Gemeinsam genutzte Anmeldeinformationen sind unsicher und schwer zu verwalten

Question

Gemeinsam genutzte Anmeldeinformationen sind unsicher und schwer zu verwalten

Wie Sie festgestellt haben, ist es problematisch, mehreren Benutzern mit einem einzigen Benutzerkonto sicher Zugriff auf eine Ressource zu gewähren. Ich erkläre am Ende dieser Antwort, was dies schwierig macht und warum es vermieden werden sollte.

Zunächst einmal müssen Sie den Zugriff auf eine Ressource richtig gewähren, indem Sie für jeden Benutzer, der Zugriff benötigt, ein eigenes Benutzerkonto verwenden. Die Vorgehensweise ist für die Maschinen, die Teil der Domäne des Zielressourcenhosts sind, und für die Maschinen, die nicht Teil der Domäne sind, unterschiedlich.

Mitglieder derselben Domäne

Benutzern, die von Computern aus auf die Ressource zugreifen, die sich in derselben Domäne befinden wie der Computer, auf dem die Ressource gehostet wird, müssen Sie lediglich den vorhandenen AD-Benutzerkonten, die Zugriff benötigen, Zugriff gewähren. Die bewährte Methode lautet wie folgt:

Erstellen Sie eine Domänensicherheitsgruppe.
Gewähren Sie der Gruppe Zugriff auf die Zielressource.
Machen Sie jedes AD-Benutzerobjekt, das Zugriff auf die Ressource benötigt, zu einem Mitglied der Sicherheitsgruppe.

Nicht-Domänenmitglieder

Für Benutzer, die Zugriff auf die Ressource benötigen, jedoch von Computern aus, die sich nicht in der Domäne der Ressource befinden, besteht die Best Practice-Methode weiterhin darin, einzelnen Benutzerkonten wie folgt Zugriff zu gewähren:

Erstellen Sie Active Directory-Benutzerkonten mit demDasselbeBenutzernamen und Kennwörter für die Anmeldung bei Nicht-Domänencomputern, die Zugriff auf die Ressource benötigen.

Wenn Sie aus irgendeinem Grund keinen Zugriff auf die Passwörter der Benutzer haben, können Sie alternativ Folgendes tun:

a. Erstellen Sie AD-Benutzerkonten für jeden Nicht-Domänenbenutzer und vergeben Sie ein Passwort Ihrer Wahl. In diesem Fall sollten Sie Benutzernamen angeben, dieandersals die auf dem Nicht-Domänencomputer verwendete, da sonst der Benutzername übereinstimmt, das Kennwort jedoch nicht, wodurch eine erfolgreiche Anmeldung verhindert wird. (Bevorzugt.)

b. Erstellen Sie ein einzelnes AD-Benutzerobjekt, das von allen Nicht-Domänenbenutzern gemeinsam genutzt wird. (Nicht bevorzugt – siehe unten.)
Machen Sie die neuen AD-Benutzerobjekte zu Mitgliedern der Gruppe, die Sie in Schritt 1 im obigen Abschnitt erstellt haben.

Warum sollte beim Gewähren des Zugriffs für mehrere Benutzer ein einzelnes Benutzerobjekt vermieden werden?

Wie Sie sehen, vermeidet der Best-Practice-Ansatz die Verwendung eines einzelnen Benutzernamens und Passworts, um Zugriff auf die Ressource zu gewähren. Dafür gibt es mehrere Gründe:

Gemeinsam genutzte Konten sind bei sich ändernden Zugriffsanforderungen nicht flexibel.Wenn es darum geht, den Zugriff eines Benutzers zu widerrufen, ist ein gemeinsam genutztes Konto unversöhnlich. Sie müssen das Kennwort für das Konto ändern, was eine Änderung auf allen Geräten erfordert, die weiterhin Zugriff benötigen, was zu ... führt.
Das Ändern gemeinsam genutzter Passwörter ist arbeitsintensiv.Wir gehen davon aus, dass Sie das Passwort verwenden, um bestimmte Benutzer auszuschließen, sodass eine Passwortänderung unumgänglich ist. Anstatt das Passwort jedoch auf einem Gerät zu ändern, müssen Sie es auf vielen Geräten ändern, von denen die meisten häufig nicht zentral verwaltet werden. Erschwerend kommt hinzu, dass Geräte mit dem alten Passwort nicht auf die Ressource zugreifen können, bis das neue Passwort bereitgestellt wird.
Gemeinsam genutzte Konten identifizieren keine autorisierten Benutzer. Nirgendwo im System haben Sie Einblick darüber, wer über das gemeinsame Konto Zugriff hat. Sie (und alle anderen, die die Umgebung verwalten) müssen eine separate Liste pflegen. Und anders als bei der direkten Erteilung von Berechtigungen für Benutzerobjekte gibt es keineGarantiedie externe Liste ist korrekt. Darüber hinaus lässt sich bei der Echtzeitüberwachung des Zugriffs auf die Ressource anhand eines gemeinsam genutzten Kontos nicht erkennen, wer die Ressource tatsächlich nutzt.
Bei gemeinsam genutzten Konten ist die Gefahr einer Kompromittierung größer. Sie werden von mehr Leuten an mehr Orten auf mehr Systemen verwendet und stellen somit einen möglichen Angriffspunkt dar. Weitere Informationen zu den Schwierigkeiten, die mit einer Kennwortänderung verbunden sind, finden Sie unter Problem Nr. 1.

Massenverteilung einzelner Anmeldeinformationen

Möglicherweise müssen Sie noch immer einen gemeinsamen Benutzernamen und ein gemeinsames Passwort verwenden, um Zugriff auf die Ressource zu gewähren. Wenn dies bei Ihnen der Fall ist, ist die schlechte Nachricht, dass es keine Möglichkeit gibt, die Ressource bequem und automatisiert zu verteilen und dabei auch nur den Anschein von Sicherheit zu wahren.

Das Hauptproblem bei der Automatisierung ist die Tatsache, dass die gemeinsamen Anmeldeinformationen verwendet/gespeichert werden müssenim Anmeldekontext des Benutzers, der auf die Ressource zugreift. Dadurch werden alle Remote-Automatisierungsprozesse ausgeschlossen (es sei denn, Sie kennen die Passwörter aller Benutzer. In diesem Fall müssen Sie keine gemeinsamen Anmeldeinformationen verwenden).

Sie müssen dann nur noch in Anwesenheit der Benutzer nacheinander auf die Computer zugreifen, damit diese angemeldet sein können, während Sie die gemeinsamen Anmeldeinformationen speichern, oder Sie müssen den Benutzern die Anmeldeinformationen direkt bereitstellen, damit sie diese selbst eingeben können.

Answer 1

Gemeinsam genutzte Anmeldeinformationen sind unsicher und schwer zu verwalten

Wie Sie festgestellt haben, ist es problematisch, mehreren Benutzern mit einem einzigen Benutzerkonto sicher Zugriff auf eine Ressource zu gewähren. Ich erkläre am Ende dieser Antwort, was dies schwierig macht und warum es vermieden werden sollte.

Zunächst einmal müssen Sie den Zugriff auf eine Ressource richtig gewähren, indem Sie für jeden Benutzer, der Zugriff benötigt, ein eigenes Benutzerkonto verwenden. Die Vorgehensweise ist für die Maschinen, die Teil der Domäne des Zielressourcenhosts sind, und für die Maschinen, die nicht Teil der Domäne sind, unterschiedlich.

Mitglieder derselben Domäne

Benutzern, die von Computern aus auf die Ressource zugreifen, die sich in derselben Domäne befinden wie der Computer, auf dem die Ressource gehostet wird, müssen Sie lediglich den vorhandenen AD-Benutzerkonten, die Zugriff benötigen, Zugriff gewähren. Die bewährte Methode lautet wie folgt:

Erstellen Sie eine Domänensicherheitsgruppe.
Gewähren Sie der Gruppe Zugriff auf die Zielressource.
Machen Sie jedes AD-Benutzerobjekt, das Zugriff auf die Ressource benötigt, zu einem Mitglied der Sicherheitsgruppe.

Nicht-Domänenmitglieder

Für Benutzer, die Zugriff auf die Ressource benötigen, jedoch von Computern aus, die sich nicht in der Domäne der Ressource befinden, besteht die Best Practice-Methode weiterhin darin, einzelnen Benutzerkonten wie folgt Zugriff zu gewähren:

Erstellen Sie Active Directory-Benutzerkonten mit demDasselbeBenutzernamen und Kennwörter für die Anmeldung bei Nicht-Domänencomputern, die Zugriff auf die Ressource benötigen.

Wenn Sie aus irgendeinem Grund keinen Zugriff auf die Passwörter der Benutzer haben, können Sie alternativ Folgendes tun:

a. Erstellen Sie AD-Benutzerkonten für jeden Nicht-Domänenbenutzer und vergeben Sie ein Passwort Ihrer Wahl. In diesem Fall sollten Sie Benutzernamen angeben, dieandersals die auf dem Nicht-Domänencomputer verwendete, da sonst der Benutzername übereinstimmt, das Kennwort jedoch nicht, wodurch eine erfolgreiche Anmeldung verhindert wird. (Bevorzugt.)

b. Erstellen Sie ein einzelnes AD-Benutzerobjekt, das von allen Nicht-Domänenbenutzern gemeinsam genutzt wird. (Nicht bevorzugt – siehe unten.)
Machen Sie die neuen AD-Benutzerobjekte zu Mitgliedern der Gruppe, die Sie in Schritt 1 im obigen Abschnitt erstellt haben.

Warum sollte beim Gewähren des Zugriffs für mehrere Benutzer ein einzelnes Benutzerobjekt vermieden werden?

Wie Sie sehen, vermeidet der Best-Practice-Ansatz die Verwendung eines einzelnen Benutzernamens und Passworts, um Zugriff auf die Ressource zu gewähren. Dafür gibt es mehrere Gründe:

Gemeinsam genutzte Konten sind bei sich ändernden Zugriffsanforderungen nicht flexibel.Wenn es darum geht, den Zugriff eines Benutzers zu widerrufen, ist ein gemeinsam genutztes Konto unversöhnlich. Sie müssen das Kennwort für das Konto ändern, was eine Änderung auf allen Geräten erfordert, die weiterhin Zugriff benötigen, was zu ... führt.
Das Ändern gemeinsam genutzter Passwörter ist arbeitsintensiv.Wir gehen davon aus, dass Sie das Passwort verwenden, um bestimmte Benutzer auszuschließen, sodass eine Passwortänderung unumgänglich ist. Anstatt das Passwort jedoch auf einem Gerät zu ändern, müssen Sie es auf vielen Geräten ändern, von denen die meisten häufig nicht zentral verwaltet werden. Erschwerend kommt hinzu, dass Geräte mit dem alten Passwort nicht auf die Ressource zugreifen können, bis das neue Passwort bereitgestellt wird.
Gemeinsam genutzte Konten identifizieren keine autorisierten Benutzer. Nirgendwo im System haben Sie Einblick darüber, wer über das gemeinsame Konto Zugriff hat. Sie (und alle anderen, die die Umgebung verwalten) müssen eine separate Liste pflegen. Und anders als bei der direkten Erteilung von Berechtigungen für Benutzerobjekte gibt es keineGarantiedie externe Liste ist korrekt. Darüber hinaus lässt sich bei der Echtzeitüberwachung des Zugriffs auf die Ressource anhand eines gemeinsam genutzten Kontos nicht erkennen, wer die Ressource tatsächlich nutzt.
Bei gemeinsam genutzten Konten ist die Gefahr einer Kompromittierung größer. Sie werden von mehr Leuten an mehr Orten auf mehr Systemen verwendet und stellen somit einen möglichen Angriffspunkt dar. Weitere Informationen zu den Schwierigkeiten, die mit einer Kennwortänderung verbunden sind, finden Sie unter Problem Nr. 1.

Massenverteilung einzelner Anmeldeinformationen

Möglicherweise müssen Sie noch immer einen gemeinsamen Benutzernamen und ein gemeinsames Passwort verwenden, um Zugriff auf die Ressource zu gewähren. Wenn dies bei Ihnen der Fall ist, ist die schlechte Nachricht, dass es keine Möglichkeit gibt, die Ressource bequem und automatisiert zu verteilen und dabei auch nur den Anschein von Sicherheit zu wahren.

Das Hauptproblem bei der Automatisierung ist die Tatsache, dass die gemeinsamen Anmeldeinformationen verwendet/gespeichert werden müssenim Anmeldekontext des Benutzers, der auf die Ressource zugreift. Dadurch werden alle Remote-Automatisierungsprozesse ausgeschlossen (es sei denn, Sie kennen die Passwörter aller Benutzer. In diesem Fall müssen Sie keine gemeinsamen Anmeldeinformationen verwenden).

Sie müssen dann nur noch in Anwesenheit der Benutzer nacheinander auf die Computer zugreifen, damit diese angemeldet sein können, während Sie die gemeinsamen Anmeldeinformationen speichern, oder Sie müssen den Benutzern die Anmeldeinformationen direkt bereitstellen, damit sie diese selbst eingeben können.

Gemeinsam genutzte Anmeldeinformationen sind unsicher und schwer zu verwalten

Antwort1

Gemeinsam genutzte Anmeldeinformationen sind unsicher und schwer zu verwalten

Mitglieder derselben Domäne

Nicht-Domänenmitglieder

Warum sollte beim Gewähren des Zugriffs für mehrere Benutzer ein einzelnes Benutzerobjekt vermieden werden?

Massenverteilung einzelner Anmeldeinformationen

verwandte Informationen