Toen het active directory domein van een organisatie van testomgeving naar productieomgeving werd gemigreerd was er eigenlijk nog niet echt nagedacht over de opslag van de wachtwoorden. Heel stom, maar dat was gewoon niet meegenomen in het plan van aanpak. 
Hals over de kop is toen besloten om het adminwachtwoord van hoofddomein in tweeen te splitsen en schriftelijk vast te leggen. Afdeling een kreeg de beschikking over de eerste reeks van 64 karakters van het wachtwoord, afdeling twee kreeg de beschikking over de tweede reeks van 64 karakters van het wachtwoord. Verder is er geen digitale documentatie van het administratorwachtwoord en er zijn geen kopieen van de twee wachtwoordvellen. De betreffende afdelingen zijn geinstrueerd om de verzegelde enveloppen met deelwachtwoord buiten het pand in een kluis te bewaren. Verder hebben de domain admins geen rechten om het hoofd administrator account te wijzigen en zelfs met een adminaccount kan dit wachtwoord niet worden gereset. Personen met beheerfuncties hebben alleen deelrechten op het domein, bijvoorbeeld alleen rechten op de server die zij beheren. De servers zelf staan fysiek in een voldoende afgesloten ruimte.
Bij een calamiteit moeten dus beide formulieren bij elkaar komen en moeten de wachtwoorden achter elkaar worden ingevuld.
Destijds leek mij dat redelijk secure. Maar er zijn toch een aantal bugs in deze aanpak:
1. Het formulier kan worden vernietigd (probleem: eventuele dwarsbomende medewerkers)
2. Het formulier kan vergaan (probleem: brand, verlies, diefstal)
3. Afhankelijkheid/vertrouwen van de betreffende afdeling
4. In het calamiteitenplan staat wel de lokatie vermeld van de twee formulieren
5. Enkele accounts kunnen rechten toewijzen aan systeembeheerders (probleem: vertrouwen, overlijden, etc.)
Hoe hebben jullie de administratorwachtwoorden bij jullie organisaties gedocumenteerd? Waar wordt het opgeslagen? Wat is de beste aanpak voor een veilige documentatie voor administratorwachtwoorden?
En het belangrijkste, wat kunnen wij verbeteren aan ons wachtwoorddocumentatiesysteem? Ons doel is om alle vijf de bovenstaande punten in ieder geval te verbeteren.
Hals over de kop is toen besloten om het adminwachtwoord van hoofddomein in tweeen te splitsen en schriftelijk vast te leggen. Afdeling een kreeg de beschikking over de eerste reeks van 64 karakters van het wachtwoord, afdeling twee kreeg de beschikking over de tweede reeks van 64 karakters van het wachtwoord. Verder is er geen digitale documentatie van het administratorwachtwoord en er zijn geen kopieen van de twee wachtwoordvellen. De betreffende afdelingen zijn geinstrueerd om de verzegelde enveloppen met deelwachtwoord buiten het pand in een kluis te bewaren. Verder hebben de domain admins geen rechten om het hoofd administrator account te wijzigen en zelfs met een adminaccount kan dit wachtwoord niet worden gereset. Personen met beheerfuncties hebben alleen deelrechten op het domein, bijvoorbeeld alleen rechten op de server die zij beheren. De servers zelf staan fysiek in een voldoende afgesloten ruimte.
Bij een calamiteit moeten dus beide formulieren bij elkaar komen en moeten de wachtwoorden achter elkaar worden ingevuld.
Destijds leek mij dat redelijk secure. Maar er zijn toch een aantal bugs in deze aanpak:
1. Het formulier kan worden vernietigd (probleem: eventuele dwarsbomende medewerkers)
2. Het formulier kan vergaan (probleem: brand, verlies, diefstal)
3. Afhankelijkheid/vertrouwen van de betreffende afdeling
4. In het calamiteitenplan staat wel de lokatie vermeld van de twee formulieren
5. Enkele accounts kunnen rechten toewijzen aan systeembeheerders (probleem: vertrouwen, overlijden, etc.)
Hoe hebben jullie de administratorwachtwoorden bij jullie organisaties gedocumenteerd? Waar wordt het opgeslagen? Wat is de beste aanpak voor een veilige documentatie voor administratorwachtwoorden?
En het belangrijkste, wat kunnen wij verbeteren aan ons wachtwoorddocumentatiesysteem? Ons doel is om alle vijf de bovenstaande punten in ieder geval te verbeteren.
[ Voor 0% gewijzigd door Trommelrem op 03-08-2009 02:18 . Reden: spelfout ]
):strip_icc():strip_exif()/u/37855/icoon.jpg?f=community)