On 17/nov/2009, at 12.33, Domenico Viggiani wrote: > * Marco Ermini wote: >> Fabio Invernizzi wrote: >> [...] >>> La risolvo dando la password di root >>> alla segreteria o all'AD che la mette in cassaforte? >> >> E perché no? alla fine è la soluzione più semplice e sicura, e in >> molte realtà aziendali (sia grandi che piccole) permette di rispettare >> le policy. > > Proseguendo sulla linea della semplicità massima, mi date un parere sul > seguente insieme di soluzioni che stiamo adottando, in un'azienda di medie > dimensioni? > - server Linux: autenticazione su Active Directory; accesso diretto da rete > come "root" e con user "generiche" disabilitato (rimane da console...); > syslog centralizzato di eventi di security > - server Windows: password di Domain Administrator non nota ai sysadmin, i > quali adoperano il loro account personale; Administrator locale > disabilitato; logging centralizzato tramite Snare > - log centralizzato: server syslog non accessibile ai sysadmin
L'unica parte che vedo scoperta ma che alla quale magari hai già dato soluzione e non hai indicato nella tua mail è: l'accesso alla "entita" preposta a fare da repositori avrà sicuramente un suo amministratore. Hai curato che questo utenza non sia disponibile al "controllato" ma solo al "controllore"? > > Parlando concretamente: è davvero necessario evidenziare gli accessi > amministrativi su TUTTE le macchine? E per i PC cosa va fatto? Che altro > bisogna fare per essere ragionevolmente conformi? > Purtroppo tanti stanno facendo terrorismo. Il garante chiede, e questa è una interpretazione che mi sono dato, di tenere traccia di tutti gli operatori che fanno amministrazione sui sistemi informativi che nel DPS sono stati indicati per il mantenimento delle informazioni ritenute sensibili e personali. > La cosa può diventare drammatica! > > -- > Domenico Viggiani > > ________________________________________________________ > http://www.sikurezza.org - Italian Security Mailing List ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
