Peterzz 11 Geschrieben 14. Mai 2013 Melden Geschrieben 14. Mai 2013 Hallo, bei uns wird mal wieder Sicherheit groß geschrieben und nun soll eine Passwortrichtlinie im Unternehmen erstellt werden. Für unsere User (wir sind ein ca. 70 Mann starkes Ingenieur Büro) haben wir schon die Richtlinie, dass Kennwörter alle 75 Tage geändert werden müssen, dass komplexe Kennwörter genutzt werden müssen und es gibt eine Kennwortchronik, usw. Nun sollen auch Kennwörter regelmäßig (alle 60 Tage) geändert werden, die die IT für Server-Dienste, für Zugänge zu Hardware (Router, Switche, …) für Anwendungen und für diverse Webportalen benötigt. Jetzt meine Fragen:Wie macht ihr das mit dem Kennwortwechsel von Dienstkonten und anderen Zugängen?Gibt es Best Practice Regeln oder Richtlinien, wonach man gehen könnte, die für ein Ingenieur Büro und nicht für eine Bank sind? Zitieren
MrCocktail 202 Geschrieben 14. Mai 2013 Melden Geschrieben 14. Mai 2013 Dienstkonten können sich nicht local anmelden haben ein Kennwort was man sich nicht merken kann (steht im Passwordsafe) das gleiche für Router usw Logins sind an das Adminkonto gebunden und so weit beschränkt, wie notwendig... Man kann es auch übertreiben, dienstkonten sollten nicht ablaufen... was macht man denn, wenn jemand krank wird und das Kennwort nicht ändern kann? Geht dann der Dienst auch nicht mehr? Zitieren
Dunkelmann 96 Geschrieben 15. Mai 2013 Melden Geschrieben 15. Mai 2013 Ergänzend zu MrCocktail ... für die tägliche Administration sollten möglichst nicht die Buildin Konten verwendet werden. Die bekommen ein generiertes Kennwort, das in einer PW Datenbank und/oder im Tresor liegt. Bei vielen Komponenten (Router, Switches, Storages etv.) kann ein RADIUS (NPS) ansteller einer lokalen Benutzerdatenbank verwendet werden. Über entsprechnde AD Gruppen (z.B. "Switch-Admins" oder "SAN-Admins") und Richtlinien kann ich ein Authentifizierung und Autorisierung gegen mein AD ermöglichen. Die AD Benutzer unterliegen dann den Richtlinien meiner Domäne und ich muss nicht zyklisch alle Komponenten anfassen um Kennwörter zu ändern. Zitieren
Dukel 463 Geschrieben 15. Mai 2013 Melden Geschrieben 15. Mai 2013 Evtl. ist eine Tool Unterstützung hilfreich. Es gibt Software die speichern Zentral und verschlüsselt Passwörter und manche von den Programmen Ändern dann auch Kennwörtern von bestimmten Systemen regelmäßig. Zitieren
Peterzz 11 Geschrieben 15. Mai 2013 Autor Melden Geschrieben 15. Mai 2013 Vielen dank schon Mal für die vielen Hinweise. Habe gerade beim BSI gelesen, dass z.B. Windows Dienstkonten auch regelmäßig (nicht automatisch) geändert werden sollen. Wenn es bei uns soweit kommen sollte, dass wir unsere kompletten Passwörter auf "Alles" alle 90 Tage ändern müssen, dann fangen wir halt vorne wieder an zu ändern, wenn wir hinten fertig sind ;-) Zitieren
NorbertFe 2.187 Geschrieben 15. Mai 2013 Melden Geschrieben 15. Mai 2013 Je nach Anwendungsgebiet sind Managed Service Accounts eine Lösung. Zitieren
Peterzz 11 Geschrieben 16. Mai 2013 Autor Melden Geschrieben 16. Mai 2013 Zitat Managed Service Accounts Die kenne ich gar nicht, werde ich mir aber mal ansehen. Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.