Primero, vuelva a diseñar el proceso de administración de su cuenta , cuando sea posible, para que los usuarios tengan cuentas de administrador personales y la cuenta de administrador integrada esté deshabilitada, o la contraseña de la cuenta integrada se almacene en una ubicación segura de tal manera que sus administradores no puedan obtener acceso no autorizado (por ejemplo, la bóveda de contraseñas).
Segundo, si no puede usar la separación de cuentas en el dispositivo / nivel de servicio, considere usar una de las muchas herramientas de acceso privilegiado o Cloud Service Brokers (CSB) ( por ejemplo, CyberArc, Thycotic, etc.) para que solo el sistema sepa que la contraseña y la separación de la cuenta se logran en una capa de administración. El bloqueo del acceso a un usuario es una operación de 1 clic en la herramienta. Cambiar las contraseñas es igual de fácil y los usuarios autorizados no experimentan cambios ni inconvenientes.
Tercero, incluso si hace lo anterior, tiene un manual y proceso de auditoría para participar:
- documentar todos los servicios que necesitan ser gestionados
- documente todas las cuentas y usuarios en cada servicio
- revise todas las cuentas / usuarios de forma periódica (¿anualmente? ¿trimestralmente? ¿mensual?) para confirmar la aptitud
- auditar la integridad de todos los servicios y cuentas
Obviamente, una herramienta de acceso privilegiado o un Cloud Service Broker es la manera de lograr coherencia y tiempo de actividad.