Como han dicho otras respuestas, depende de su modelo de riesgo. Exploremos cómo podrían verse algunos modelos de riesgo, de más débil a más fuerte:
1. SMB es seguro. Los administradores son dignos de confianza. Los atacantes no tienen acceso físico al servidor.
Si solo un pequeño atacante con la clave podría causar una pequeña cantidad de destrucción o pérdida monetaria, este es un modelo de riesgo perfectamente aceptable y su solución está bien.
2. SMB tiene demasiados CVE para mi comodidad
Y lo hace , 94 enumeradas con 20 en lo que va de 2017, Incluyendo el reciente y devastador WannaCry ransomware El cierre de gran parte de internet.
3. Los administradores no son confiables
¿Los administradores de dominio de Windows realmente necesitan acceso a la clave de todos modos?
4. Los ataques físicos en el servidor son posibles
Los atacantes podrían arrancar el disco duro del servidor o hacer un ataque de arranque en frío extrayendo la memoria RAM. El servidor en ejecución. En este caso, es vulnerable siempre que exista el texto plano de la clave en el disco o la memoria del servidor de archivos. El cifrado completo del disco, como BitLocker, ayuda con el manejo de discos duros, pero no con el uso de RAM.
Si 1. se alinea con tu modelo de amenaza, entonces lo que estás haciendo está bien. Pero si su modelo de amenaza incluye cualquiera de 2. 3. o 4., entonces es probable que desee hacer algo como usar el cifrado de clave pública para proteger el archivo de clave en el recurso compartido, utilizando herramientas como openssl o gpg, donde cada servidor / cuenta de servicio tiene su propia clave privada.
Principio de privilegio mínimo
En lugar de preguntar "¿es esto lo suficientemente bueno?", que es la mentalidad de comenzar sin seguridad y agregarlo hasta que se sienta cómodo, lo invito a cambiar su forma de pensar para:
Nadie tiene acceso, excepto las personas / cuentas que realmente lo necesitan.
Esta es una mentalidad proactiva de defensa en profundidad.
Si los administradores que colocan la clave en el servidor de archivos son los únicos que necesitan acceso de escritura, asegúrese de que sean los únicos con acceso de escritura. Si las cuentas de servicio son las únicas cosas que necesitan acceso de lectura, entonces asegúrese de que sean las únicas con acceso de lectura. Si no hay razón para tener la clave en texto sin formato en el servidor de archivos, entonces no lo haga. Si los administradores del dominio no necesitan leer / escribir el texto plano, entonces asegúrese de que no puedan. Y así.