen (z.B. "Switch-Admins" oder "SAN-Admins") und Richtlinien kann ich ein Authentifizierung und Autorisierung gegen mein AD ermöglichen. Die AD Benutzer unterliegen dann den Richtlinien meiner Domäne und ich muss nicht zyklisch alle Komponenten anfassen um Kennwörter zu ändern. Zitieren Link zu diesem Kommentar
Dukel 436 Geschrieben 15. Mai 2013 Melden Teilen Geschrieben 15. Mai 2013 Evtl. ist eine Tool Unterstützung hilfreich. Es gibt Software die speichern Zentral und verschlüsselt Passwörter und manche von den Programmen Ändern dann auch Kennwörtern von bestimmten Systemen regelmäßig. Zitieren Link zu diesem Kommentar
Peterzz 11 Geschrieben 15. Mai 2013 Autor Melden Teilen Geschrieben 15. Mai 2013 Vielen dank schon Mal für die vielen Hinweise. Habe gerade beim BSI gelesen, dass z.B. Windows Dienstkonten auch regelmäßig (nicht automatisch) geändert werden sollen. Wenn es bei uns soweit kommen sollte, dass wir unsere kompletten Passwörter auf "Alles" alle 90 Tage ändern müssen, dann fangen wir halt vorne wieder an zu ändern, wenn wir hinten fertig sind ;-) Zitieren Link zu diesem Kommentar
NorbertFe 1.827 Geschrieben 15. Mai 2013 Melden Teilen Geschrieben 15. Mai 2013 Je nach Anwendungsgebiet sind Managed Service Accounts eine Lösung. Zitieren Link zu diesem Kommentar
Peterzz 11 Geschrieben 16. Mai 2013 Autor Melden Teilen Geschrieben 16. Mai 2013 Managed Service Accounts Die kenne ich gar nicht, werde ich mir aber mal ansehen. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.