OliverHu 19 Geschrieben 28. Dezember 2016 Melden Teilen Geschrieben 28. Dezember 2016 Soll ich nochmal auf den Link hinweisen? Nein, das wäre überflüssig. Ach, ich war ja ohnehin raus ;) 1 Zitieren Link zu diesem Kommentar
NorbertFe 2.065 Geschrieben 28. Dezember 2016 Melden Teilen Geschrieben 28. Dezember 2016 wir haben password Depot im Einsatz. Da kann man auf dem Server mehrere password Dateien haben, und darin dann auch rechte auf die Dateien oder sogar einzelne Kennworte vergeben. Vielleicht ist das ja einen Blick wert. Kostet aber auch Geld. ;) Zitieren Link zu diesem Kommentar
Dukel 455 Geschrieben 28. Dezember 2016 Melden Teilen Geschrieben 28. Dezember 2016 Deswegen die Frage nach der Anzahl der Passwörter. 500 Kennwörter würde ich nicht manuell ändern wollen. Vor allem nicht regelmäßig alle drei Monate und nach weggang von Kollegen. Bei wenigen Kennwörtern würde ich einfach alle Kennwörter ändern, die in den Passwort Dateien gespeichert sind. Evtl. kann man diese Dateien etwas aufteilen für z.B. Admins, Webdesigner, Sonstige. Aber wenn du keinen Automatismus willst dann sollte Keepass eigendlich ausreichen. Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 28. Dezember 2016 Melden Teilen Geschrieben 28. Dezember 2016 (bearbeitet) mein ursprünglicher Gedanke war nicht, dass Kennwörter automatisch geändert werden sollen. Mit automatischer Änderung ist gemeint, der Benutzer wird von einem System zum Ändern gezwungen. Du willst ja aber primär keine Kennwörter ändern oder sogar kennen, Du willst erstmal wissen, zu welchen Systemen hat der Benutzer Zugang gehabt, Benutzernamen und Kennwort gekannt. Und das nicht vereinzelt sondrn gesamt. Oder? bearbeitet 28. Dezember 2016 von lefg Zitieren Link zu diesem Kommentar
NorbertFe 2.065 Geschrieben 28. Dezember 2016 Melden Teilen Geschrieben 28. Dezember 2016 Das dürfte nicht der Zweck im passwortverwaltungstool sein. Wär auch bei dienstkonten schwerlich möglich, den Dienst dazu zu zwingen. Deswegen die Frage nach der Anzahl der Passwörter. 500 Kennwörter würde ich nicht manuell ändern wollen. Vor allem nicht regelmäßig alle drei Monate und nach weggang von Kollegen. Bei wenigen Kennwörtern würde ich einfach alle Kennwörter ändern, die in den Passwort Dateien gespeichert sind. Evtl. kann man diese Dateien etwas aufteilen für z.B. Admins, Webdesigner, Sonstige. Aber wenn du keinen Automatismus willst dann sollte Keepass eigendlich ausreichen. Sehe ich auch so. Ich kann mir nicht vorstellen, dass man bei 25 Usern deutlich über 100 Passwörter der Infrastruktur besitzt. Aber vielleicht hab ich ja nur keine Vorstellungskraft. ;) Zitieren Link zu diesem Kommentar
Blase 15 Geschrieben 29. Dezember 2016 Autor Melden Teilen Geschrieben 29. Dezember 2016 Guten Morgen in die Runde, also wir haben hier so knapp um die 50+ Kennwörter/Konten/Zugänge zu verwalten. Tendenz zwar steigend, aber bevor wir dreistellig werden, dürfte das noch ne ganze Weile dauern - wenn überhaupt. Und niemand "kennt" natürlich alle oder auch nur einen Großteil davon. So gesehen ist eine manuelle Änderung der betroffenen Bereiche nach dem Weggang eines Kollegen "machbar", bzw. ja sogar komplett eingeplant - sofern nötig. @lefg - Ich persönlich, wie auch die Geschäftsführung, brauche gar nicht alle Kennwörter. Habe aber auf alle Zugriff, bzw. "pflege" sie halt alle zentral. Und ab und an gebe ich (idR auf Anweisung der Geschäftsführung) auch das eine oder andere Kennwort an ausgewählte Kollegen raus. Ich möchte hier aber einen Überblick darüber behalten, welcher Kollege eben welche dieser "administrativen" Kennwörter/Zugänge kennt. Damit ich beim Weggang des Kollegen darauf entsprechend reagieren kann. Letzteres meine ich nun aber halbwegs "elegant" gelöst zu haben. Ich hatte mich bisher lediglich rudimentär mit dem KeePass beschäftigt. Gestern Abend dann etwas mehr Zeit damit verbracht, bzw. etwas "tiefer" geschaut. In einem beliebigen Eintrag kann ich unter dem Reiter "Advanced" im Bereich "String fields" Wertemengen definieren. Also zB ein Feld "Benutzer" und dann als Wertemenge die Kürzel unserer Kollegen, die eben Zugriff auf diesen Eintrag haben. Und auf Hauptebene wiederum kann ich die "normale Suche" dazu nutzen, nach diesen Werten (=> Kürzel des Mitarbeiters) zu filtern. Wenn man nur den Haken "Other fields" setzt und nach dem Wert sucht, zeigt er auch nur die richtigen Einträge an. Sowohl die Pflege dieser Werte als auch die Suche danach gehen leicht von der Hand. So gesehen genau das was ich suchte. Und ich kann es dann auch für die Lizenz Schlüssel und Co. nutzen. So gesehen habt vielen Dank für die rege Beteiligung und den Meinungsaustausch hier - mir ist geholfen :) Aber eine Sache habe ich möglicherweise nach wie vor nicht verstanden. Aber wenn du keinen Automatismus willst dann sollte Keepass eigendlich ausreichen. Wer ändert hier was automatisch? Und in welchem Zusammenhang steht das mit dem "Kennwort Tool meiner Wahl"? Wie geschrieben werden die meisten administrativen Kennwörter nicht nach einem gewissen Turnus geändert. Auch bieten nicht alle Services eine automatisch erzwungene Kennwortänderung nach Zeitraum X an... Gruß Björn Zitieren Link zu diesem Kommentar
Dukel 455 Geschrieben 29. Dezember 2016 Melden Teilen Geschrieben 29. Dezember 2016 [Automatismus] Wer ändert hier was automatisch? Und in welchem Zusammenhang steht das mit dem "Kennwort Tool meiner Wahl"? Wenn du eine sehr hohe Anzahl an Passwörter hast, die man nicht sinnvollerweise manell regelmäßig ändern kann (ohne z.B. einen eigenen Kollegen nur dafür einzustellen) braucht man einen Automatismus. Es gibt Tools, diese verwalten Passwörter und können diese Automatisch ändern. Diese Tools unterstützen bestimmte Arten von Passwörtern (Lokale Windows oder Linux Accounts, Datenbanken (Oracle, SQL Server, MySql,...), Appliances (Netapp, Cisco, Juniper,...), Server (HP iLo,...),...). Andere Passwörter (eMail Accounts, Kundenzugänge auf Websites) müssen trotzdem manuell geändert werden. Zitieren Link zu diesem Kommentar
Blase 15 Geschrieben 29. Dezember 2016 Autor Melden Teilen Geschrieben 29. Dezember 2016 Hab vielen Dank für deine Erklärung - war mir so tatsächlich nicht bewusst. :thumb1: Also greifen diese Passwort Tools direkt in die (aus ihrer Sicht) "Fremdsoftware" ein und ändert dort die (administrativen) Kennwörter. Also zumindest dort, wo sie eben ran kommen. Das wird für unsere Größenordnung zwar nie relevant sein, aber wie so oft habe ich hier im Faden wieder einiges dazu gelernt. Danke! Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 29. Dezember 2016 Melden Teilen Geschrieben 29. Dezember 2016 Wichtig ist der Wert, der mit den einzelnen Passwörtern geschützt wird. Bei hochwertigen Assets sollte man die Passwörter regelmäßig in kürzeren Abständen ändern, als bei vielleicht weniger wichtigen Assets. Aber geändert werden sollten Passwörter regelmäßig. Das hat absolut nichts mit Lust oder Unlust des Administrators zu tun, genauso wenig ob ein Administrator Lust oder Unlust hat seine Systeme zu patchen, etc. Bei ganz wichtigen Passwörtern, z.B. "Built-In DomainAdministrator", "das zentrale KeepassPasswort" würde ich kein Drittherstellertool ranlassen. Zitieren Link zu diesem Kommentar
Dunkelmann 96 Geschrieben 29. Dezember 2016 Melden Teilen Geschrieben 29. Dezember 2016 Sollte man bei "hochwertigen Assets" die Kennwörter überhaupt auf dem Asset liegen haben? Radius/NPS mit persönlicher Kennung anhand eines AD Kontos für die täglichen Arbeiten und ein langes, kryptisches Kennwort für den Built-In Admin im Tresor und/oder in einer nicht für den alltagsgebrauch bestimmten Kennwortdatenbank finde ich sympathischer. Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 29. Dezember 2016 Melden Teilen Geschrieben 29. Dezember 2016 (bearbeitet) Moin, falls die Sache wirklich ernst gemeint, wird wohl so etwas benötigt, sollte jedenfalls die Möglichkeiten mal geschaut sein. https://www.manageengine.de/produkte/log-analyse-security/password-manager-pro/uebersicht-passwordmanagerpro.html meine ich jedenfalls Oder http://www.cyberark.com/products/privileged-account-security-solution/enterprise-password-vault/ Oder https://thycotic.com/products/secret-server/ Ob allerdings alles wirklich notwendige damit abdeckbar? Mein Gedanke eingangs war: Falls man zwar die von einem ausscheidenden, freigesetzten User benutzten Systeme, Dienste, Konten und auch Kennwörter kenne, diese ändere, erstmal aber diese Zugänge für andere User unbrauchbar mache, diese erst benachrichigen muss? Oder Konten und Kennwörter exklusiv nur für den jeweiligen User? Nur auf dem einen Rechner, Benutzerprofil? Erfährt ein Kennworttresor, eine Dokumentation von der Benutzung eines Systems wie einen Webmailer oder VPN und einer Änderung des Kennworts für einen exklusiven Webzugang durch den Benutzer? bearbeitet 29. Dezember 2016 von lefg Zitieren Link zu diesem Kommentar
magheinz 110 Geschrieben 13. Januar 2017 Melden Teilen Geschrieben 13. Januar 2017 Wenn du eine sehr hohe Anzahl an Passwörter hast, die man nicht sinnvollerweise manell regelmäßig ändern kann (ohne z.B. einen eigenen Kollegen nur dafür einzustellen) braucht man einen Automatismus. Es gibt Tools, diese verwalten Passwörter und können diese Automatisch ändern. Diese Tools unterstützen bestimmte Arten von Passwörtern (Lokale Windows oder Linux Accounts, Datenbanken (Oracle, SQL Server, MySql,...), Appliances (Netapp, Cisco, Juniper,...), Server (HP iLo,...),...). Andere Passwörter (eMail Accounts, Kundenzugänge auf Websites) müssen trotzdem manuell geändert werden. Bei vielen Kennwörtern sind diese ja an diversen Stellen im Einsatz. Ändere ich das Oracle-Kennwort muss das auch in der Personalwirtschaft angepasst werden. Das Mysql-Kennwort muss dem typo3 mitgeteilt werden usw. Gibts da ein Automatisierungstoll? Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.