MurdocX 952 Geschrieben 9. März Melden Teilen Geschrieben 9. März Am 8.3.2024 um 18:16 schrieb daabm: Für High Privilege Accounts solltest Du es nach jeder Verwendung ändern. Diese Empfehlung habe ich auch schon gelesen. Oder es tatsächlich nur für den DC verwenden Oder Smartcard-Logon mit rolling NTLM. Das finde ich immer interessanter. Ich evaluiere gerade Karte oder Yubikey. Unschlüssig bin ich bzgl. dem Arbeitsaufwand beim Troubleshooting... Zitieren Link zu diesem Kommentar
LK28 11 Geschrieben 11. März Melden Teilen Geschrieben 11. März Auch wir Admins haben Grenzen, wie viele Passwörter wir uns händisch merken können, bei mehreren Admin Accounts, mehreren Kunden, teils Kritis, teils keine bis wenige Sicherheitsmechanismen etc. Ich als Admin/Dienstleister möchte meine Admin Passwörter beim Kunden doch am besten gar nicht mehr wissen, schon gar nicht die Passwörter händisch auf Aufforderung ändern, sondern das Passwortmanagement durch PAM regeln lassen. Was auch den netten Vorteil mit sich bringt, dass man das unbekannte Passwort nicht mal mehr kopieren und einfügen muss. JIT und JEA noch oben drauf. Also ein Plus für PAM für privilegierte Konten. Zitieren Link zu diesem Kommentar
Scharping-FVB 11 Geschrieben 11. März Melden Teilen Geschrieben 11. März vor 6 Minuten schrieb LK28: Ich als Admin/Dienstleister möchte meine Admin Passwörter beim Kunden doch am besten gar nicht mehr wissen, schon gar nicht die Passwörter händisch auf Aufforderung ändern, sondern das Passwortmanagement durch PAM regeln lassen. Was auch den netten Vorteil mit sich bringt, dass man das unbekannte Passwort nicht mal mehr kopieren und einfügen muss. Wie funktioniert das mit der nicht-händischen Eingabe? Wenn ich nach "PAM" google, kommen nur allgemeine Aussagen. PAM ist demnach ein Konzept, kein Programm, das Kennwörter automatisch in Eingabefelder einsetzt. Oder gibt es da eine Lösung, die so ähnlich funktioniert, wie das AutoType von KeePass? Zitieren Link zu diesem Kommentar
LK28 11 Geschrieben 11. März Melden Teilen Geschrieben 11. März vor 1 Minute schrieb Scharping-FVB: Wie funktioniert das mit der nicht-händischen Eingabe? Wenn ich nach "PAM" google, kommen nur allgemeine Aussagen. PAM ist demnach ein Konzept, kein Programm, das Kennwörter automatisch in Eingabefelder einsetzt. Oder gibt es da eine Lösung, die so ähnlich funktioniert, wie das AutoType von KeePass? Sinn ist, dass die Software dir das Passwortmanagement abnimmt. Das heißt, die Software setzt dir für die privilegierten Konten z.B. 25 Zeichen starke lange Passwörter, hoch komplex. Für Domain Admins, Service Accounts usw. Innerhalb der Software sagst du, verbinde mich auf den Domaincontroller mit dem Account "admin1", sofern admin1 von der Software verwaltet wird. Meldest du dich nun an, musst du weder Benutzername noch Passwort eingeben, die Software verbindet dich und übernimmt das für dich. Du kennst das Passwort von admin1 nicht, eventuell verbietet dir der Kunde/der Chef sogar, dass du die Berechtigung hast, das Passwort einzusehen, solltest du das wollen. Sobald du dich wieder abmeldest, ändert die Software das Passwort automatisch. Schau dir mal Lösungen von CyberArk an, Delinea Secret Server, Fudo PAM an. Zitieren Link zu diesem Kommentar
Scharping-FVB 11 Geschrieben 11. März Melden Teilen Geschrieben 11. März vor 1 Minute schrieb LK28: Schau dir mal Lösungen von CyberArk an, Delinea Secret Server, Fudo PAM an. Danke, das mache ich Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.