Článek je plný "čížkovin", něco jako ,kdyby v půlce psaní článku čížka něco vzrušilo (například ajťák Dušan nebo uklízečka Břicháčková) a musel tam vstříknout svůj "rukopis". A teď si zaměňte za Břicháčka Haxora čížka, za Ing. křečka redakčního ajťáka.OPRAVA: Ne, Windows -- na úřední počítač financovaný z našich daní opravdu nepatří.Samotný úřad mám pocit, že je typický tunel na peníze (a ještě podle jeho "výstupů" to vypadá, že ani nemá vlastní rozum, ale, že se řídí podle not jiného pána.) a občas musí vykázat činnost, takže aby se neřeklo vydá nějaké prohlášení. Ne že by to bylo snad špatně napsané, nebo nepravdivé ale spíš to dokládá jejich skutečnou náplň práce, vytváření lapidárních prezentací nebo papouškování varování ohledně nebezpečných huawei křápů (tím netvrdím, že huawei jen a on pouze z smartphonu udělal šmírovací krám), dělají to i ostatní a a hlavně šmírdroid samotný je takový od základu vymyšlený.
Z podobných úřadů si dělali srandu už Monty Pythoni (ministerstvo švihlé chůze).
Sorry ale jako dávat tam obrázek s paní doktorkou s tím že používá win XP?Chtěl jsem nejdřív napsat že autor článku byl asi na akademické půdě naposled když podával přihlášku na VŠ ale pak jsem si přečetl že to psal Čížek.Na spoustě pracovišť AVČR najdete winXP. Protože jsou připojeny k přístrojům které nemají již ovladače pro nové win. Tyto přístroje většinou stojí desítky až stovky miliónů. A ne vždy jsou finance na update.
Winxp jsou ještě zlatý, před rokem jsme dávali pro VŠCHT dohromady počítač běžící na win98 :)
Co se týče poukazování na "Starý počítač s Windows XP" v labině, ono opravdu záleží, na co se to používá. Když máte někde 12 let starý spektrometr za desítky tisíc, který ještě v pohodě slouží a výrobce nemá novější ovladače než pro XP, tak to celé jen tak nevyhodíte z okna. Pokud je počítač offline a zaměstnanci si tam nepřipojují svoje flashky, tak to může být v pohodě (i když je problém uhlídat disciplínu PC negramotných uživatelů).
Taky by mě zajímalo, jaké je bezpečnostní riziko používat neaktualizovany os na offline specializovaném jednoúčelovém stroji, ono občas nejde o desítky tisíc, ale o miliony.
Pokud se dodržuje bezpečnostní politika - například si tam nikdo nestrká své vlastní flashky, pak problém není. Pokud tam ale studenti strkají kde co, pak to tam odpoledne šoupne i pedagog, klidně si do svého kanclu a počítače už připojeného do místní sitě leccos donese 😉.Jako příklad lze uvést rentgeny. Jsou drahé, obsluhují se leckde na starém PC, ale to nikde není připojené . Jediným výstupem je vypálené CD se snímkem.
Oni ty stroje většinou totálně offline nejsou, akorát jedou na nějaké zvláštní VLANě, která je oddělená od běžné provozní LAN, aby mohly ty údaje ukládat do nějaké databáze.
Ten idiotský úvodní obrázek mi připomíná workshop s šéfkou, která požadovala "... sedm červených linek, všechny musí být kolmé, některé zeleným inkoustem, některé průhledným inkoustem." Expert přidal i kočičky.https://www.youtube.com/watch... Můžete si zapnout české titulky.---Experti zvládnou přece vše, i pravidla NÚKIB.
a co Huawei hw? kde ho mate, je stale nebezpecny, alebo menite trencle tak rychlo ako Trump
Ta kauza už tento zbytečný úřad dokázala zdiskreditovat dostatečně, tenhle článek je jen další hřebík do rakve důvěryhodnosti.
Nezpůsobilost NÚKIB byla předeslána neplánovaným vznikem tohoto úřadu.http://www.exanpro.cz/udalosti-a-jevy-ve-svete/... ...
Klid, tohle je lež od vrchu až dolů.
Někam se ti protekční fakani potentátů upíchnout musejí, tak jim udělali vlastní ouřad. Čučkaři.
Nechápu ty negativní recenze tady. Je to psané jako domácí úkol - ano. Víte proč?Já ve státní správě v IT dělal, vím jaká je úroveň administrátorů, takové organizace nemají možnosti platit odborníky, ale kolikrát to jsou postarší pánové, co se sotva seznámili s Windows 10, nebo naopak zahořklí mládenci, kteří IT dělají od mala na koleni, samouci. Tam jsou prostě obrovské mezery a je potřeba, aby taková příručka byla jednoduchá a srozumitelná. Bohužel je to trochu smutné, protože drtivou většinu těch bodů úřady nesplňují a kolikrát o tom ani nemají ponětí.Takže proto je to tak napsané, aby to plnilo účel tam, kde se zastavil čas. Bohužel to tak je, stav IT ve státní správě je děsivý, nejen tam.
A dalsi duvod je ten, ze by tomu mely v nejake mire rozumet i osoby odpovedne. A tem to proste musite podavat ELI5 metodou, jinak neuspejete. ;o)
Pokud jsou to ekonomové, stejně neprorazíte.
U ekonomu typicky ano ano, ne vsak u hrdinu s MBA a spol..
Jo - M.B.A.. Tak tato individua považuji za (ekonomy ^ 2)https://cs.wikipedia.org/wiki/Master_of_Business_A... ... https://en.wikipedia.org/wiki/Master_of_Business_A... ...
To opravdu raději nechtějte vědět jak to je ve státní správě, já teď nastupuji do státní organizace kde budu jediný sysadmin na 60lidí, například aktualizace čehokoliv Windows, softwaru se tam nikdy nedělaly, to by bylo pro předchozího IT moc práce, vrchol všeho - všude ty nejlevnější bezdrátové klávesnice, bezdrátové myši s žádným šifrováním komunikace(budova,chodby veřejně přístupné). Neskutečná zranitelnost všeho. A to jsem to viděl jen zběžně, bojím se co tam pak ještě objevím a myslím že toho bude hodně. Nejhorší asi bude až uvidím v jakém stavu jsou servery. Vedení(ženské) nemá o IT absolutně představu, bojoval jsem s nimi už od prvního pohovoru - jejich představa je že IT sysadmin vlastně celý den vůbec nic nedělá, všechno přece funguje, je to jen taková okrajová práce, takže je potřeba mu přidat ještě další práci kromě IT aby byl dostatečně vytížený, naštěstí od toho nakonec upustili.Běžte si to dělat za 24hrubého..... já to potřebuji hlavně jako praxi, dám to tam do pořádku a za rok,dva jdu zas jinam.
To je případ od případu, ja dělám ve státní organizaci, jede se tam podle best practices, virtualni desktopy máme pod Wmware Horizon, bladový servery, aktivní prvky Junipery, aktualizace přes wsus, celkem dost restriktivně nastavený gpo, atd..
Jinak mám 15 let praxi v soukromém sektoru. Šel jsem tam, protože to mám 10min pěšky od baráku, mám klouzavou pracovní dobu, žádnej stres, žádný neplacený přesčasy. Trochu jsem si překládal priority, že mám malý děti a před tím jsem jim dával akorát dobrou noc, teď když jdu do práce na sedmou, můžu je po půl čtvrtý vyzvednout ze školky a máme celý odpoledne pro sebe, prachy nejsou všechno.
Bez Wsus to ani nejde. Už proto, že si můžu sám hlídat, kdy a co kam pustím. Rolovat na počítače aktualizace rovnou, jak si to představuje MS je administrátorská sebevražda.
Článek jsem si ráno u kafe v serverovně přečetl. WTF? Pomalu jsem si ho přečetl ještě jednou abych se přesvědčil, že to opravdu je pravda. Aha.Jestli opravdu NÚKIB tohle myslí vážně, jsem rád, že bezpečnost našeho státu "hlídá" taková zodpovědná a erudovaná firma. Jak už tady někdo psal, obsah i forma je na úrovni domácího úkolu z Informatitky na střední škole a každá firma, která má svého vlastního "ajťáka" tahle všeobecná a zcela základní doporučení dodržuje už řadu let. Pokud státní úřady ne a je třeba jim to takovouto formou připomínat, asi je čas opravdu panikařit, pořídit holuby a začít komunikovat takhle.... Teď vážně - jestli je to OPRAVDU myšleno vážně, dost mě to děsí...
Vidíte a já znám spoustu veřejných institucí (škol), kde když tenhle "domácí úkol" ukážu správci sítě, kouká na mě jako na mimozemšťana.
A jen divite se? Ruku na srdce kdo pujde delat spravu site na skole. Horko tezko 20 hrubeho. Jedine lojza co umi zapnout pc a ma kurz z uradu prace. A pak max garazovka kde je vrcholem umeni nainstalovat OS . Jinak profici pouzivaji stig jako template na bezpecnost.
A není tohle ten důvod, proč ty sedíš v serverovně a oni nastavují pravidla?Schválně si představ, že bys měl odevzdat doporučení v nějaké zkrácené formě, aby to bylo všem srozumitelné (i pro ředitele institucí co totálně netuší) a obecné pro většinu systémů. Napsal bys tam něco jiného?
Ředitel jakékoliv instituce nemá o zabezpečení IT ani šajn, natož to něho nějak mluvit - a to je správně. Každý, komu je toto sdělení určeno a je schopen se podle něj zařídit --- tedy musí mít takové znalosti --- měl to udělal už dávno. Pokud ne, tak ty znalosti nemá a nemá na místě, kde se o těchto věcech rozhoduje a realizují se co dělat. Proč si každý myslí, že správa čehokoliv (a zejména tak rozsáhlé problematiky jako jsou sítě a celková bezpečnostní politika) je práce pro středoškoláka za pár korun? Také nechcete aby Vás operoval středoškolák ze zdrávky, že?
Je to o velikosti firmy. Když je ve firmě 20 zamců, tak nasazovat :IDM, IDS, IPS, 802.1x, přístupové systémy atd. atd. atd. je pro toho chudáka docela overkill.Malá firma nemá team lidí, ale třeba jednoho člověka a upřímně řečeno, neznám snad nikoho, kdo má tak obsáhlé zkušenosti, aby to celé dal sám a udržoval to.Samozřejmě se nemusí použít OSS, pak nastupuje outsourcing a pochybuji, že by tak malá firma chtěla zaplatit třeba za FlowMon aj. nástroje.A do této škatulky si můžete strčit jak malé firmy, tak školy a úřady (a nejen obecní, ale třeba i celní pobočky atd.)Zdar Max
A není ti tam zima?
Dokázal by mi někdo vysvětlit co je špatného na tom, že k něčemu existuje jeden sdílený administrátorský účet?
Špatné je to, že pak např. špatně dohledává, kdo co změnil/udělal. Pokud Franta i Pepa mají mít admin přístup, každý má svůj účet a pokud něco pokazí Franta a bude průser, Pepa je v tom nevině 🙂 .. jen jako jeden veselý příklad za všechny 😉
Vím, že je to hezky český pohled. Ale když odhlédneme od dohadování kdo co podělal, tak je to dobré z hlediska bezpečnosti k čemu?
Vždycky se snažíte eliminovat co nejvíce možných zranitelností. Pokud máte jeden jediný administrátorský účet, jste vystaveni obrovskému riziku kompromitace celé organizace při odcizení tohoto hesla. Pokud budou na síti "sedět" útočníci a například chytat hashe hesla, bude jednodušší se zaměřit na heslo jediné. Navíc, máte-li jeden administrátorský účet, počítáte s tím, že každý, kdo ho má, se bude přihlašovat z více míst, síti, apod - v takovém případě nemůžete nastavit například trusted host, abyste omezil připojení jen z konkrétních sítí. Admin se může přihlásit odkudkoliv do jakékoliv služby, nemá dvou faktor a po síti běhá jen jeho heslo, účet smí všude a umožňuje všechno - dojde-li ke zneužití účtu, čelíte skutečnosti, že mohlo dojít k odcizení komplet všeho a bude problém to dávat dohromady.Admin Pepa se ovšem může přihlásit pouze z lokálního subnetu a nemá práva například na zásahy do doménového řadiče, smí vytvářet účty a resetovat uživatelům hesla, naopak nemůže editovat GPO politiky, například.Admin Lojza se může přihlásit z lokální sítě, ale i přes VPN - dělá z domova. Na rozdíl od Pepy ale může provádět zásahy v doméně, přístup do VPN a jeho účtu je chráněn dvou faktorem.Pokud dojde ke kompromitaci jednoho z účtů, jednoduše se zablokuje a začne se to řešit. V logovacích nástrojích můžete dohledat co se stalo, zda to nebyla chyba, útok nebo jen nespokojený admin. Napříč organizací máte většinou více adminů a jednoduše to nemůžete nechat ve stavu, kdy nevíte co dělá ruka pravá a levá. Musíte mít přehled a hlavně kontrolu. Jednotný admin účet je nesmysl, opravdu, obrovský. Jako šéf IT jste za to pak zodpovědný a to vy musíte nadřízenému říct, že je komplet celá firma v ohrožení, protože jste měl jeden login, který musíte zablokovat a v tu chvíli vám začnou padat služby, apod., protože jste za tu dobu účet admin použil v tolika věcech, že už si to ani nepamatujete...Asi tak :)
Děkuji za vyčerpávající popis. Ale nerozumíme si, popisujete proč nemají mít uživatelé plný admin účet, když ho nepotřebují, s tím samozřejmě souhlasím.Já reaguji na tento bod z článku: "Nepoužívat sdílené účty, takže zapomeňte na praxi, že skupina ajťáků bude používat jeden společný účet brichacek_root ke konfiguraci nějakého systému – třeba poštovního serveru. Pokud jej spravuje více lidí, každý by měl mít také vlastní přístup."A připadá mi, že pokud budu mít v organizaci třeba 3 lidi oprávněné spravovat kompletně emailový server, tak je větší riziko, když tam budou k napadení 3 účty než jeden.
Musí se řešit přece i zástupnost, když je nějaký IT na dovolené, takže je pochopitelné, že přístup do email serveru bude mít více administrátorů. Je to opravdu nutnost. Každý, kdo bydlí, má své vlastní klíče. Organizace o desítkách až stovkách zaměstnanců musí mít velké IT oddělení, šéfové musí mít jistotu, že nedochází ke kompromitaci firmy/dat, takže každý dostane svůj účet pro dohledatelnost, spokojenost, jistotu a klid :) Já vím, že se s tím nechcete smířit, ale říkám to z praxe, vím, jaké pak nastávají komplikace.
Tady o smiřování vůbec nejde. Tady jde o to, že mi nepřipadá moc bezpečné vytvářet na serveru víc admin účtů. A prostě mě zajímalo, proč je bezpečnější jich tam udělat víc.K tomu vašemu příměru, kdo bydlí nemá vlastní klíče. Ty klíče jsou stejné. 🙂
Stejné možná jsou, pasují, ale každý má své. Každý má svůj "login", nebo pokud bydlíte sám, chápu. Pokud bydlíte s někým, máte asi vícero klíču, ne jen jednu sadu...Ale už dost, nechci být ošklivý :) Pokud máte správný paswword scope, trusted host a 2af, vícero účtů není problém, naopak je problém jeden admin.hezký den
Vám také hezký den a děkuji za snahu. Opravdu si toho cením.
Neříkám to jen tak, nechci se ani hádat. Ale fakt to znám, IT dělám min. 10 let. A přesně z těchto důvodů jsem před třemi měsíci ukončil práci na jednom úřadě. Chtěl jsem se hnout dát a dělat to pořádně.
Také se nechci hádat a věřím Vám. A určitě je dobře dělat věci pořádně.
Tu ide napr. o sudoa stav/etc/sudoersa blok loginu ako rootTak zabezpečíte, že musíte vedieť aj svoje aj rootove heslo. A máte dvojfaktor aj pre každého admina zvlášť účet a je to 2 v 1
Kdyz bude mit Pepa, Michal a David kazdy svuj administratorsky ucet a utocnik jednomu ukradne hesla, budes vedet ze se nekdo na emailovy server prihlasil Pepovym uctem. A tim padem je celkem jasne, ze Pepa si musi zmenit heslo toho administratorskeho uctu, ale taky vsude jinde. Navic vis, ze mas patrat u Pepy na jeho pocitaci, kde k uniku hesla doslo (pokud ho nekomu neprozradil).Pokud mas jeden sdileny ucet, tak nevis nic krome "mame problem".
Pokud někdo ukradne administrátorské heslo tak rozhodně nestačí to jeho heslo změnit a pátrat u Pepy. Tohle znamená kompletní obnovu a změnu všech hesel.
Nehlede na to, ze sdileny ucet je problematicky v okamziku, kdy zamestnanec odejde nebo zmeni typ prace. Zmena vsech administratorskych hesel je zvladnutelna, kdyz se Pepa, Michal a David staraji o pet serveru. Kdyz mas desitky administratoru a stovky serveru, tak uz to neni takova legrace. Je mnohem lepsi proste zakazat/zrusit ucet toho jednoho zamestnance, co uz neni administratorem.
Jirko, jste rozumný a z praxe to zjevně znáte. Ale některým to nevysvětlíte. Někde mají 3 zaměstnance IT, jeden admin účet a i když se zaměstnanci točí a odchází, jedno heslo zůstává stejné, administrátorské - je to přece moc práce a navíc ta hesla máme i v tiskárnách, apod. Navíc to komentují lidé, kteří nemají ani ponětí o tom, co tu píšete. Starají se často o jeden zastaralý file server, kde je všude everyone/all acces, dvě tiskárny a 10 neaktualizovaných počítačů. Viva la IT dinosauři 😃 A dík, že v tom nejsem sám.
Tady bych se jen rád obhájil, heslo se pravidelně mění, rozhodně nezůstává stále stejné. Zvlášť pokud někdo odchází.
Diky, uz jsem toho v pocitacove bezpecnosti videl hodne a psani bezpecnostnich doporuceni je muj denni chleba. Ale i tak mi v diskusi na webu fakt nikdo vykat nemusi 😉
Já stále nechápu, jakej je rozdíl mezi spravováním jednoho, či tisíce serverů.VIdím jen, že používáte Windows, ale ve světě Linuxu, když je to prostě dobře udělané, je vám fakt fuk, jestli máte jeden, tisíc, či sto tisíc serverů.
Inu, dle hodnocení, tu moc Linuxových odborníků nebude.. Škoda.B-]
Spravuji cca 2400 fyzických serverů v několika lokalitách, na kterých běží desetitisíce virtuálních serverů a jiných služeb a vaše problémy neznám. Hesla jsou zlo, jeden admin účet, je více-méně ve světě Linuxu nutností. Ale vše je dohledatelné, vč. toho kdo co kdy a odkud, i přesto, že používáme jeden účet, root.🙂Neříkám, že to nejde udělat lépe, jde a takto máme oddělená různá oddělení, jako helpdesk, etc. Ale pokud má mít admin přístup opravdu všude, bez roota se neobejde.
Smím se tedy zeptat, jak odlišíte (podle logů nebo jak to tam máte) zda nějakou změnu udělal Franta z mobilu v T-Mobile síti nebo Pepa z mobilu v téže síti? Teda pokud se k tomu oni sami nebudou hlásit.Nejde o roota - jasně že je nutnost ho mít ... jde o to, že většina serverů by ,ěla být nakonfigurována tak, aby ten dotyčný uživatel příslušná práva měl - nebo se aspoň sudo su - root přihlásil ze svého účtu ---- ale zase, budou-li tak příhlášení dva v jeden moment, jak odlišíte např. kdo editoval který konfigurák? Obecně xNIX systémy umoˇžnují velice dobře jakákoliv práva jednotlivým uživatelům delegovat.A ano, hesla jsou zlo - každý správce má svůj klíč a svůj účet s příslušnými právy na každém serveru, který nějak administruje a hlásí se zásadně tím klíčem. V případě potřeby se klíč zneplatní a je...
Změny se provádí jen pomocí nějakého automatizovaného nástroje pro správu většího množství serverů, než malého. S tím začínáme i u projektů, co začínají na jednom/dvou serverech. Přímo v těchto nástrojích jsou patrné všechny změny, co, kdo, kdy udělal.Proč?Nikdy nevíme, jak se co rozroste.
To máte naprostou pravdu, nicméně to je organizační záležitost. A opravdu se týká velkých serverových farem a podobně. O tom se tu nepíše, tady se opravdu píše o tom, kdy mají 3 lidé přístup na jeden email server. A to je to na co se ptám, pokud mám jeden server, 20 zaměstnanců, tak jestli je lepší dát 5ti každému svůj admin účet nebo jako do teď mít jeden. Pro jistotu dodávám pravidelně měněný, plus samozřejmě když někdo odchází.
A to vám nepřijde zbytečně složté, když někdo odejde měnit hesla a znova je dávat příslušným lidem? Není lepší prostě mít skupinu XYZ která má právo (např. administrovat ten váš maol server) a když přijde nový správce, prostě mu udělat účet a přiřadit ho do té skupiny a když odejde, prostě ho z té skupiny odebrat?
No právě vzhledem k tomu, že je jenom jedno, tak to je jednoduché.
Jednoduché? Vždyť po každé změně musíte oslovit několik lidí, jako mě někdo furt měnit pod rukama moje hesla, tak z toho asi chytnu psotník. Když mám něco spravovat, mám svůj přístup a ne že když mi někdo zavolá tak zjistím, že Franta včera odešel a Pepa proto změnil heslo, které najdu kde? Poslané mailem? Nebo někde na nástěnce? Copak sám nevidíte, že to je blbost?Takhle mám jeden svůj klíč, mám ho ve svých konfigurácích a přihlásím se na jedno kliknutí - jen má, nikdo jiný. Když mi někdo bude chtít přístup zakázat, prostě můj klíč zneplatní - přeci celý pricip práce/organizace kdy změna u Pepy (vyhazov) nějak ovlivňuje přístupy Franty (musí reagovat na změnu hesla atd) je špatně, ne?
Tohle je přesně to, čemu se chci vyhnout. Aby měl někdo uložené admin heslo pro přístup všude u sebe na PC.Pokud má mít daný člověk někam běžně přístup na jedno kliknutí, tak mu dám tato práva přímo na jeho účet.
Promiňte, ale přijde mi, že se v problematice opravdu moc neorientujete - to nemyslím nijak zle. Přeci vy jako správce mi vygenerujete jeden jediný privátní klíč. Ten je samozřejmě chráněn heslem, které zase znám jen já - ani Vy ho neznáte. Přihlašuji se tím klíčem - tady ho fyzicky musím mít a při použitíé k němu zadat heslo. Vy můj klíč nepoužijete (neznáte heslo) ale můžete mi kdykoliv odepřít přístup (zneplatnit/smazat klíč). A tak to má fungovat.Tomu, jak lidé naloží se svým klíčem/heslem Vy už ale nerozhodujete. Nijak mi přeci nezabráníte si přihlašování zautomatizovat, skriptem apod. Security by Obscurity - tedy neustálým měněním hesel pod rukama - fakt cesta nevede.
V pořádku, vím že se neorientuji. Proto se tu ptám. A i když to vypadá, že se hádám, tak jen hledám odpovědi. A všech reakcí kde mi jen někdo nenadává si vážím.Technická realizace je jedna věc. To, že tam máte předpokládám slušné heslo. Co s lidmi kteří si dávají pak hesla pavel.
To opravdu nebylo myšleno nějak zle. Víte, já myslím, že celý problém je v tom, že Vy se snažíte suplovat bezpečnost a přebírat zodpovědnost za jiné tím, že prosazujete neustálou změnu hesel.Každý, kdo má někam přístup, má také nějakou zodpovědnost. Pokud má každý svůj účet a dojde k problému, je problém snáze identifikovatelný a napravit se dá poměrně snadno tím, že tomu člověku stávající přístup zneplatníme. Je úplně jedno, zda mám ke svému klíči heslo "pavel" nebo "12345" nebo naopak "56xDg6423$#5", vždy si to heslo stejně napíši do svých skriptů - proč? Protože vlastníkem privátního klíče, ke kterému je to heslo jsem jen já. Nikdo jiný ten klíč nemá. A pokud mi ukradnou počítač? Mám ho zabezpečen, disk šifrován ale stejně, první co bude, že oznámím, že mi počítaš byl ukarden/hacknut/jinak zneužit a požádám jiného admina o zneplatnění mého klíče a vygenerování nového. Jakmile dáte člověku přístup, nemůžete jeho zodpovědnost suplovat tím, že mu budete jeho heslo pod rukama měnit. Jde o to mít systém co nejvíce zabezpečen (privátní klíče, chráněné hesly) a celkově nesatevnými politikami, ale v momentě, kdy jednoho koždého něčím pověříte, je to JEHO zodpovědnost.
Hesla se nepoužívají, používají se šifrovací klíče, logy se posílají na jiný server a do další lokality, kde je nelze kompromitovat. Logovat lze cokoli, i použitý klíč.Trusted hosts? Ehm, od toho je firewall.Ne, admin se může přihlásit jen z důvěrných sítí, + nikde nikdy nikomu nesmí běhat po síti heslo v jakékoli čitelné podobě.Ehm, aha, nesmyslný Windows svět, už rozumím tomu, proč si myslíte, že to jde dělat jen takto špatně a naho*no.Inu, základem je mít pořádný systém, nikoli takovej hnůj, jakým jsou Windows.Hezký den.
Kromě toho, co tu již padlo (dohledatelnost změn, audit atd.), tak je dalším důvodem SoD (Segregation of Duty). Jinými slovy, všichni nemusí mít přístup všude a čím více je lidí v teamu, tím více dává SoD smysl (u dvou tří moc ne, ale u 4 a více už to může smysl dostávat).A všechny tyto zmíněné věci (audity, SoD apod.) spadají do položky "bezpečnost".První otázky bezpečnostního auditora jsou ohledně dohledatelnosti změn, jejich konzistence a implementace SoD.Není to tedy o tom, že by někdo odcizil heslo, je to bezpečnostní opatření, které má hlídat lidi v IT. Divil byste se, kolik "taky IT" lidí existuje, co dokážou spoustu věcí pěkně zmastit a vyrobit miliony problémů.Zdar Max
Moc děkuji, to je to co jsem chtěl vědět. Nejde o zabezpečení, ale o byrokracii kvůli auditu.Jinak právě že vím co jsou lidé schopni udělat za kraviny včetně mě.
To se ale pletete, nejde o byrokracii kvůli auditu. Jasně jsem psal, že je to kvůli kontrole IT jako takovému (a né ze strany auditu, ale ze strany nadřízených i mezi kolegy IT jako takovými) + čím více lidí, tím je více nutnost řešit SoD (nepouštět všechny správce do všech systémů, ale jen do těch, kterých se jich týkají).Když je v teamu třeba 10 a všichni používají účet Administrator, tak to může být problém. My jsme třeba 4 a nutnost zavádět SoD tu je.Navíc, pokud osobně nesu odpovědnost za nějaký systém, tak opravdu nechci umožňovat některým kolegům, aby se do něj dostali a v případě mé nepřítomnosti něco i v dobré víře po*rali díky neznalosti apod.Jinak mít vlastní účet pro správu je také dobrý kvůli velké fluktaci zaměstnanců.S každým odchodem měnit všude hesla nemusí být v některých případech žádoucí.Takto přijde do teamu člověk, dostane dva účty (jeden do PC, jeden pro správu do systémů, které se ho týkají) a když bude problém, tak se účty zruší a pápá.Těch příkladů by se našlo mnohem více, kdy to dává smysl.z pohledu dvou IT lidí ve firmě to samozřejmě smysl nedává, jak už jsem napsal, tyto požadavky jsou většinou ruku v ruce s velikostí teamu.Zdar Max
Já vám rozuměl. A ano, důvodů proč vytvořit více různých účtů je spousta, proto tam ta možnost je. Psal sem tu již, že dávat lidem oprávnění jen k tomu co potřebují je jasná věc. U velkých organizací tím spíše.S čím se setkávám já jsou firmy a i úřady nebo školy od 10 do 50 zaměstnanců. Mají jeden server, nějaký NAS, pár wifi routerů, nějaké tiskárny a účty na 1-10 službách v cloudu. 0-5 lidí tam jsou pověřeni správou, ale mají to jako bokovku.Vždycky se snažím před instalací vlastního SW tam zajistit jakž takž zabezpečenou síť. Do teď jsem to co se přístupů týká řešil tím, že sem vyházel účty s hesly Petr73_7 a podobně, udělal ideálně jeden účet pro administraci a vygeneroval pořádné heslo ze stálého identifikátoru a generované části. Protože se tam jím sám hlásím, tak mám kontrolu, že tam nikdo nevrátil 123456, když ho změním rozešlu generovanou část přes SMS.Podle toho článku je to špatně, tak sem chtěl prostě vědět proč je bezpečnější, aby měl každý svůj admin účet. Jediné co mi tu kdo řekl, jsou různé organizační, udavačské a byrokratické důvody. Tím nechci snižovat jejich význam, šlo mi ale o čistě význam bezpečnostní s ohledem na ochranu proti externímu napadení.
Úroveň seminární práce střední školy IT. Imitátoři co stojí velký peníze.
A to je málo? To musí být zpracováno pro profesory informatiky, aby tomu pak nikdo nerozuměl?
No, spíše je k zamyšlení, že tyhle naprosto základní a samozřejmé věci musí státní úřad připomínat všem jiným státním úřadům. Asi jako kdyby na poště poslal zaměstancům u přepážky oběžník "neodcházejte od okýnka když máte nad/pod stole otevřený trezor"
Ono to má smysl pro malé obce a třeba menší a venkovské školy. Sehnat v obci o 175 obyvatelích ajťáka, který se vám postará o školu je prakticky nemožné. Přál bych vám vidět, jak pak taková síť vypadá.
Traceability.
Tam je problém, že na těch úřadech dělají správce IT středoškoláci... každý dobrý ajťák se jim na to za ty prachy vykašle a půjde jinam kde bude mít třikrát tolik...
A kdo by tedy měl tyto standardy ve státní i privátní pro stát pracující sféře upřesnit, definovat a kontrolovat, když ne úřad k tomu přímo vytvořený?Jak by to tedy podle vás mělo být?
Hm a co to takhle nechat zodpovědnost na IT zaměstnancích jednotlivých státních institucí, než jim direktivně centrálně svazovat ruce mnohdy nesmyslnými nařízeními?(to se netýká jen kybernetické bezpečnosti).
statni sprava splnuje tak 5% toho co je tam napsane
článek nebo výstup NekňÚbného KIBerúřadu?
Potvrďte prosím přezdívku, kterou jsme náhodně vygenerovali, nebo si zvolte jinou. Zajistí, že váš profil bude unikátní.
Tato přezdívka je už obsazená, zvolte prosím jinou.