我们的办公室使用带有 Active Directory 的 Windows 域来管理用户对机器和网络资源的访问。IT 人员会记录每个用户的密码,主要用于故障排除。例如,有时问题仅在以“普通”用户身份登录时出现,而不是以管理员身份登录。此外,这还允许 IT 管理员为本地用户配置软件、检查设置等。
保留这份密码列表是否被认为是不好的做法?理论上,只有管理员才能访问它。有没有办法使用管理员凭据以本地用户身份登录,从而避免存储用户密码?
(背景介绍:办公室大约有 30 名用户,其中有 2 名 IT 管理员。一些用户可以通过 VPN 进行远程访问。)
答案1
这被认为是不好的做法,无论是对于密码安全还是身份管理而言。在任何地方都提供明文密码列表是不应该的,或者如果这样做,也需要将其保持离线状态并实施严格(且可审计)的访问控制。身份管理违规行为是,此类密码列表允许用户访问密码列表在对方不知情的情况下冒充名单上的任何人。
微软的政策是,如果需要此类本地配置文件访问权限,则需要访问权限的技术人员可以:
- 由用户自行登录。
- 拥有技术人员重置用户密码。
在这两种情况下,用户都知道他们的电子身份被别人冒充了。是的,这可能会导致“不必要的”密码重置,因为需要对本地配置文件进行操作以识别问题,但现有的密码策略需要适应此类操作。这对技术人员和非技术人员来说都是不便吗?是的。
不过,请考虑一下。如果你的某个用户被发现在自己的工作站上携带了不该有的东西,这种东西可能会导致被解雇或受到刑事起诉,那么拥有这样的密码列表无法证明他们(而且只有他们)将这些数据放在那里。如果最终诉诸法庭(无论是非法解雇,还是为刑事指控辩护),这一点将变得非常重要。为了保护您自己,密码需要保密,甚至对系统管理员也保密。
答案2
非常糟糕的做法。在我看来,现在你永远不应该记录用户密码。如果你想解决与非管理员权限相关的问题,请在 Active Directory 中设置一个虚拟帐户。如果问题最终与单个帐户有关,那么你就可以访问用户并与他们一起解决问题,或者在他们登录后,在他们同意的情况下远程控制他们的会话。
我永远不会保留任何人的密码列表,这只会自找麻烦,如果您的任何员工做了一些愚蠢/恶意的事情,这给了他们一个完美的脱身条款,他们可以说他们的密码一定是从您那里偷来的,与他们可能做的任何事情都无关。
答案3
为什么需要以用户身份登录?您始终可以在 AD 中创建一个测试用户,并将测试用户放入与您需要测试的人员相同的组中。
对于你的第一个问题“保留这份密码列表是否被认为是不好的做法?”,答案是肯定的是的从我。
答案4
这是一个非常老的问题,但我想在这里发表我的意见。
我在一家政府机构担任系统和网络管理员(也是安全顾问),该机构有 7 栋楼 600 多台计算机。
有很多政府(非常古老的代码)软件仅安装给特定用户。因此,当我需要排除故障时,我需要使用该特定用户登录远程桌面。由于这个旧的软件策略(和安全性),这个程序只能在一台电脑上安装一次。
有时人们会休假。
因此,作为管理员,以其他人的身份登录并没有那么“糟糕”,所有那些“法律问题”的担忧都是反应过度。
这与管理员重置用户密码并冒充用户是一样的,以管理员身份登录。使用这种合法的“手段”更改用户密码,进行非法操作,然后声称管理员更改了密码?毫无道理。
实际上我正在使用 radmin 或 vnc,需要在每台电脑上手动安装。
但是伙计们,也许你们没有经历过,但有很多情况你需要以特定用户身份登录,而不是虚拟用户,需要以确切用户身份登录。而且有时甚至无法重置密码(例如本地文件加密...)。
无论如何,我使用的实际解决方案是远程软件,如 vnc 或 radmin(可以通过 GPO 应用或远程推送)或保留密码。