システム管理者がユーザーのパスワードを知っているネットワークポリシーの賛否両論は何ですか？

Question

システム管理者がユーザーアカウントリストをパスワードで維持し、さらにそれらのユーザーがパスワードを変更できないようにするという考えの賛否両論を知りたいのですが。

Windowsのようなシステムは、ユーザーが自分のパスワードセキュリティを維持し、パスワードを自由に変更できるようにする必要があるという考えを奨励しているように見えることを理解しています。同僚のWordがシステムのログに同意しない場合に備えて、プライバシーとアリバイを持っているユーザーの必要性を理解できます。しかし同時に、ユーザーが非公開にしておきたい資料の一部にアクセスする必要がある場合に、ユーザーのパスワードをファイルに保存することを正当化する人がいることもわかります。

私はこの考えについて教育を受けたいと思っています。

Dentrasi · Accepted Answer

Sysadminは、暗号化されていない限り、ユーザーが持っているすべてのファイルにアクセスできる必要があります。暗号化されている場合、ユーザーのWindowsパスワードは役に立ちません。システムがパスワードを知っているということは、ユーザーが何かをしたのか、システム管理者がしたのかを知ることができないことを意味します。これは、紛争に巻き込まれた場合に多くの問題を引き起こす可能性があります。パスワードはどこかに保存する必要があります。つまり、パスワードが失われる可能性があります。最後に、ユーザーは自分が作成しなかったパスワードを覚えるのが難しくなります。

長所は、パスワードをリセットする必要がないということですが、ユーザーにパスワードを思い出させる必要があります。また、ユーザーアカウントへのログインも簡単になりますが、問題のテストや診断以外では、これは不要であり、ケースバイケースでパスワードを取得できます。

これを行う理由は実際にはありません。実際の利益がないため、多くの問題が発生します。

gbn · Answer

正当化はありません。システム管理者は必要に応じてパスワードを変更できますが、パスワードを認識したり保存したりすることはできません。

のみ短所があります。

人事部が非公開にすることを期待している私の個人情報はどうですか？

彼らの駐車スペースを取ったので私がどこに住んでいるのかを知る...インターネットに私の給料を投稿する...元に情報を渡す..管理者に電子メールで送信されたポルノには私の名前が添付されています...

会社がそのような方針を書き留めているとしたら、私は驚きます。

James F · Answer

認証と承認を混同しないでください。

パスワードはあなたが誰であるかをシステムに証明します（認証）

グループメンバーシップとファイルシステムのアクセス許可は、通常、実行できること（承認）を示します。

信頼できる管理者に他の誰かが所有するファイルへのアクセスを許可するには、その承認レベルを上げます。あなたは彼らが他の人であるかのように彼らにログインさせません。

David Pashley · Answer

管理者はいつでもユーザーのパスワードを変更できます。ユーザーのパスワードを知る理由はありません。問題がある場合、またはユーザーが不在で、他の誰かがファイルにアクセスする必要がある場合、マネージャーはその日のパスワードの変更を要求でき、ユーザーは次にアクセスしたときにパスワードを元に戻すことができます。

管理者がユーザーのパスワードを解読して、弱いパスワードが使用されるのを防ぐことには利点があります。

l0c0b0x · Answer

他の人がすでにここで指摘しているように、ITがユーザーのパスワードを知る正当な理由はありません。代わりに、ユーザーのパスワードへのアクセスは、いくつかの形で否定的な状況に役立つ可能性があります。

すでに述べたことに加えて、パスワードを知る必要がある場合は、マシン（またはルート）のローカル管理者のパスワードと、システムのマスター暗号化パスワードです。これらのファイルをクエリする管理要求がない限り、ユーザープロファイルに関係するものはすべて、立ち入り禁止と見なす必要があります（そのためのツールがあります）

Bruce ONeel · Answer

ユーザー名とパスワードの組み合わせを書き留めておくと、非常に重要なリストがあることに注意してください。そのリストを失うこと、またはさらに悪いことに、コピーが作成されたことを知らずに誰かにそのリストをコピーさせることは、大きな大きな問題になります。そして、あなたは本当にそれをどこかのディスクのファイルに入れたくないのです。これが一般的な解決策です。

これは、パスワードをクリアテキストで書き留めない多くの理由の1つです。

pgs · Answer

私の中のすべてが「いいえ！」と言います

他の回答で指摘されているように、必要だと思われる場合は、システム管理者として利用できるツールと権限を理解していない可能性があります。

SAGE倫理規定も指摘しておきます。

編集：これはマネージャーのアイデアでしたか？いずれにせよ、いくつかの教育が必要です。自分自身のために、技術的、法的、倫理的に何ができるか、何ができないかを知っています。管理のために、あなたと彼らはビジネスニーズを満たすポリシーを開発することができます。そしてユーザーのために、彼らは彼らが何を期待できるかを知っています。

Shawn Anderson · Answer

説明責任が問題です。

ユーザーがログインから実行されるアクティビティについて質問された場合、他の誰かが最初にパスワードを変更せずに自分のアカウントにアクセスできるのが標準の操作手順である場合、ユーザーは自動的にアウトになります。

システム管理者やユーザーの説明責任を失うリスクを冒さないでください。

私には賛成派がいません。

Christopher Mahan · Answer

私は少し接線で行くつもりです。

重要なのは、管理者が100％倫理的である場合、ユーザーパスワードを知っているかどうかは問題ではありません。同様に、管理者が100％倫理的でない場合は、パスワードを知らなくても問題ありません。彼はルートを持っており、誰も知らなくてもパスワードを取得できます。（彼はルートです、覚えておいてください、マシンの支配者です。ログのクリーニング、ポートのブロック、必要なツールの実行など、そのマシンでできないことは何もありません。）

人事の観点から100％倫理的な人はいないため、管理者は常にユーザーパスワードにアクセスできると想定する必要があります。

管理者がスキルが不足しているためにそれができないと思われる場合は、管理者をスキルのある人と交換してください。

したがって、管理者がユーザーパスワードにアクセスできないようにするポリシーを持つことは、強制できない可能性があるため、印刷されたポリシーと手順の紙の無駄です。せいぜい、それは誤った安心感を提供します、そしてそれは最悪の種類のセキュリティです。

cop1152 · Answer

私はこれがここで言及されているのを見ませんでしたが、私は答えをざっと見ただけでした。多くのユーザーがすべてに同じパスワードを使用しています。あなたが彼らのネットワークパスワードを持っているなら、あなたは彼らの個人的な電子メール、photobucket、facebookなどのパスワードを持っている可能性があります。

それは悪い考えだと思います。不正なシステム管理者は多くの問題を引き起こす可能性があります。

Signum · Answer

管理者にすべてのパスワードを知らせることの欠点は、管理者が組織を辞めてそのすべてのデータを持ち帰る可能性があることです。ただし、ネットワーク共有にあるデータにも同じことが起こる可能性があります。

何をするにしても、ユーザーのパスワードをプレーンテキストで保存しないでください。「パスワードを忘れた場合はお電話ください」のように。それはダメです。ユーザーは、ヘルプデスクに個人的に表示されたときに新しいパスワードが割り当てられ、最初のログインの前にパスワードを変更する必要があります。

本当に機密性の高い情報については、ユーザーがPGPやTruecryptなどの追加の対策を講じることをお勧めしますが、信頼できるシステム管理者はデータを回復できないことを明示的に伝える必要があります。

管理者がすべてのドキュメントを覗き見できることを管理者が心配している場合は、システム管理者が自分で作業する必要があります。システム管理者は、ほぼ完全な信頼を持っているはずです。

Ward - Reinstate Monica · Answer

システムを維持するために、管理者はファイルへのアクセス、ファイルの変更など、あらゆることを実行できる必要があります。したがって、管理者が任意のファイルにアクセスする方法が必要ですが、ユーザーがいる必要はありません。パスワード。

私自身は、人々にパスワードを設定することのマイナス面だけを見ています。説明責任の喪失が主な原因です。私が誰かのパスワードを持っていない場合、私は彼らのファイルや電子メールに定期的にアクセスすることができず、彼らのふりをして彼らの名前で何かをすることはできません。私たちの社長は、私たちが彼のシステムで簡単に作業できるように、私たちにパスワードを教えてほしいと思っていましたが、何度も試した後、私は彼にパスワードを変更するように説得しました。

管理者が緊急時にファイルにアクセスできるようにパスワードを変更する機能以上のものを必要とする可能性のある状況は考えられません。それと一時的に人々のパスワードを知ることは常に十分でした。人としてPCで何らかの作業を行う必要がある場合は、パスワードを取得してから変更するか、パスワードを変更して元に戻す必要があります。

jtimberman · Answer

サーバーに焦点を当てた答え。

以前の雇用主では、管理スタッフはパスワードを設定していませんでした。 SSH認証のみを使用しました。そこで働いた後、パスフレーズで保護されたクライアント証明書またはキー（SSHキーやSSLクライアント証明書など）などの2要素認証スキームを大いに信じるようになりました。

Brad Ackerman · Answer

仕事用コンピュータは、そこに保存されている所有者の情報へのアクセスを許可されていない人からプライバシーを提供します。雇用主の機器を使用する場合、従業員にはプライバシーがありません。そのため、ログオンバナーには、理由の有無にかかわらず、すべてのアクティビティをいつでも監視できることが示されています。

（このようなログオンバナーがない場合は、非常に優れたアイデアであるため、できるだけ早く企業の弁護士に相談してください。歩かないでください。）

しかし、それは別の質問です。パスワードは個人識別子であると明示的に述べる必要があると思いますが、別の回答で言われていないことは何も言えないと思います。したがって、パスワードはすべて知っておく必要があります。ちょうど一人で;一般的な管理者などのアカウントのパスワードは金庫に保管し、使用するたびに変更する必要があります。

Maximus Minimus · Answer

データ保護、個人情報の使用などに関しても法的義務がある場合があります。確かに、管理者として、ユーザーのパスワードを変更してアカウントにアクセスするのを止める技術的なことは何もありませんが、以前は人事マネージャーから常に書かれた承認を取得していました（自分のマネージャーでは不十分です）これを行う。

私にとって大きなものは信頼です。あなたが最高の力を持っているなら、あなたは最も低いうなり声からCEOまで誰もがそれを誤用しないようにあなたを信頼しなければならない立場にいます。その背後にある現実に関係なく、その信頼を強化するのに役立つものは何でもあなたにとって物事をはるかに簡単にします。したがって、「パスワードがわからないため、パスワードを変更しないとアカウントにアクセスできない（この場合はパスワードがわかります）」ことをよく知っておくのは良いことです。

kentchen · Answer

私は、sysadminがパスワードを知っている必要があるというポリシーに反対する傾向があります。ケースバイケースに基づいている必要があります。 IT担当者が作業を行うためにユーザーのパスワードが必要な場合は常に、ユーザーにパスワードを要求し、作業が終了したらパスワードを変更するようにユーザーにアドバイスする必要があります。また、ITはパスワードをどのような形式でも保存してはなりません。

ただし、パスワードシートを持っていると非常に便利な場合があることも認めなければなりません。

p858snake · Answer

誰かが不在で、他の人が仕事を望んでいる/必要としているときに、なぜ誰かのパスワードをリセットするのですか？最近では、ほとんどすべての人が仕事に関係のないデータを自分のアカウントに保存しています。必要なデータのみをスペースから移動し、それを必要とするユーザーが所有するスペースに配置する必要があります。