Comment gérez-vous les informations d'identification du compte de service (mots de passe)? [fermé]

Dans un environnement Windows, comment résolvez-vous les problèmes suivants avec les comptes de service?

1. Changements de mot de passe réguliers - avec des comptes de service uniques utilisés sur plusieurs machines, comment changez-vous régulièrement les mots de passe sans périodes d'interruption importantes? Avez-vous tendance à ne jamais les changer?
2. Garder une trace des mots de passe - par nécessité, plusieurs personnes doivent les connaître, comment enregistrez-vous les mots de passe tout en les gardant raisonnablement secrets?
3. Jusqu'à quel point utilisez-vous le même compte sur plusieurs machines / services? Comment suivez-vous le compte utilisé et où? Des outils pour vous aider?
4. Quelqu'un a-t-il trouvé de bonnes ressources pour les paramètres d'autorisation minimum appropriés pour les exigences de compte de service courantes pour des applications telles que SQL Server, Sharepoint, etc.

Beaucoup de nos clients utilisent Secret Server pour gérer leurs comptes de service.

Il peut automatiquement découvrir où vos comptes de service sont utilisés (analysera votre réseau pour les utilisations), puis ces services Windows peuvent être ajoutés en tant que «dépendance» pour les informations d'identification. Un calendrier d'expiration peut être défini (disons tous les 30 jours), puis il générera automatiquement un nouveau mot de passe aléatoire pour le compte de service AD ​​et modifiera tous les emplacements qu'il a utilisés (même en arrêtant et en redémarrant les services Windows). Secret Server prend également en charge les utilisateurs du pool d'applications IIS et les tâches planifiées Windows en tant que «dépendances».

Obtenez un essai gratuit de 30 jours ici: http://www.thycotic.com

Passer à Server 2008 R2 tout autour ^^ (ok, peut-être pas - mais j'ai pensé que je devrais mentionner les fonctionnalités de compte de service géré et de compte virtuel qui promettent de résoudre ce désordre)

Joel,

Nous utilisons une application tierce pour gérer la rotation des mots de passe pour les comptes de service. L'application suit les mots de passe, en crée de nouveaux et propose un coffre-fort afin que vous puissiez accéder aux mots de passe si et quand cela est nécessaire.

Nous essayons de réutiliser les comptes de service lorsque cela est possible et dans le cadre du processus de création de compte, nous avons un formulaire que les gens doivent remplir. lorsque le formulaire est soumis, il est enregistré et le compte créé est enregistré avec le formulaire. De cette façon, si nous avons besoin de savoir qui utilise le compte ou pourquoi il a été créé, nous pouvons effectuer des recherches. nous nous assurons également que le champ gestionnaire dans AD est correctement rempli et que les gestionnaires sont chargés de savoir de quels comptes de service ils sont responsables.

MSDN aurait une mine d'informations concernant les autorisations minimales requises pour les paramètres de compte de service courants. Comme toujours, la façon dont vous configurez ces paramètres dépend des besoins de votre environnement.

je recommanderais passgen.exe Télécharger les informations ici Il suffit de parcourir son document d'accompagnement. Il donne un scénario précis de changement de mot de passe sur plusieurs ordinateurs et comment il est facile de les garder uniques et complexes.