[〜#〜] not [〜#〜]ユーザーのパスワード管理ソリューションを探していることを最初から明確にしたい。私の組織はすでにそのためにADを使用しています。
私が探しているのはパスワード保管庫です。これまでは、特定のアプリケーションで使用されるパスワードは紙の金庫に保管されていました。安全な暗号化された電子アプリケーション/ボールトに配置することが決定されました。パスワードを保存してネットワークドライブにアクセスできる場合、またはアプリをサーバーにインストールしてウェブインターフェース経由でアクセスできる場合に、私はそれを望みます。また、必要に応じて他のユーザーに読み取り専用アクセスを提供できる2つまたは3つの管理者アカウントを作成する機能も必要です。ただし、どちらも難しくも速くもありません。私は私のロープの終わりにいて、何か、トリックを行うものは何でも欲しいだけです。そして、はい、私は多くを求めていることに気づきました。
環境はWindowsです。
私は自分でたくさんの研究をしてきましたが、この種のソフトウェアは2つの陣営のうちの1つに分類されるようです。まず、KeePassのような小型で無料(またはそれに近い)ポータブルなオープンソーススタイルのソリューションであり、おそらくかなり安全ですが、保証はなく、いかなる方法でも認定されていません。第2に、これはFIPS-140の認定を受けた、組織全体の大規模なAD置換スタイルソリューションであり、その中にパスワードボールトが含まれています。
中途半端なものが見つからないようです。私が欲しいのは、これらの大規模なソリューションのパスワードボールトの部分だけです。有望だと思ったリードの1つは、Cyber-ArkのEnterprise Password Vaultでしたが、会社のWebサイトには価格情報がなく、EPVのみを購入でき、リストにあるスイート全体を購入できないとは記載されていません。それらの質問に答えることができる会社からだれでもの手に入れるため。
助言がありますか?
PS。提供された背景情報の完全な欠如という点でここにいくつかのギャップがあることを理解していますが、ソフトウェアの必要性を回避するために、実践とポリシーの観点から講義や警告すべきを行っていません私が求めています。私は承知しています、私を信じてください。
これ自体は3番目の選択肢ではありませんが、KeePassおよび関連パッケージをチームよりも個人向けに使用することの欠点であると私が認識していることの一部をカバーしています。
パスワードリポジトリへのアクセス試行に対してファイルシステム監査が有効になっています。開発スタッフ用とエンジニアチーム用の別々のリポジトリがあります。これは、KeePass内のさまざまなセキュリティレベルの必要性と、個々のアクセスがログに記録されないという事実をカバーしています。
機密性の高いもののための3番目のリポジトリもあります。そのリポジトリには、(上記の監査を介して)組み込みの即時アラートがあり、安全な場所にある改ざん防止エンベロープによって保護されています。このエンベロープへの不要なアクセスを回避するために、これらのアカウントの使用を回避する方法と理由を含むユーザー名と説明のコピーをエクスポートします。
私の会社では Thycotic's Secret Server を使用しています。これは商用ですが、スケーラブルでもあり、総コストはユーザー数(アクティブ)と、必要または希望する機能セットによって異なります。
Webアクセスのみ(IIS/ASP.Net)で、ホストされたバージョンとインストールされたバージョンがあります。
セキュリティに関しては、政府機関(米国)と昨年のVMWareの彼らのブースが現在のクライアントとして海軍省の部門をリストアップするのに十分です。
オープンソースを使用している場合は、ブルースシュナイアーの厚意によりPassword Safeを確認してください。 http://www.schneier.com/passsafe.html
残念ながら、「マスター」アクセスパスワードは1つしかありません。ただし、ボールトをネットワークドライブに保存する場合、他のユーザーが既に開いている後にそれを開くと、読み取り専用または読み取り/書き込みアクセスプロンプトが表示され、クライアントピースをインストールするときに、ボールトを読み取り専用で開くときのデフォルトなので、探しているものを回避する方法があります。