Если Вы часто переустанавливаете по любой причине, могло бы быть полезно написать сценарий всех этих настроек. Каждая установка, которая хранится в реестре, может быть установлена с командой "reg" в *.cmd сценарии. Можно использовать Google для нахождения большого количества настроек. Необходимо будет найти некоторых сами, все же. Загрузите ProcMon с Sysinternals по www.sysinternals.com. Используйте его для контроля реестра, в то время как Вы изменяете желаемые настройки в Панели управления или везде, где. Затем запишите сценарий с помощью "reg" для управления той установкой.
Я хотел бы сказать "да, везде", но это - все еще "нет" в некоторых случаях. Моя компания использует Пароль, Безопасный управлять паролями для наших Клиентов, создавая "сейфы" на основе клиента клиентом. У многих Клиентов есть уникальные случайным образом присвоенные пароли для корня, локального администратора, устройств, и т.д. К сожалению, некоторым (или из-за работы, сделанной предшествующими поставщиками, или ленью с нашей стороны), можно было использовать тот же пароль в нескольких устройствах или на нескольких серверах.
Для моих личных паролей я стал интересующимся перемещением в утилиту как Passwordmaker, который берет "основной пароль" и некоторый другой факт (название веб-сайта, имя пользователя, и т.д.) и создает случайный пароль из безопасной хеш-функции. Пока Вы знаете свой "основной пароль" и "другой факт", можно использовать программное обеспечение для regerate пароль каждый раз, когда Вам нужен он (т.е. пароль никогда не хранится нигде, шифруется, простой текст, или иначе).
Я должен все же найти корпоративный инструмент "прыжков" пароля, который делает все, что я хочу:
Я был бы готов бросить деньги или время разработки в таком проекте, но я никогда не находил ничего, что приближается или требуемый для проведения времени, чтобы успешно начать его.
Я использую ключи SSH, использую того же для всех серверов и поддерживаю хороший пароль на моем файле ключей. Сохраняет большое ухудшение.
Для устройств, где это не работало бы, я буду использовать пароль, который имел твердое к предположению ядро, затем используйте устройства название DNS, IP, или другая общая характеристика (такие как ОС или бренд), для создания пароля уникальным для устройства. Это работало особенно хорошо на группы аналогичных устройств. Просто держите шаблон/мнемосхему в секрете, наряду с ядром, и у Вас есть трудный, уникальный пароль, который было легко помнить.
Нет, никогда. То, что я делаю для помощи мнемонике, должно иметь длинное (приблизительно 12 символов) общий префикс, который изменяется атрибутом средней длины (6 символов) каждого сервера, если они находятся в той же стойке (или независимо от того, что Вы рассматриваете группу серверов, которые должны быть определены на потребности получить доступ к основанию (см. комментарий Ernie и мой ответ)).
Например, если группа серверов составлена ртутью (10.0.1.1, smtp), Марс (10.0.1.2, брандмауэр), Вакх (10.0.1.3, сеть), и общий префикс является R %% SDO23jfida, то
- mercury: R%%SDO23jfida11001mersmtp
- mars: R%%SDO23jfida21001marfirewall
- bacchus: R%%SDO23jfida31001bacweb
Мы действительно используем тот же пароль root везде, хотя он применяет лучшие методы (случайным образом сгенерированный, на самом деле). Только необходимо в случае, где мы должны физически тронуть машину, например, чтобы сделать проверку файловой системы или судебную экспертизу после компромисса. Как Geoff, ssh является единственным протоколом удаленного доступа, и он отключен для пользователя root.
Мы используем случайным образом сгенерированный, отсталый длинный пароль на каждом поле, и мы никогда не сохраняем его нигде. автором обычного пользователя управляют через LDAP, как Sudoers, таким образом, единственное время, нам КОГДА-ЛИБО нужен пароль, - когда доступ к сети не работает, в этом случае это полностью приемлемо для просто вниз сервера, и пойдите однопользовательские, зафиксируйте сетевую конфигурацию и возвратите ее.
Тот использовал в организации, где я работал:
Настольный/Локальный Пароль администратора ПК является всем одинаковым (но так как мы повторяем все наши машины, который является единственным способом сделать это, и если кто-то когда-нибудь находил, что пароль, мы можем все еще изменить наше первоначальное фантомное изображение и обновить все машины для получения нового изображения, и мы будем в порядке.
У каждого серверы есть различный пароль. С другой стороны мы не имеем дело со слишком много серверами, если я помню правильно приблизительно 6, что у меня был доступ к (но я уверен, что мы имели больше), и вместо того, чтобы делать чрезмерно сложный пароль, они решили простой, легкое помнить пароль, добавив разумный |eet5peak к ним, и делая их действительно действительно долго (но снова, легкими помнить) :)
Лично я верю для настольных ПК, Вы хотите сохранить корень / пароль администратора то же удостоверяющееся легкое управление с помощью Локальной Администраторской Учетной записи.
Для серверов, лучше отличаться, удостовериться, если существует нарушение, оно содержится просто на том сервере и не идет дальше. Также сложность пароля изменится, зависит от важности сервера (т.е. Сервер, который сохраняет пользователей/передачу, будет на самой высокой сложности, сервер, который сохраняет журналы, будет на меньшей сложности, и т.д.).
Мой 5c
ртуть: R %% SDO23jfida11001mersmtp
Марс: R %% SDO23jfida21001marfirewall
Вакх: R %% SDO23jfida31001bacw$w0rd.105 myc0mm0npa$
$w0rd.web myc0mm0npa$
Я видел, что многие люди делают это, но никто не мог объяснить, как это более безопасно, чем использование того же пароля. Что сохраняет кого-либо, кто видит один из паролей от выяснения других? Единственное преимущество, кажется, различные хеши, но различные соли на различных машинах решают это также.
Кто-то может просветить меня на этом?
Полагая, что пароль является последней линией обороны, я сказал бы, что это не столь важно, как это однажды было.
Однако последней вещью, в которой Вы нуждаетесь, является некоторый Yahoo в Вашем бывшем вне себя офисе, который намного более распространен.
Наша политика паролей состоит в том, чтобы использовать твердый к предположению общий префикс, затем использовать общий пароль для каждого класса сервера. Это сокращает количество паролей, которые я должен помнить при защите других серверов от "ошибок". В отличие от Vinko однако, мы не используем системы, которая интегрирует что-либо связанное с машиной. Я рекомендовал бы против этого, с тех пор после того как у любого в организации есть доступ к одному паролю (потому что им нужен он), они могут выяснить другие пароли довольно легко.
Я регистрирую все корневые логины и позволяю ошибке отфильтровать (logcheck в моем случае), передают их до моей электронной почты, так, чтобы я знал, когда кто-то пытается взломать пароль root. Ограничения на то, откуда это может быть сделано, удостоверьтесь, что моя электронная почта не заполнена к переполнению этими журналами.
Я заметил, что никто часто не говорил об изменяющихся паролях. Да, это - боль... где-нибудь, но рано или поздно какой-либо пароль просочился бы (кто-то, кто выходит?). Я думаю, что любой вид пароля должен быть изменен через некоторое время, независимо от того, что Вы используете, как правило, для создания его. Наша политика состоит в том, чтобы предположить полностью случайный пароль о каждом годе и затем продолжить изменять его постепенно на наших устройствах. Постепенное изменение позволило нам иметь по иронии судьбы немного больше безопасности, так как в любой момент времени у нас нет того же пароля везде (который не является хорошей вещью).
Нет. policiy в моей последней работе должен был совместно использовать общий сгенерированный пароль для устройств в той же сети и добавить разделитель и некоторые символы, связанные с IP-адресом или типом устройства. Например:
myc0mm0npa$$w0rd.105
myc0mm0npa$$w0rd.web
Но все еще небезопасно. Что я делаю теперь, генерируют другой пароль root для каждого сервера или устройства.
я удивлен, что никто еще не упомянул это, но я буду использовать ldap с kerberos для создания единственного входа в систему, который использовал бы ключи SSH к определенным устройствам. Это, конечно, предполагает, что устройства я пытаюсь соединиться с аутентификацией LDAP поддержки. С LDAP я могу создать группы пользователей, которые имеют доступ к определенным устройствам. Кроме того, все мои пользователи регистрируют на пути централизованный kerberos сервер, таким образом, логины могут только произойти локально, и я могу сразу отменить учетную запись в случае, если это поставлено под угрозу по некоторым причинам.
Если у Вас есть пароли, или включает 100 + машины, весело проведите время, изменив все те пароли или authorized_keys файлы. Я не должен волноваться об этом.
Использование одного и того же пароля root для нескольких учетных записей или устройств - плохая идея. Этого никогда не будет в ИТ-аудите, поскольку нет подотчетности. Как только кто-то получит пароль, он сможет получить доступ к нескольким учетным записям, и вы не сможете доказать, кто что-то сделал или не сделал. Я иногда видел, как люди пытались привлечь к ответственности за счет регистрации IP-адресов, но это обременительно и легко взломать.
Чтобы обеспечить подотчетность и передать SOX, PCI, HIPAA и т. Д., Вам необходимо ограничить доступ к общим учетным записям для одного человека за один раз отслеживайте, к чему осуществляется доступ, а затем меняйте пароль, когда это будет сделано.