пропозиції роботи
Tomasz Zoll Informatyk
Michał
Panasiewicz
Administrator
systemów, sieci i
aplikacji.
Temat: Konta administratorów ...
Tomasz Zoll:
Panowie, ale tak logicznie rozumując - skoro jest dwóch administratorów, to raczej nie spotyka się , żeby tworzyć czy to w windows server, czy to w linuxie dwa osobne konta dla roota bo sami wiecie, że nie wnosi to nic dobrego do administracji systemami ...
możesz sprecyzować?
Krzysztof C. Specjalista IT
Temat: Konta administratorów ...
Tomasz Zoll:
Panowie, ale tak logicznie rozumując - skoro jest dwóch administratorów, to raczej nie spotyka się , żeby tworzyć czy to w windows server, czy to w linuxie dwa osobne konta dla roota bo sami wiecie, że nie wnosi to nic dobrego do administracji systemami ...
I tu sie nie zgodze. Co innego konto admina (niewazne w jakim systemie), co innego konto na ktorym funkcjonuje usluga, co innego user z wyzszymi uprawnieniami etc etc etc. Swoja droga jakiekolwiek konta lokalne to pomylka, zero kontroli (troche przesadzilem, prawie zero ;) )
Aczkolwiek to tylko swiadczy o adminie (co jest nagminne), ze jesli odpala usluge to na wlasnym koncie, badz na rootcie. Ruszylo, ok i niech tak zostanie sic! Admin zwalnia sie z firmy, blokujemy mu konto i co?Krzysztof C. edytował(a) ten post dnia 19.11.09 o godzinie 08:49
Tomasz Zoll Informatyk
Temat: Konta administratorów ...
Miałem na myśli administratora serwera, nie danego programu na serwerze...
Krzysztof C. Specjalista IT
Temat: Konta administratorów ...
Tomasz Zoll:Oki, ponial, serwer maszyna, koles admin jest jakos autentyfikowany? Za pomoca czego? Z tego co twierdzisz to root, albo jakies inne domyslne Administrator w Windach, badz jakiekolwiek inne konto specjalnie zalozone do celow administracyjnych. Radius, ad czy cokolwiek innego? kim w systemie jest ten kowalski ktory loguje sie na konsole <omg> boshhh podstawy bezpieczenstwa systemow sie klaniaja
Miałem na myśli administratora serwera, nie danego programu na serwerze...
Przyklad: przyjmujesz mnie do pracy, robie cos na konsoli, a pozniej o tzw. 16ej wychodze z pracy kladac wypowiedzenie na biurku i slowa nie mowiac, ze wlasnie macie klopot, bo zmienilem haslo na roota, admina, czy jakkolwiek by tego nie nazywac i oddaje telefon sluzbowy
Jak to mowia, ufaj ale kontrolujKrzysztof C. edytował(a) ten post dnia 20.11.09 o godzinie 16:15
Michał
Panasiewicz
Administrator
systemów, sieci i
aplikacji.
Temat: Konta administratorów ...
Generalnie, każde działanie na serwerze powinno być przyporządkowane do określonej osoby/usługi, a nie konta z którego korzysta kilka osób/usług, podobnie też w logach masz ślad KTO (z imienia i nazwiska/nazwy) i CO robił (to oczywiście zależy od szczegółowości logowania).
konto usunięte
Temat: Konta administratorów ...
Krzysztof C.:
I tu sie z Michalem w pelni zgadzam, moze wczesniej napisalem nieco roztropniej, bo niektore rzeczy sa dla mnie poprostu OCZYWISTEPaweł Skoczylas:Pawel boj sie Boga jak rany, chyba lokalnego usera z czym sie zgodze. Az zadzwonie do Twojego szefa ;) Group policy w pzu przestalo dzialac czy jak? ;)
Przypadkiem to nie jest tak że po instalacji Visty masz konto usera na prawach administraotra?Sebastian Jaczek:Nie wylaczone, a ukryte :D (Prawie robi wielka roznice ;D)
Nie wiem jak jest w ubuntu :):) bo jestem dzieckiem W2K3 i może już niedługo W2k8 :) no i Suse :) ale tam są włączone. Taka ciekawostka że domyślnie konto admina jest wyłączone po zainstalowaniu Visty :)
http://www.computerperformance.co.uk/vista/vista_admin...
Taka mala ciekawostka dla dziecka w2k3 ;)Krzysztof C. edytował(a) ten post dnia 15.11.09 o godzinie 05:29
Przepraszam że tak długo nie wtrącałem się :D:D:D:D:D:D
Fajny ten link który podesłałeś aż mnie pokusiło żeby z pułki zdjąć TK do Visty :) i potwierdzić (str. 161) :):):) że konto jest domyślnie wyłączone raczej nic nie pisali o ukryciu :)
konto usunięte
Temat: Konta administratorów ...
Krzysztof C.:
Arkadiusz Reiter:A tak z ciekawosci sie zapytam pod kontem Pawla, 20 tys userow, helpdesk jakies 20 osob, zakladamy 20 kont lokalnych adminow?
Moim zdaniem wypowiedź Sebastiana jest najsensowniejsza ponieważ taki układ mam zapisany w mojej PB i tak realizujemy to u nas w firmie. Załatwia to wiele problemów i zawsze wiadomo co i gdzie kto robił!!
[EDIT] nie wspomnialem o chociazby bezpiecznikach, ktorzy tez lubia sobie poszperac, czyli kolejne konta
[EDIT2] lokalni admini
Tak zastanawiam się na tym przykładem 20 tysi kompów :) :):) Jeżeli miał bym sieć z taką ilością komputerków (chciał bym:D:D) to bym to rozwiązał AD (domeną) i tam potworzył odpowiednie grupy z odpowiednimi uprawnieniami ;) :) :) i mogło by być nawet 20 pracowników Help Desk
Arek, cos ta Wasza PB ominela jak sadze, ale gdzie mi tam grzebac sie w wodociagach ;D
Jak to mowia, mala firma maly klopot
Popros szefa, zeby wyslal Cie na szkolenie z ITIL'a, moze szerzej spojrzysz na problemKrzysztof C. edytował(a) ten post dnia 16.11.09 o godzinie 08:52
Szczerze mówiąc nie orientuję się głębiej w temacie ITIL'a (chociaż bardzo bym chciał) może poprosze też swojego szefa :):) a może masz materiały w wersji elektronicznej na ten temat :)?? z przyjemnością wciągnął bym tą wiedzę :)
Krzysztof C. Specjalista IT
Temat: Konta administratorów ...
Pogooglaj, jest tego od groma
konto usunięte
Temat: Konta administratorów ...
Zamierzam :) Pozdrawiam.
Tomasz Zoll Informatyk
Temat: Konta administratorów ...
Panowie, dzwoniłem do twórców programu Subiekt w celu upewnienia się, czy jest możliwość założenia dodatkowego konta o uprawnieniach administratora (oprócz tego wbudowanego o nazwie szef firmy). I okazuje się, że nie ma takiej możliwości ... Więc w domyśle administrator powinien być jeden i nikt go teoretycznie nie może zastępować ... I co poradzicie w tej sytuacji ?Pozdrawiam
Arkadiusz
Reiter
RA Secure Arkadiusz
Reiter - Ochrona
danych osobowych,
IO...
Temat: Konta administratorów ...
Może moja odpowiedź z poprzedniej strony naprowadzi Cie na rozwiązanie? Napisz czy o coś takiego Ci chodziło, jeśli nie to jeszcze pomyślimy!
Tomasz Zoll Informatyk
Temat: Konta administratorów ...
Masz rację, chyba jedynym logicznym i prawym rozwiązaniem będzie konieczność odnotowania awaryjnego użycia hasła admina w czasie jego nieobecności.Niestety tutaj pojawia się jeszcze jeden problem związany z moją Polityką bezpieczeństwa. Chodzi o to, że bezpośredni przełożony tego drugiego (zastępczego) admina złożył wniosek do tego głównego admina (czyli kierownik składa wniosek do swojego przełożonego - niestety informatycy podlegają pod inny dział i nie są odrębną komórką) o nadanie uprawnień informatycznych (administratorskich) do wszystkich systemów informatycznych jak również serwerów z racji tego, że admini się zastępują. I co zrobić w sytuacji, gdy takiego drugiego konta nie można utworzyć ? Czy może bezpośredni przełożony nie powinien występować z wnioskiem o nadanie uprawnień (administratorskich) do systemów / serwerów dla drugiego admina ? No bo jak przydzielić takie uprawnienia skoro się nie da ... Może jedynie wystarczy fakt odnotowania awaryjnego użycia hasła przez tego drugiego admina w czasie nieobecności pierwszego ? (w PB jest zapis, że w razie nieobecności głównego admina zastępuje go admin nr.2:)
Aha i pytanie jeszcze - czy hasła na roota do serwerów również powinny być zmieniane co 30 dni i spełniać pozostałe wymagania dotyczące ochrony d.o. ? (bo wiąże się to z tym, iż jeśli hasła administratorów są przechowywane w sejfie, to koperty z hasłami administratorów w sejfie również powinny się zmieniać co miesiąc...)
Mam nadzieję, że nasza dyskusja pomoże innym użytkownikom w praktycznym przygotowaniu i wdrożeniu PB w swoich firmach :)
Pozdrawiam :)
P.S.: może ograniczyć się do trzymania w sejfie tylko haseł do serwerów a nie do wszystkich kont administracyjnych w aplikacjach ...Tomasz Zoll edytował(a) ten post dnia 30.11.09 o godzinie 11:58
konto usunięte
Temat: Konta administratorów ...
Tomasz Zoll:
Aha i pytanie jeszcze - czy hasła na roota do serwerów również powinny być zmieniane co 30 dni i spełniać pozostałe wymagania dotyczące ochrony d.o. ? (bo wiąże się to z tym, iż jeśli hasła administratorów są przechowywane w sejfie, to koperty z hasłami administratorów w sejfie również powinny się zmieniać co miesiąc...)
Mam nadzieję, że nasza dyskusja pomoże innym użytkownikom w praktycznym przygotowaniu i wdrożeniu PB w swoich firmach :)
Pozdrawiam :)
To zależy jaką masz strukturę sieci i kont adminów. Jeżeli jest to domena to w polisie można ustawić zmianę haseł co 30 dni długość hasła i czy ma zawierać znaki specjalne. Jeżeli tego nie ma to współczuje ustawiać na każdym komputerze co miesiąc hasła dla adminów (daje to dodatkową robotę:/). Ewentualnie można ograniczyć się tylko do zmiany haseł na serwerach.
Arkadiusz
Reiter
RA Secure Arkadiusz
Reiter - Ochrona
danych osobowych,
IO...
Temat: Konta administratorów ...
Hasła "root" powinny być zmieniane raz na miesiąc z zastrzeżeniem wymogów co do haseł dla wysokiego poziomu (znaki alfanumeryczne, znaki specjalne, cyfry, duże i małe litery, hasło nie powinno mieć charakteru słownikowego) to tak po krótce. Hasło root jest czymś innym niż hasło admina więc i tak obydwa hasła powinny być przetrzymywane w sejfie. Jeśli chcesz być pewien swoich zabezpieczeń wsztystkie hasła rootów, adminuw i super userów powinny być przetrzymywane w specjalnym ognio i wodno odpornym sejfem z certyfikatem. Tak jest po prostu najpewniej. Zmiana haseł i zapisanie w zeszycie w sejfie tak dużo nie kosztuje a straty mogą być kolosalne....Warto się nad tym zastanowić.Co do 2 adminów myślę że moje rozwiązanie w pełni cię oraz GIODO usatysfakcjonuje.
Pozdrawiam.
Tomasz Zoll Informatyk
Temat: Konta administratorów ...
Ale czy zasadne jest występowanie bezpośredniego przełożonego tego drugiego admina z wnioskiem o nadanie dla niego uprawnień w systemie informatycznym skoro tych uprawnień nie można nadać ... Jak mu odpowiedzieć na taki wniosek ?A powiem wam, że jest jeszcze większy bałagan niż myślicie, ponieważ dostęp do konta root na jednym z serwerów posiada firma zewnętrzna, która nim się opiekuję (ale z którą jest podpisana umowa powierzenia przetwarzania danych osobowych)...Tomasz Zoll edytował(a) ten post dnia 30.11.09 o godzinie 14:00
Arkadiusz
Reiter
RA Secure Arkadiusz
Reiter - Ochrona
danych osobowych,
IO...
Temat: Konta administratorów ...
Nie to chyba się nie zrozumieliśmy. Kierownik kierownikiem, rozumiem ale niektóre funkcje podlegają wyższemu kierownictwu niż kierownik IT. Moim zdaniem najlepiej jakby dostęp do hasła "root" przydzielał po po prostu ABI firmy. Jest to najodpowiedniejsza osoba do takiej funkcji. Nie ważne w takim przypadku czy jest to kierownik IT czy podległy mu pracownik.A co do firmy zewnętrznej to jeśli piszesz, że macie podpisana umowę to możesz spać spokojnie. To jest ich działka i Ty nie musisz się do niej mieszać.
Spokojnie więc i spróbuj przemyśleć całą sytuację :)
Tomasz Zoll Informatyk
Temat: Konta administratorów ...
Wiecie co, tak siedzę i zastanawiam się nad tymi loginami / hasłami i dochodzę do wniosku , że pewne przepisy to istny absurd... Np weźmy pod uwagę takiego linuksa - stawiamy serwer. Administrator instalujący serwer ustala hasło na wbudowane konto roota i on się loguje na niego. Załóżmy dalej, że ten administrator odchodzi z pracy a jego obowiązki przejmuje nowy administrator. Z tego co wiem, nie jest możliwe przydzielanie takiego samego identyfikatora drugiemu administratorowi (bo to przestępstwo), więc teoretycznie ten drugi nie może pracować na końcie root, gdyż to konto było przydzielone pierwszemu administratorowi ... Bzdura totalna ... Więc w sytuacji, gdy odchodzi osoba, której dane konto przydzielono jako pierwszej, to konto o tej samej nazwie nie może być przydzielone drugiej osobie ...P.S. załóżmy, że hasło na roota jest w sejfie i nowy administrator uzyskuje oficjalnie to hasło, ALE czy może on legalnie się logować cały czas na to konto skoro przypisane było ono do pierwszego admina ??? Czy może powinien utworzyć sobie nowe konto o takich samych uprawnieniach ? I co wtedy z tym wbudowanym kontem root -a ? Czy przez to serwer ma zostać unieruchomiony ??? A co w sytuacji takiego subiekta gdzie nie można dodać konta administratorskiego i nasz pierwszy admin ucieka z pracy (aczkolwiek uzyskujemy hasło do admina subiekta z sejfu). Analogicznie do linuxa - czy możemy pracować na koncie admina (roota), które zostało przydzielone innemu adminowi ?
Najlepiej jakby kwestie dotyczące haseł / loginów do serwerów określały jakieś inne normalne przepisy.
PozdrawiamTomasz Zoll edytował(a) ten post dnia 01.12.09 o godzinie 11:06
Przemysław
Osiak
zarządzanie w IT /
project management/
project portfolio
...
Temat: Konta administratorów ...
Faktycznie po lekturze tego wątku można dojść do wniosku, że sprawa jest niebotycznie skomplikowana. Ja jednak nie mam przekonania, czy absurdy, które się tutaj pojawiają dotyczą przepisów prawa, czy też innych spraw.Chciałbym tylko przypomnieć kilka podstawowych kwestii:
- przepisy rozporządzenia MSWiA nakładają obowiązek identyfikacji osób przetwarzających dane osobowe w systemie informatycznym; dokładne brzmienie przepisu: "Jeżeli dostęp do danych przetwarzanych w systemie informatycznym posiadają co najmniej dwie osoby, wówczas zapewnia się, aby:
a)w systemie tym rejestrowany był dla każdego użytkownika odrębny identyfikator;
b)dostęp do danych był możliwy wyłącznie po wprowadzeniu identyfikatora i dokonaniu uwierzytelnienia."
A zatem to DANE mają być chronione, a nie sam system.
Być może dla wielu nie ma tutaj dużej różnicy i ochrona danych osobowych jest synonimem ochrony systemu.
Nie zawsze jest jednak to rozsądne podejście, ponieważ "systemy" mogą realizować również wiele funkcji niezwiązanych z przetwarzaniem danych osobowych. Traktując te pojęcia jak synonimy sami stwarzamy sobie problemy. Dodatkowo zauważyłem, że w wielu postach "system" rozumiany jest jako system operacyjny, a to wprowadza dodatkowe zamieszanie.
Tomasz Zoll Informatyk
Temat: Konta administratorów ...
Czyli jednym słowem z tego co Pan pisze, przepisy ochrony danych osobowych dotyczą:- kont użytkowników w domenie windows
- kont w aplikacjach działających na serwerze (czyli do baz danych)
Przepisy dotyczące ochrony danych osobowych nie dotyczą:
- konta root (admin) służącego do logowania się do samego serwera i administrowania nim.
Tak Pan to rozumie ?
Pozdrawiam
Podobne tematy
-
ABI » Internetowe spotkanie Administratorów Bezpieczeństwa... -
-
ABI » Internetowe spotkania Administratorów Bezpieczeństwa... -
-
ABI » III Internetowe Spotkanie Administratorów Bezpieczeństwa... -
-
ABI » IV Internetowe Spotkanie Administratorów Bezpieczeństwa... -
-
ABI » V Internetowe Spotkanie Administratorów Bezpieczeństwa... -
-
ABI » szkolenia dla administratorów? -
-
ABI » Dwóch administratorów tych samych zbiorów? -
-
ABI » Stowarzyszenie Administratorów Bezpieczeństwa Informacji... -
-
ABI » książka adresowa służbowego konta mailowego -
-
ABI » Numer konta bankowego -
Następna dyskusja:
