Jump to content

Passwörter und Lizenzen "richtig" dokumentieren - wie handhabt ihr das?


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Deswegen die Frage nach der Anzahl der Passwörter.

500 Kennwörter würde ich nicht manuell ändern wollen. Vor allem nicht regelmäßig alle drei Monate und nach weggang von Kollegen.

 

Bei wenigen Kennwörtern würde ich einfach alle Kennwörter ändern, die in den Passwort Dateien gespeichert sind. Evtl. kann man diese Dateien etwas aufteilen für z.B. Admins, Webdesigner, Sonstige.

 

Aber wenn du keinen Automatismus willst dann sollte Keepass eigendlich ausreichen.

Link zu diesem Kommentar

 

mein ursprünglicher Gedanke war nicht, dass Kennwörter automatisch geändert werden sollen.

 

Mit automatischer Änderung ist gemeint, der Benutzer wird von einem System  zum Ändern gezwungen.

 

Du willst ja aber primär keine Kennwörter ändern oder sogar kennen, Du willst erstmal wissen, zu welchen Systemen hat der Benutzer Zugang gehabt, Benutzernamen und Kennwort gekannt. Und das nicht vereinzelt sondrn gesamt. Oder?

bearbeitet von lefg
Link zu diesem Kommentar

Das dürfte nicht der Zweck im passwortverwaltungstool sein. Wär auch bei dienstkonten schwerlich möglich, den Dienst dazu zu zwingen.

Deswegen die Frage nach der Anzahl der Passwörter.

500 Kennwörter würde ich nicht manuell ändern wollen. Vor allem nicht regelmäßig alle drei Monate und nach weggang von Kollegen.

 

Bei wenigen Kennwörtern würde ich einfach alle Kennwörter ändern, die in den Passwort Dateien gespeichert sind. Evtl. kann man diese Dateien etwas aufteilen für z.B. Admins, Webdesigner, Sonstige.

 

Aber wenn du keinen Automatismus willst dann sollte Keepass eigendlich ausreichen.

Sehe ich auch so. Ich kann mir nicht vorstellen, dass man bei 25 Usern deutlich über 100 Passwörter der Infrastruktur besitzt. Aber vielleicht hab ich ja nur keine Vorstellungskraft. ;)

Link zu diesem Kommentar

Guten Morgen in die Runde,

 

also wir haben hier so knapp um die 50+ Kennwörter/Konten/Zugänge zu verwalten. Tendenz zwar steigend, aber bevor wir dreistellig werden, dürfte das noch ne ganze Weile dauern - wenn überhaupt. Und niemand "kennt" natürlich alle oder auch nur einen Großteil davon. So gesehen ist eine manuelle Änderung der betroffenen Bereiche nach dem Weggang eines Kollegen "machbar", bzw. ja sogar komplett eingeplant - sofern nötig.

 

@lefg - Ich persönlich, wie auch die Geschäftsführung, brauche gar nicht alle Kennwörter. Habe aber auf alle Zugriff, bzw. "pflege" sie halt alle zentral. Und ab und an gebe ich (idR auf Anweisung der Geschäftsführung) auch das eine oder andere Kennwort an ausgewählte Kollegen raus. Ich möchte hier aber einen Überblick darüber behalten, welcher Kollege eben welche dieser "administrativen" Kennwörter/Zugänge kennt. Damit ich beim Weggang des Kollegen darauf entsprechend reagieren kann.

 

Letzteres meine ich nun aber halbwegs "elegant" gelöst zu haben. Ich hatte mich bisher lediglich rudimentär mit dem KeePass beschäftigt. Gestern Abend dann etwas mehr Zeit damit verbracht, bzw. etwas "tiefer" geschaut.

 

In einem beliebigen Eintrag kann ich unter dem Reiter "Advanced" im Bereich "String fields" Wertemengen definieren. Also zB ein Feld "Benutzer" und dann als Wertemenge die Kürzel unserer Kollegen, die eben Zugriff auf diesen Eintrag haben.

 

Und auf Hauptebene wiederum kann ich die "normale Suche" dazu nutzen, nach diesen Werten (=> Kürzel des Mitarbeiters) zu filtern. Wenn man nur den Haken "Other fields" setzt und nach dem Wert sucht, zeigt er auch nur die richtigen Einträge an. Sowohl die Pflege dieser Werte als auch die Suche danach gehen leicht von der Hand. So gesehen genau das was ich suchte. Und ich kann es dann auch für die Lizenz Schlüssel und Co. nutzen.

 

So gesehen habt vielen Dank für die rege Beteiligung und den Meinungsaustausch hier - mir ist geholfen :)

 

Aber eine Sache habe ich möglicherweise nach wie vor nicht verstanden.

 

 

Aber wenn du keinen Automatismus willst dann sollte Keepass eigendlich ausreichen.

 

Wer ändert hier was automatisch? Und in welchem Zusammenhang steht das mit dem "Kennwort Tool meiner Wahl"?

 

Wie geschrieben werden die meisten administrativen Kennwörter nicht nach einem gewissen Turnus geändert. Auch bieten nicht alle Services eine automatisch erzwungene Kennwortänderung nach Zeitraum X an...

 

Gruß

Björn

Link zu diesem Kommentar
[Automatismus]
Wer ändert hier was automatisch? Und in welchem Zusammenhang steht das mit dem "Kennwort Tool meiner Wahl"?

 

Wenn du eine sehr hohe Anzahl an Passwörter hast, die man nicht sinnvollerweise manell regelmäßig ändern kann (ohne z.B. einen eigenen Kollegen nur dafür einzustellen) braucht man einen Automatismus.

Es gibt Tools, diese verwalten Passwörter und können diese Automatisch ändern. Diese Tools unterstützen bestimmte Arten von Passwörtern (Lokale Windows oder Linux Accounts, Datenbanken (Oracle, SQL Server, MySql,...), Appliances (Netapp, Cisco, Juniper,...), Server (HP iLo,...),...). Andere Passwörter (eMail Accounts, Kundenzugänge auf Websites) müssen trotzdem manuell geändert werden.

Link zu diesem Kommentar

Hab vielen Dank für deine Erklärung - war mir so tatsächlich nicht bewusst. :thumb1:

 

Also greifen diese Passwort Tools direkt in die (aus ihrer Sicht) "Fremdsoftware" ein und ändert dort die (administrativen) Kennwörter. Also zumindest dort, wo sie eben ran kommen. Das wird für unsere Größenordnung zwar nie relevant sein, aber wie so oft habe ich hier im Faden wieder einiges dazu gelernt.

 

Danke!

Link zu diesem Kommentar

Wichtig ist der Wert, der mit den einzelnen Passwörtern geschützt wird. Bei hochwertigen Assets sollte man die Passwörter regelmäßig in kürzeren Abständen ändern, als bei vielleicht weniger wichtigen Assets. Aber geändert werden sollten Passwörter regelmäßig. Das hat absolut nichts mit Lust oder Unlust des Administrators zu tun, genauso wenig ob ein Administrator Lust oder Unlust hat seine Systeme zu patchen, etc.

Bei ganz wichtigen Passwörtern, z.B. "Built-In DomainAdministrator", "das zentrale KeepassPasswort" würde ich kein Drittherstellertool ranlassen. 

Link zu diesem Kommentar

Sollte man bei "hochwertigen Assets" die Kennwörter überhaupt auf dem Asset liegen haben?

Radius/NPS mit persönlicher Kennung anhand eines AD Kontos für die täglichen Arbeiten und ein langes, kryptisches Kennwort für den Built-In Admin im Tresor und/oder in einer nicht für den alltagsgebrauch bestimmten Kennwortdatenbank finde ich sympathischer.

Link zu diesem Kommentar

Moin,

 

falls die Sache wirklich ernst gemeint, wird wohl so etwas benötigt, sollte jedenfalls die Möglichkeiten mal geschaut sein.

 

https://www.manageengine.de/produkte/log-analyse-security/password-manager-pro/uebersicht-passwordmanagerpro.html

 

meine ich jedenfalls

 

Oder http://www.cyberark.com/products/privileged-account-security-solution/enterprise-password-vault/

 

Oder https://thycotic.com/products/secret-server/

 

Ob allerdings alles wirklich notwendige damit abdeckbar?

 

 

Mein Gedanke eingangs war: Falls man zwar die von einem ausscheidenden, freigesetzten User benutzten Systeme, Dienste, Konten und auch Kennwörter kenne, diese ändere, erstmal aber diese Zugänge für andere User unbrauchbar mache, diese erst benachrichigen muss?

 

Oder Konten und Kennwörter exklusiv nur für den jeweiligen User? Nur auf dem einen Rechner, Benutzerprofil?

 

Erfährt ein Kennworttresor, eine Dokumentation von der Benutzung eines Systems wie einen Webmailer oder VPN und einer Änderung des Kennworts für einen exklusiven Webzugang durch den Benutzer?

bearbeitet von lefg
Link zu diesem Kommentar
  • 3 Wochen später...

Wenn du eine sehr hohe Anzahl an Passwörter hast, die man nicht sinnvollerweise manell regelmäßig ändern kann (ohne z.B. einen eigenen Kollegen nur dafür einzustellen) braucht man einen Automatismus.

Es gibt Tools, diese verwalten Passwörter und können diese Automatisch ändern. Diese Tools unterstützen bestimmte Arten von Passwörtern (Lokale Windows oder Linux Accounts, Datenbanken (Oracle, SQL Server, MySql,...), Appliances (Netapp, Cisco, Juniper,...), Server (HP iLo,...),...). Andere Passwörter (eMail Accounts, Kundenzugänge auf Websites) müssen trotzdem manuell geändert werden.

Bei vielen Kennwörtern sind diese ja an diversen Stellen im Einsatz. Ändere ich das Oracle-Kennwort muss das auch in der Personalwirtschaft angepasst werden. Das Mysql-Kennwort muss dem typo3 mitgeteilt werden usw.

Gibts da ein Automatisierungstoll?

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...