Imaginons :
- un établissement d'une taille assez importante ;
- un système d'information complexe et hétérogène ;
- plusieurs administrateurs.
C'est un cas assez fréquent !
Imaginons maintenant que :
- nos administrateurs possèdent "trop" de pouvoir i.e. qu'ils
possèdent plus de droits que ce dont ils ont besoin pour travailler ;
- les mots de passe administrateur sont connus de trop de personne.
C'est malheureusement encore trop souvent le cas mais c'est nécessaire
pour fonctionner, jusqu'au jour ou...
Je recherche des documentations, méthodes ou politiques permettant
d'attribuer les justes droits aux administrateurs d'un système
d'information.
Déjà on peut utiliser des outils comme sudo ou calife (sous Unix) qui permettent aux administrateurs d'obtenir les droits privilégiés à l'aide de leur propre mot de passe. Ce qui limite la dissémination des mots de passe.
Idem sous Windows ... Un administrateur ne devrait jamais se connecter sous un compte d'administration mais ne l'utiliser que si c'est nécéssaire au coup par coup ... Idem pour surfer sur Internet, éviter absolument les comptes admin ...
Aurélien
"Erwan David" <erwan@rail.eu.org> a écrit dans le message de
news:873bscppjr.fsf@nez-casse.depot.rail.eu.org...
Déjà on peut utiliser des outils comme sudo ou calife (sous Unix) qui
permettent aux administrateurs d'obtenir les droits privilégiés à
l'aide de leur propre mot de passe. Ce qui limite la dissémination des
mots de passe.
Idem sous Windows ...
Un administrateur ne devrait jamais se connecter sous un compte
d'administration mais ne l'utiliser que si c'est nécéssaire au coup par coup
...
Idem pour surfer sur Internet, éviter absolument les comptes admin ...
Déjà on peut utiliser des outils comme sudo ou calife (sous Unix) qui permettent aux administrateurs d'obtenir les droits privilégiés à l'aide de leur propre mot de passe. Ce qui limite la dissémination des mots de passe.
Idem sous Windows ... Un administrateur ne devrait jamais se connecter sous un compte d'administration mais ne l'utiliser que si c'est nécéssaire au coup par coup ... Idem pour surfer sur Internet, éviter absolument les comptes admin ...
Aurélien
moncul
"BenLar" écrivait :
Bonjour,
Imaginons : - un établissement d'une taille assez importante ; - un système d'information complexe et hétérogène ; - plusieurs administrateurs.
C'est un cas assez fréquent !
Imaginons maintenant que : - nos administrateurs possèdent "trop" de pouvoir i.e. qu'ils possèdent plus de droits que ce dont ils ont besoin pour travailler ; - les mots de passe administrateur sont connus de trop de personne.
C'est malheureusement encore trop souvent le cas mais c'est nécessaire pour fonctionner, jusqu'au jour ou...
Je recherche des documentations, méthodes ou politiques permettant d'attribuer les justes droits aux administrateurs d'un système d'information.
Pouvez-vous m'aider ?
Déjà on peut utiliser des outils comme sudo ou calife (sous Unix) qui permettent aux administrateurs d'obtenir les droits privilégiés à l'aide de leur propre mot de passe. Ce qui limite la dissémination des mots de passe.
Réduire les droits des administrateurs, créer une entité d'accréditation
à la demande. N'utiliser les comptes d'admin non nominatifs que pour des besoins exceptionnels, de secours (après avoir changé les mdp trop connus bien sûr).
"BenLar" <benoit_lardy@yahoo.fr> écrivait :
Bonjour,
Imaginons :
- un établissement d'une taille assez importante ;
- un système d'information complexe et hétérogène ;
- plusieurs administrateurs.
C'est un cas assez fréquent !
Imaginons maintenant que :
- nos administrateurs possèdent "trop" de pouvoir i.e. qu'ils
possèdent plus de droits que ce dont ils ont besoin pour travailler ;
- les mots de passe administrateur sont connus de trop de personne.
C'est malheureusement encore trop souvent le cas mais c'est nécessaire
pour fonctionner, jusqu'au jour ou...
Je recherche des documentations, méthodes ou politiques permettant
d'attribuer les justes droits aux administrateurs d'un système
d'information.
Pouvez-vous m'aider ?
Déjà on peut utiliser des outils comme sudo ou calife (sous Unix) qui
permettent aux administrateurs d'obtenir les droits privilégiés à
l'aide de leur propre mot de passe. Ce qui limite la dissémination des
mots de passe.
Réduire les droits des administrateurs, créer une entité d'accréditation
à la demande. N'utiliser les comptes d'admin non nominatifs que
pour des besoins exceptionnels, de secours (après avoir changé les mdp
trop connus bien sûr).
Imaginons : - un établissement d'une taille assez importante ; - un système d'information complexe et hétérogène ; - plusieurs administrateurs.
C'est un cas assez fréquent !
Imaginons maintenant que : - nos administrateurs possèdent "trop" de pouvoir i.e. qu'ils possèdent plus de droits que ce dont ils ont besoin pour travailler ; - les mots de passe administrateur sont connus de trop de personne.
C'est malheureusement encore trop souvent le cas mais c'est nécessaire pour fonctionner, jusqu'au jour ou...
Je recherche des documentations, méthodes ou politiques permettant d'attribuer les justes droits aux administrateurs d'un système d'information.
Pouvez-vous m'aider ?
Déjà on peut utiliser des outils comme sudo ou calife (sous Unix) qui permettent aux administrateurs d'obtenir les droits privilégiés à l'aide de leur propre mot de passe. Ce qui limite la dissémination des mots de passe.
Réduire les droits des administrateurs, créer une entité d'accréditation
à la demande. N'utiliser les comptes d'admin non nominatifs que pour des besoins exceptionnels, de secours (après avoir changé les mdp trop connus bien sûr).
BenLar
Là, nous entrons déjà dans la technique (nous y viendrons tô ou tard de toute façon).
Je cherche plus des recommandations "globales" applicables quelques soit l'environnement.
Là, nous entrons déjà dans la technique (nous y viendrons tô ou
tard de toute façon).
Je cherche plus des recommandations "globales" applicables quelques
soit l'environnement.
"Un administrateur ne doit jamais se connecter avec le compte adminitrateur."
Effectivement, je pense la même chose. Un administrateur doit se connecter avec son compte perso simplement pour des raisons de traçabilité.Il doit avoir suffisamment de droits pour réaliser son travail mais pas trop.
Continuons la réflexion
Je retiens comme idée :
"Un administrateur ne doit jamais se connecter avec le compte
adminitrateur."
Effectivement, je pense la même chose. Un administrateur doit se
connecter avec son compte perso simplement pour des raisons de
traçabilité.Il doit avoir suffisamment de droits pour réaliser son
travail mais pas trop.
"Un administrateur ne doit jamais se connecter avec le compte adminitrateur."
Effectivement, je pense la même chose. Un administrateur doit se connecter avec son compte perso simplement pour des raisons de traçabilité.Il doit avoir suffisamment de droits pour réaliser son travail mais pas trop.
Continuons la réflexion
BenLar
Une reflexion sur les mots de passe administrateur.
Le mot de passe de l'administrateur ne devrait être connu que de l'administrateur.
Que faire s'il disparait ? Ou plus simplement s'il quitte une organisation en mauvais terme.
Il faut donc qu'au moins deux personnes possèdent le mot de passe. Mais alors, quid de la sécurité ? Surtout sur un système critique.
Bref, commet faire pour avoir un mot de passe connu à la fois de plusieurs personnes et d'aucune...
Une reflexion sur les mots de passe administrateur.
Le mot de passe de l'administrateur ne devrait être connu que de
l'administrateur.
Que faire s'il disparait ? Ou plus simplement s'il quitte une
organisation en mauvais terme.
Il faut donc qu'au moins deux personnes possèdent le mot de passe.
Mais alors, quid de la sécurité ? Surtout sur un système critique.
Bref, commet faire pour avoir un mot de passe connu à la fois de
plusieurs personnes et d'aucune...
Bref, commet faire pour avoir un mot de passe connu à la fois de plusieurs personnes et d'aucune...
Tu écris ce qu'il faut dans une envellope scellée que le comptable conserve dans le coffre-fort de l'entreprise.
-- _/°< coin
Kevin Denis
On 2005-05-25, BenLar wrote:
Le mot de passe de l'administrateur ne devrait être connu que de l'administrateur.
Que faire s'il disparait ? Ou plus simplement s'il quitte une organisation en mauvais terme.
Generalement, un acces physique a une machine permet de faire
sauter un mot de passe rapidement.
Il faut donc qu'au moins deux personnes possèdent le mot de passe.
Pas obligatoirement.
Mais alors, quid de la sécurité ? Surtout sur un système critique.
Tout est dans la definition du "critique".
Bref, commet faire pour avoir un mot de passe connu à la fois de plusieurs personnes et d'aucune...
Enveloppe, coffre, tout ca. Mais amha, l'admin indelicat aura plus vite fait de balancer des deltree plutot que de changer de mot de passe et s'en aller. -- Kevin
On 2005-05-25, BenLar <benoit_lardy@yahoo.fr> wrote:
Le mot de passe de l'administrateur ne devrait être connu que de
l'administrateur.
Que faire s'il disparait ? Ou plus simplement s'il quitte une
organisation en mauvais terme.
Generalement, un acces physique a une machine permet de faire
sauter un mot de passe rapidement.
Il faut donc qu'au moins deux personnes possèdent le mot de passe.
Pas obligatoirement.
Mais alors, quid de la sécurité ? Surtout sur un système critique.
Tout est dans la definition du "critique".
Bref, commet faire pour avoir un mot de passe connu à la fois de
plusieurs personnes et d'aucune...
Enveloppe, coffre, tout ca.
Mais amha, l'admin indelicat aura plus vite fait de balancer des
deltree plutot que de changer de mot de passe et s'en aller.
--
Kevin
Le mot de passe de l'administrateur ne devrait être connu que de l'administrateur.
Que faire s'il disparait ? Ou plus simplement s'il quitte une organisation en mauvais terme.
Generalement, un acces physique a une machine permet de faire
sauter un mot de passe rapidement.
Il faut donc qu'au moins deux personnes possèdent le mot de passe.
Pas obligatoirement.
Mais alors, quid de la sécurité ? Surtout sur un système critique.
Tout est dans la definition du "critique".
Bref, commet faire pour avoir un mot de passe connu à la fois de plusieurs personnes et d'aucune...
Enveloppe, coffre, tout ca. Mais amha, l'admin indelicat aura plus vite fait de balancer des deltree plutot que de changer de mot de passe et s'en aller. -- Kevin
BenLar
Nous en sommes pas loin ;o)
Puisque tu parles de banques... l'idée est là !
Effectivement, on mets le mot de passe à la banque. Seul celui qui l'a écrit l'a déjà vu... aucun administrateur ne le connais... Utilisation uniquement en cas de catastrophe naturelle ;o)
Mais alors, comment travailler ?
On reprends l'idée des coffres de banque... plusieurs clés !
On découpe le mot de passe en plusieurs morceaux... on donne les morceaux et la position dans le mot de passe à différentes personnes... de façon redondante (vacances d'été approche ;o)... (c'est mon maitre de stage qui m'a appris cette méthode ;o)
Ainsi, personne ne connait le mot de passe mais on peu le reconstituer !
De cette manière, on partage les responsabilités et on évite la fraude.
Retenons l'idée : "Mot de passe administrateur découpé"
Quels autres recommandations ?
Nous en sommes pas loin ;o)
Puisque tu parles de banques... l'idée est là !
Effectivement, on mets le mot de passe à la banque. Seul celui qui l'a
écrit l'a déjà vu... aucun administrateur ne le connais...
Utilisation uniquement en cas de catastrophe naturelle ;o)
Mais alors, comment travailler ?
On reprends l'idée des coffres de banque... plusieurs clés !
On découpe le mot de passe en plusieurs morceaux... on donne les
morceaux et la position dans le mot de passe à différentes
personnes... de façon redondante (vacances d'été approche ;o)...
(c'est mon maitre de stage qui m'a appris cette méthode ;o)
Ainsi, personne ne connait le mot de passe mais on peu le reconstituer
!
De cette manière, on partage les responsabilités et on évite la
fraude.
Retenons l'idée : "Mot de passe administrateur découpé"
Effectivement, on mets le mot de passe à la banque. Seul celui qui l'a écrit l'a déjà vu... aucun administrateur ne le connais... Utilisation uniquement en cas de catastrophe naturelle ;o)
Mais alors, comment travailler ?
On reprends l'idée des coffres de banque... plusieurs clés !
On découpe le mot de passe en plusieurs morceaux... on donne les morceaux et la position dans le mot de passe à différentes personnes... de façon redondante (vacances d'été approche ;o)... (c'est mon maitre de stage qui m'a appris cette méthode ;o)
Ainsi, personne ne connait le mot de passe mais on peu le reconstituer !
De cette manière, on partage les responsabilités et on évite la fraude.
Retenons l'idée : "Mot de passe administrateur découpé"
