Wohin mit all den Admin-Passwörtern

[Doso 77]

Passwörter für Switches, lokales Server Admin Passwort, Domain Admin Passwort, Passwort für den externen Linux Server, Passwort für die Service Accounts, Bios, für den externen SQL Server... etc.

 

Da sammelt sich im Laufe der Zeit einiges an, merken ist nicht. Am besten sollten im "Fall der Fälle" dann auch noch Kollegen Zugriff haben, die normal nicht mit dem System arbeiten um Notfallmaßnahmen wie Neustart durchzuführen. Natürlich sollte es dann aber auch nicht jeder ran dürfen. Den ganzen Mist sollte man dann auch noch dokumentieren und aktuell halten.

 

Wie handhabt ihr das bei euch?

[der_dom 0]

Moin,

 

ich hab solche Passwörter generell auf einem Stick gespeichert in einem Passwortgeschützen Archiv. Jeder der dran soll, kennt das Passwort und weiß wo der Stick liegt. Davon gibt es auch nochmal eine Kopie, die wird, falls erforderlich, wöchentlich aktualisiert und kommt dann wieder in ihren Tresor.

 

Keepas oder ähnliches nutze ich für solche Fälle gar nicht, das kommt höchstens Privat mal zum Einsatz, sonst Gedächtnis.

[NorbertFe 2.034]

Wir haben Passwort Depot mit servermodul im Einsatz. Je nachdem was und wie man es verwalten will bietet sich sowas schon an.

[daabm 1.354]

...und wenn es "Enterprise" werden soll, gibt es Lösungen wie CyberArk.

[Dunkelmann 96]

Es gibt bei uns zwei Arten von administrativen Kennwörtern.

• Die Kennwörter für den 'Administrator', 'enable_15' usw. Mit denen wird im Alltag nicht gearbeitet. Die Kennwörter liegen zusammen mit anderen Notfallinformationen in einem versiegelten Umschlag im Tresor von IT und GF
• Die Kennwörter für den Alltag. Dafür nutzen wir KeePass

[BYTouchDown 14]

Ich habe es schlicht und einfach in einer Excel-Datei übersichtlich gehalten. Diese Datei ist in einem Ordner abgelegt, auf welche nur Admins oder Geschäftsführung zugreifen können. Darunter drucke ich diese Liste aus und hefte sie in einem Ordner in unserem Tresor ab. Der Tresor befindet sich in einem anderen Brandabschnitt.

 

Dokumentation halte ich für sehr wichtig. Als ich eingestellt wurde, war gar nichts da außer dem Admin-Pw, welches jedem bekannt war - gut oder? :jau:

[Dukel 454]

...und wenn es "Enterprise" werden soll, gibt es Lösungen wie CyberArk.

 

Mit Vorteilen, je nach eingesetzem Produkt, dass diese Passwörter automatisiert und regelmäßig geändert werden können.

[NeMiX 76]

...und wenn es "Enterprise" werden soll, gibt es Lösungen wie CyberArk.

 

Setzen wir auch ein, hat den charmanten Vorteil das man da Reports bekommt wer wann welches Passwort abgefragt hat und das man sehr granular die ACLs steuern kann. Der Spaß kostet etwas, aber ich bin mir relativ sicher das eine Excel Liste (sicherlich eine gangbare Praxis) bei den Audits die wir mitmachen (HIPAA, PCI usw) nicht bestehen würden.

[Dr.Melzer 191]

Keepas oder ähnliches nutze ich für solche Fälle gar nicht, das kommt höchstens Privat mal zum Einsatz, sonst Gedächtnis.

Was spricht gegen KeePass?

Ich habe es schlicht und einfach in einer Excel-Datei übersichtlich gehalten.

Eine Excel Tabelle? Unverschlüsselt?

[AdminAIS 0]

wir nutzen auch KeePass und zwar mit Key-File in nem Ordner wo nur die IT Zugriff hat und nem Master Passwort was auch nur wir kennen! dazu ist noch eine kleine Liste mit den wichtigsten Passwörtern in nem verschlossenen Schrank im Serverraum wo sonst keiner rein kommt, nichmal die GF :thumb1:

[Dr.Melzer 191]

 dazu ist noch eine kleine Liste mit den wichtigsten Passwörtern in nem verschlossenen Schrank im Serverraum wo sonst keiner rein kommt, nichmal die GF :thumb1:

Liste im Klartext?

 

Dir ist klar wie schnell Schlössen von schränken geöffnet sind?

 

AFAIK gehört so eine Passwortliste in einen versiegelten Umschlag in ein Bankschließfach außerhalb des Betriebsgebäudes. Selbstverständlich hat die GF darauf Zugriff wenn es notwendig ist.

[AdminAIS 0]

Liste im Klartext?

Liste Papier in versiegeltem Umschlag

 

 

Dir ist klar wie schnell Schlössen von schränken geöffnet sind?

dazu muss auch erstmal einer in den Serverraum kommen und der ist durch ne massive Tür FEST verschlossen!

[DavidS 11]

Dokumentation halte ich für sehr wichtig. Als ich eingestellt wurde, war gar nichts da außer dem Admin-Pw, welches jedem bekannt war - gut oder? :jau:

Das ist in den meisten Unternehmen normal, das Elend fängt schon an wenn man nach den Internet Zugangsdaten fragt. Als ich noch in einem Systemhaus beschäftigt war, und Neukunden hinzukamen, war das IMMER so, Kennwörter ? Kennen wir nicht :-D

[Doso 77]

Wir haben halt pro Team einen USB Stick mit Keepass drauf. Der USB Stick ist wahlweise per Truecrypt oder per Hardware Verschlüsselung gesichert. Nur haben wir bemerkt das wir im Fall der Fälle gar nicht ran kommen weil jeder so seine eigene Methode hat das zu sichern. Das Passwort für Keepass ist allerdings wieder so ein "allgemeinpasswort" das auch für zig andere Dinge verwendet wird. Alles irgendwie nicht so optimal, dachte ich frag mal wie ihr das so handhabt, sehe schon das sich da jeder was eigenes überlegt hat.

[heuchler 17]

Wieviele Admins seid ihr denn überhaupt? Rollenverteilung?
Kann/darf jeder das Gröbste um einen simplen Fehler durch einen Neustart zu beheben oder sogar einen Restore ausführen?
Hat jeder Admin einen eigenen Admin-Login und wird dies mitgeloggt?
Habt ihr einen IT Dienstleister der dort helfen kann und die Kennwörter kennt?
 

Wir nutzen auch KeePass für Dinge wie Provider, Hoster, Handyzeug und sowas... passt schon.
Man muss mal abwägen was von Nutzen ist.

Wenn ein Fremder/Dritter (ggf. Dienstleister) erst auf ein Kennwort aus dem Bankschließfach warten muss, dann ist das nicht immer optimal.