共享憑證不安全且難以管理

共享憑證不安全且難以管理

假設您有一個共用網路驅動器,它需要使用者和密碼身份驗證才能存取其內容。

可以透過 net use 命令或 Windows 憑證管理器將使用者和密碼新增至單一 PC,並授予其存取磁碟機的權限。

所有電腦和驅動器都位於同一網路上,只要有憑證,它們都可以存取。

我還嘗試過創建自己的 Windows 憑證的副本,因為可以在另一台 PC 上恢復副本,但仍然需要手動完成,我需要找到自動執行此操作的方法。

你怎麼傳播這樣的憑據說100台PC,而不必將它們一一添加?

是否可以使用淨使用因為我們知道它們的 IP,所以在特定設備上?

大多數計算機都在網域中。建立一個使用者並授予特定權限,並且所有電腦都應使用其憑證來使用該資源。

答案1

共享憑證不安全且難以管理

正如您所發現的,使用單一使用者帳戶安全地授予多個使用者對資源的存取權限是有問題的。我在這個答案的最後解釋了是什麼讓這變得困難以及為什麼應該避免它。

但首先,授予資源存取權限的正確方法是為每個需要存取權限的使用者使用單獨的使用者帳戶。對於屬於目標資源主機域的計算機和不屬於目標資源主機域的計算機,執行此操作的方式會有所不同。

同域成員

對於從與託管資源的電腦位於同一網域中的電腦存取資源的用戶,您只需向需要存取權限的現有 AD 用戶帳戶授予存取權限。最佳實務方法如下:

  1. 建立網域安全性群組。
  2. 授予群組對目標資源的存取權限。
  3. 使每個需要存取資源的 AD 使用者物件成為安全群組的成員。

非網域成員

對於需要存取資源但來自不在資源網域中的電腦的用戶,最佳實踐方法仍然是向單一用戶帳戶授予存取權限,如下所示:

  1. 使用下列指令建立 Active Directory 使用者帳戶相同的用於登入需要存取資源的非網域電腦的使用者名稱和密碼。

    如果您因為某些原因無法存取使用者的密碼,那麼您也可以:

    A。為每個非網域使用者建立 AD 使用者帳戶並指派您選擇的密碼。在這種情況下,您應該指定使用者名稱不同的與非網域電腦上使用的使用者名稱不同,否則使用者名稱將匹配,但密碼不會匹配,從而阻止成功登入。 (首選。)

    b.建立將由所有非網域使用者共用的單一 AD 使用者物件。 (不建議-見下文。)

  2. 讓新的 AD 使用者物件成為您在上一節的步驟 #1 中建立的群組的成員。


為什麼在向多個使用者授予存取權限時要避免使用單一使用者物件?

正如您所看到的,最佳實踐方法避免使用單一使用者名稱和密碼來授予對資源的存取權。有幾個原因:

  • 共享帳戶對於不斷變化的存取要求缺乏靈活性。當需要撤銷使用者的存取權限時,共用帳戶是無情的。您必須更改帳戶的密碼,這需要在仍需要存取權限的所有裝置上變更密碼,從而導致...

  • 更改共享密碼需要大量人力。我們假設您使用密碼來封鎖某些用戶,因此密碼變更不可避免。但是,您必須在許多裝置上變更密碼,而不是在一台裝置上變更密碼,其中大多數裝置通常是非集中管理的。更糟的是,在部署新密碼之前,使用舊密碼的裝置無法存取該資源。

  • 共用帳戶不識別授權使用者。 在系統中的任何地方,您都無法了解誰可以透過共享帳戶進行存取。您(以及管理環境的其他人)將需要維護一個單獨的清單。與直接向使用者物件授予授權不同,沒有保證外部列表是準確的。此外,當即時監控對資源的存取時,共享帳戶不會透露誰正在實際使用該資源。

  • 共享帳戶更容易受到損害。 它們被更多的人、更多的地方、更多的系統使用,每個都代表一個可能的妥協點。請返回問題#1,以了解透過更改密碼來解決此問題所涉及的困難。

大量分發單一登入憑證

也許您發現仍然必須使用共享使用者名稱和密碼來授予對資源的存取權限。如果您發現自己處於這種情況,壞消息是沒有辦法以自動化的方式方便地分發它,從而保持任何表面上的安全性。

自動化的主要問題是必須使用/保存共享憑證在存取資源的使用者的登入上下文中。這排除了任何遠端自動化過程(除非您知道每個使用者的密碼,在這種情況下您不需要使用共用憑證)。

剩下的就是在使用者在場時逐一存取計算機,以便在您儲存共用憑證時他們可以登錄,或直接向使用者提供憑證,以便他們可以自己輸入憑證。

相關內容