Quali sono gli argomenti per e contro una politica di networking in cui l'amministratore sys sa password utente?

Vorrei sapere i pro ei contro .. i motivi per e contro l'idea di elenchi di account utente di mantenimento di sys admin con le password .. e inoltre non consentire a quegli utenti di cambiare le loro password.

Capisco che i sisthemes come Windows sembrano incoraggiare l'idea che gli utenti dovrebbero mantenere la propria password di sicurezza e avere la facoltà di cambiare la propria password a piacimento. Posso apprezzare la necessità della privacy e gli utenti che hanno alibis per proteggersi se un collega di parole non sia d'accordo con i registri del sistema. Ma allo stesso tempo posso vedere anche come alcune persone potrebbero giustificare avere password utente sul file nel caso in cui l'accesso sia richiesto ad alcuni dei materiali che gli utenti potrebbero voler tenere privati.

  • Sicurezza e indurimento di WebDAV
  • Moderno open source NIDS / HIDS e console?
  • Qual è il vantaggio di utilizzare chiavi asimmetriche rispetto alle password?
  • Elenco di caratteri di password Linux consentiti
  • Come proteggere un certificato SSL (Apache / CentOS)
  • Qualsiasi cosa vicino a una guida NSA per la protezione di RHEL 6
  • Mi piacerebbe davvero essere educato su questa idea.

    17 Solutions collect form web for “Quali sono gli argomenti per e contro una politica di networking in cui l'amministratore sys sa password utente?”

    Un sysadmin dovrebbe essere in grado di accedere a tutti i file che un utente ha, a less che non siano crittografati, nel qual caso la password di Windows dell'utente non aiuterà. Avere il sistema di conoscere le password significa che non si può mai sapere se un utente ha fatto qualcosa o un sistema, che potrebbe causare un sacco di problemi se si entra in una controversia. Le password dovrebbero essere immagazzinate da qualche parte, il che significa che c'è la possibilità di perdere loro. Infine, gli utenti troveranno più difficile ricordare una password che non hanno creato.

    I professionisti sono che non c'è bisogno di reimpostare le password, ma dovrai ricordare agli utenti di loro. Facilita anche l'accesso agli account degli utenti, ma al di fuori del test o della diagnosi di un problema, questo non è necessario e potrai get le password da un caso a caso.

    Non c'è davvero alcuna ragione per farlo, crea molti problemi, senza alcun guadagno reale.

    Non c'è giustificazione. Un sistema sysadmin può cambiare la password se necessario, ma non dovrebbe conoscerlo o archiviarlo.

    Ci sono solo cons.

    Che dire delle mie informazioni personali che prevedo che la HR sia riservata?

    Scoprire where vivo perché ho preso il loro spazio di parcheggio … postando il mio stipendio su internet … passando le informazioni a un ex .. porno via email alla gestione ha il mio nome allegato …

    Sarei sorpreso se una società abbia scritto una tale politica.

    Non mescolare l'authentication e l'authorization.

    Una password prova al sistema chi sei (authentication)

    Le associazioni di gruppo e le autorizzazioni per i file system descrivono in genere cosa si può fare (authorization).

    Per consentire a un amministratore di fiducia di accedere a file di properties; di qualcun altro, esegui il block del livello di authorization. Non lasciate entrare come se fossero l'altra persona.

    Gli amministratori possono sempre modificare la password di un utente. Non hanno motivo di conoscere la password dell'utente. Se c'è un problema o se l'utente è lontano e qualcun altro ha bisogno di accedere ai file, un gestore può richiedere la modifica della password per il giorno e l'utente può impostare la propria password la volta successiva.

    C'è un vantaggio negli amministratori che cercano di rompere le password degli utenti per impedire che le password deboli vengano utilizzate.

    Come altri hanno già notato qui: Nessun buon motivo per che IT conosca la password dell'utente, invece l'accesso della password dell'utente potrebbe servire una situazione negativa in poche forms.

    Oltre a quanto già detto , se è necessario conoscere una password, è la password dell'amministratore locale per la macchina (o la radice) e la password di crittografia master per il sistema. Tutto ciò che ha a che fare con i profili utente dovrebbe essere considerato fuori limite, a less che non ci sia una richiesta amministrativa per interrogare questi file (ci sono strumenti per questo)

    Tieni presente che se si va a scomparire le combinazioni username / password, hai un elenco molto importnte. Perdere quell'elenco, o, peggio ancora, avere qualcuno copiare quell'elenco senza sapere che una copia è stata fatta, sarebbe un grosso problema. E tu davvero non vuoi che in un file un disco in qualche luogo, che sarebbe la soluzione comune.

    Questa è una delle tante ragioni per cui non si scrisse le password in text chiaro.

    La responsabilità è la questione.

    Se gli utenti vengono mai interrogati sull'attività svolta dal loro login, essi hanno un automatico se è la procedura operativa standard che qualcun altro può entrare nel proprio account senza prima cambiare la password.

    Non rischiare di perdere la responsabilità dei vostri sisthemes amministrativi e / o dei tuoi utenti.

    Non vedo pro.

    Andrò su una tangente un po '.

    Il punto è che se l'amministratore è etico al 100%, non import se conosce le password utente, anche se l'amministratore non è al 100% etico, allora non import se non conosce la password. Ha radice, può get la password senza che qualcuno altro sappia. (Egli è radice, ricorda, il sovrano della macchina: non c'è niente che non possa fare su quella macchina, tra cui la pulizia dei tronchi, il block delle porte, l'esecuzione di qualunque strumento che desideri, ecc.)

    Non c'è nessuno che sia 100% etico agli occhi di HR, perciò dovresti supporre che l'amministratore abbia sempre accesso alle password degli utenti.

    Se pensi che l'amministratore non può farlo perché manca delle competenze, sostituisca con qualcuno che lo fa.

    Quindi, avere una politica che l'amministratore non dovrebbe avere accesso alle password degli utenti è uno spreco di carta printingta e procedure carta, dal momento che potrebbe non essere forzato. Al meglio offre un falso senso di sicurezza, e questo è il peggior tipo di sicurezza.

    Tutto dentro di me dice "No!"

    Se pensi di aver bisogno, probabilmente non capirai gli strumenti e le autorizzazioni disponibili a te come un sysadmin, come sottolineato nelle altre risposte.

    Lasciathemes anche indicare il codice di etica SAGE .

    Modifica: Era un'idea del manager? In entrambi i casi una certa educazione è in ordine: per te stesso, così sai cosa può e non può essere fatto, tecnicamente, legalmente ed eticamente; per la gestione, in modo da poter sviluppare una politica che soddisfi le esigenze aziendali; e per gli utenti, in modo che sappiano cosa si aspettano.

    Per mantenere i sisthemes, gli amministratori hanno la necessità di fare qualsiasi cosa – accedere ai file, modificarli, ecc. Quindi, deve essere un modo per un amministratore di accedere a qualsiasi file, ma non deve essere con l'accesso agli utenti, Le password.

    Per me, vedo solo negativi di avere le password delle persone – la perdita di responsabilità è la principale. Se non ho la password di nessuno, non riesco a accedere normalmente ai file o alle email, non posso fingere di essere loro e fare qualcosa nel loro nome. Il nostro presidente dell'azienda ha voluto che avremmo la sua password in modo da poter lavorare facilmente sul suo sistema, ma dopo un certo numero di tentativi ho convinto a cambiarla e non direci cosa fosse.

    Non riesco a pensare a una situazione probabile in cui un amministratore abbia bisogno di qualcosa di più della possibilità di cambiare una password in modo che possano accedere ai file in caso di emergenza. Quello, e conoscere temporaneamente le password delle persone era sempre sufficiente. Nei casi in cui wherevamo fare un lavoro su un PC come persona, avremmo ottenuto la password e poi cambiammo dopo o lo cambiammo e li metteremo a cambiarla.

    Risposta mirata al server.

    A un precedente datore di lavoro, il personale dell'amministratore non aveva impostato le password. Abbiamo utilizzato solo l'authentication SSH. Dopo aver lavorato lì, sono diventato un grande credente in due schemi di authentication dei fattori, ad esempio un certificato o una chiave client protetti da passphrase (come un codice SSH o un certificato client SSL).

    L'inconveniente di far sapere alle amministratore tutte le password è che sta per abbandonare l'organizzazione e prendere tutti quei dati. Ma lo stesso può accadere ai dati situati nelle condivisioni di networking.

    Tutto ciò che fai non memorizza le password degli utenti in text semplice. Come in "chiamateci se dimentichi la tua password". Questo è un no-go. L'utente verrà assegnato una nuova password quando si visualizza personalmente all'helpdesk e sarà costretto a cambiare la propria password prima del primo accesso.

    Per informazioni veramente confidenziali, suggerisco agli utenti di adottare misure aggiuntive come PGP o Truecrypt, ma si dovrebbe dire esplicitamente che i loro dati non possono essere recuperati dai loro sysadmins attendibili.

    Se la direzione si preoccupi degli amministratori in grado di sbirciare in each documento, dovrebbero lavorare al sistema stesso. Un amministratore di sistema dovrebbe avere una fiducia quasi completa.

    Non ho visto questo menzionato qui, ma ho solo scremato le risposte. Molti utenti utilizzano le stesse password per tutto. Se hai la password di networking, allora hai la possibilità di avere la password per la tua email personale, photobucket, facebook, qualunque cosa.

    Penso che sia una ctriggers idea. Un sistema scioccato può causare molta difficoltà.

    Tendo a contrastare la politica in cui sysadmin dovrebbe conoscere la password. Dovrebbe essere basata caso per caso. Ogni volta che noi come IT persona abbiamo bisogno della password degli utenti per fare il lavoro, dovremmo chiederle e consigliare all'utente di cambiarle una volta terminato il nostro lavoro. E non dovrebbe memorizzare alcuna password in alcun formato.

    Tuttavia, devo ammettere che anche se avere un foglio di password è molto utile, molto utile.

    I computer di lavoro forniscono privacy da persone che non sono autorizzate ad accedere alle informazioni del proprietario che sono memorizzate su di esse. I dipendenti non hanno alcuna privacy quando si utilizza un'apparecchiatura del datore di lavoro, per cui il tuo banner di accesso indica che each attività può essere monitorata in qualsiasi momento, con o senza causa.

    (Se non hai un tale banner di accesso, esegui – non cammini – al tuo consiglio aziendale ASAP, perché è una vera idea.)

    Tuttavia, questa è un'altra domanda. Non credo di poter dire nulla che non sia stato detto in un'altra risposta, anche se penso che sia necessario esplicitamente affermare che una password è un identificatore individuale e quindi qualsiasi password deve essere conosciuta da una sola persona; l'amministratore generico ecc. le password di account devono essere memorizzate in una cassaforte e modificate dopo each uso.

    Ci possono essere anche obblighi legali, in termini di protezione dei dati, utilizzo di informazioni personali e così via. Vero, come amministratore, non c'è niente di tecnici per impedirmi di cambiare una password degli utenti e accedere al loro account, ma avrei sempre un'authorization scritta dal responsabile HR (il gestore del proprio personale non è abbastanza buono) prima di farlo.

    La grande per me è la fiducia. Se hai il potere supremo, sei in una posizione in cui tutti, a partire dal minimo grunt al CEO, devono fidarsi di non abusarne. Indipendentemente dalla realtà dietro di essa, tutto ciò che aiuta a rafforzare tale fiducia renderà le cose molto più facili per te. Quindi, facendo sapere che "non conosciamo le tue password e non possiamo accedere al tuo account senza cambiare le tue password (in questo caso lo saprai)" è una buona cosa.

    Perché ripristina la password di qualcuno quando qualcuno è lontano e un'altra persona desidera / ha bisogno del lavoro? quasi each persona memorizza i dati non relativi al lavoro nei loro conti in questi giorni. Dovresti spostare solo i dati richiesti dal proprio spazio e inserirlo nello spazio che appartiene all'utente che lo richiede.

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.