¿Cuáles son las preocupaciones con el almacenamiento de contraseñas en una carpeta pública restringida en Exchange?

6

¿Es seguro almacenar datos como la información de inicio de sesión de la cuenta (para sitios web de proveedores, no cuentas administrativas), políticas de configuración, documentación de activación y claves del sistema operativo en una carpeta pública en Microsoft Exchange y configurar los permisos solo para miembros? ¿Se permite a un grupo de seguridad específico agregar / editar / ver las publicaciones?

Encuentro los siguientes dos beneficios: Se realiza una copia de seguridad incremental del servidor de intercambio cada hora y se envía fuera del sitio por la noche, por lo que en un desastre una vez que se complete la restauración, la documentación aún está disponible.

Los usuarios pueden actualizar, publicar y leer según sea necesario en el flujo de OWA o Outlook.

Pero no estoy al tanto de los riesgos de seguridad que pueda estar presentando.

    
pregunta Jeff 17.02.2012 - 17:31
fuente

1 respuesta

3

Tendría que considerar los beneficios para su enfoque así como los inconvenientes y compararlo con otras alternativas para tomar una decisión informada.

algunos punteros:

  • ¿Quién está administrando esas carpetas públicas / intercambio? Es posible que esos usuarios no necesiten tener acceso a esas configuraciones / cuentas, pero como es su trabajo administrar el servidor de Exchange, ahora también tienen acceso a esos detalles.
  • ¿Qué sucede si un empleado deja su escritorio desbloqueado y se aleja por un momento? o si alguien está mirando por encima de su pantalla cuando este buzón está abierto (esas contraseñas no se ocultarán de ninguna manera)
  • ¿Hay algún registro de auditoría de quién accede a estos datos o está realizando cambios? (incluso por error)
  • ¿Qué sucede cuando uno de los usuarios deja la empresa (o es despedido)? ¿Con qué rapidez / eficacia puede cambiar las contraseñas?
  • ¿Hay algún reglamento / norma que su empresa deba cumplir que impida almacenar contraseñas en texto sin formato?

Mi preferencia personal es usar algún tipo de administrador de contraseñas. Existen varias soluciones confiables para ayudar a administrar cuentas / contraseñas compartidas. Haga una búsqueda en línea para el "administrador de contraseñas en línea" o algo similar y estoy seguro de que encontrará algunos. Existen fuentes gratuitas, de código abierto y comerciales, auto hospedadas u ofrecidas como un servicio. Puedes escoger y elegir el mejor para ti. En general, toman la seguridad mucho más en serio, ya que esa es su función principal. Ofrecen protección contra algunos de los inconvenientes que mencioné, y probablemente otros no. Es posible que algunos ni siquiera le exijan que haga sus propias copias de seguridad, y lo hará por usted, o hará un seguimiento de los cambios, etc.

Dicho esto, no hay absoluto correcto o incorrecto. Si esas contraseñas y datos no son realmente muy sensibles, es posible que la seguridad incorporada que ofrece el buzón compartido de Exchange sea lo suficientemente buena para sus necesidades.

    
respondido por el Yoav Aner 20.02.2012 - 22:59
fuente

Lea otras preguntas en las etiquetas