根除管理密码的威胁

当想到密码管理时,大多数IT经理会想到自己的个人密码或最终用户的密码,这些密码用于访问公司的网络、销售数据库或电子邮件系统。

但企业运营的核心是另一套密码。这些密码是关键和敏感的,但他们的安全和管理往往被忽视。我指的是管理密码。

每一个企业基础设施的主干都是一个由服务器、网络设备、安全和其他基础设施组成的庞大网络,它们构成了一个公司复杂的通信网络或神经中枢。每天,系统、网络和安全管理员都会登录到这些关键的基础设施点,以进行日常维护、修复和应用最新的安全修补程序。他们中的许多人都是以“root”和“administrator”权限运行的,或者是他们的个人用户,或者是他们常用的帐户。

各公司已经不遗余力地教育终端用户,并实施各种工具来帮助他们选择复杂的密码,避免明显的密码,避免把密码留在便笺上,并经常更改密码。不用说,同样的预防措施也适用于管理密码。由于管理用户权限非常强大,因此需要格外小心。

首先,一些管理帐户必须由几个人共享。例如,一些网络设备只支持一个已定义的用户,或者操作人员可能需要在工作时间之后解决问题。这导致管理密码变得广为人知,更改频率降低。由于紧急情况和灾难恢复场景需要管理权限,因此只有可靠的密码管理策略才能保证在这些时间敏感的情况下能够及时获得正确的密码。

管理员有最好的意图,但这些密码越是易手或保持不变,安全漏洞的可能性就越大。同时,企业需要提供对这些资源近乎即时的访问,以保持基础设施处于最佳状态。这就造成了一种“第22条军规”的局面,往往导致无障碍性胜过安全性。

建立密码控制和更改管理程序

作为权宜之计,许多公司将这些系统的密码存储在电子表格和简单数据库等文件中。快速渗透测试将显示获取这些文档是多么容易。管理密码管理不善是安全漏洞的一个主要原因,也是IT故障恢复过程过长的主要原因之一。

如果大型组织不要求管理员在崩溃和维护时能够接近即时访问,那么这个问题很容易解决。但由于这种情况不太可能改变,企业必须密切关注密码的保存、控制和管理方式。

他们应该从一个正式的密码控制程序开始,该程序扩展了最佳实践策略,并使用了一些技术,使公司能够拥有管理密码所需的可访问性和安全性。这类计划将策略与控制、更改和审核结合起来,以确保最佳实践。

Nir Gertner是位于马萨诸塞州Dedham的Cyber Ark Software Inc.的首席技术官,在企业系统安全方面拥有十多年的经验。此前,他是BMC软件公司的软件和系统工程师,是以色列国防军中央计算中心安全和系统部的首席管理员。

以下是应作为管理密码控制和更改管理策略的一部分包含的检查表,可在创建程序和评估支持该程序的软件和服务时使用:

最后,需要强调的是,密码管理程序的目标不是对已经拥挤不堪的一天实施新的、过于繁重的管理层。通过将商用软件、最佳实践和一些预先考虑的适当组合,组织可以快速地实施这些最佳实践,而不会中断或危害关键的日常管理功能。