2

Относится к клиентам Windows, таким как Vista, 7, 8. Каковы соображения безопасности при запуске инструмента, имеющего параметр passwort из URL в keepass.

Совершенно глупо ли это делать или это "достаточно безопасно", если ваша машина достаточно защищена (до недавнего времени virusscanner с обнаружением троянов и т.д., Локальный брандмауэр, зашифрованный жесткий диск).

Причина в том, что я хотел бы сохранить учетные данные для любой системы в keepass и открыть соединение, запустив URL-адрес, чтобы я мог подключиться, например, к каталогу LDAP с ldapadmin.exe, SSH через Putty, WinSCP с надстройкой для него. а также соединения Windows Remotedesktop с помощью специального инструмента командной строки.

Тем не менее, я устал и хотел бы иметь возможность обвинять коллег, которые заботятся о безопасности, или сотрудников ИТ-безопасности.

Итак, подведем итог: насколько безопасно или небезопасно запускать инструменты Windows из KeePass, передавая пароль в качестве параметра командной строки. Авто тип часто утомителен, и если он действительно более безопасен, я сомневаюсь, поскольку это что-то, что проходит через событие Windows и, следовательно, потенциально легче захватить.

Спасибо за ваше время, потраченное на разработку ответа :-).

1 ответ1

0

Давайте рассмотрим наихудший случай: локально используемые пароли в вашей системе.

Почему худший случай?

  • Параметры командной строки могут быть зарегистрированы (локально).
  • Приложение, которое вы используете, может кэшировать / хранить пароли.

(Я могу пропустить больше очков здесь)


Большинство вредоносных программ не будет искать пароли в вашей системе, поэтому вам не нужно беспокоиться об этом.

Что нужно учитывать:

  1. Физический доступ - если у вас нет полного шифрования диска или вы не храните сценарии в зашифрованном формате / контейнерах, любой, кто имеет физический доступ к машине, может получить к ней доступ (после ее отключения). Если используется шифрование, теперь оно становится самым слабым звеном, то есть учетными данными для учетной записи пользователя на компьютере.
  2. Целевое вредоносное ПО / компрометация компьютера - в случае пентеста или взлома сети (когда ваша машина взломана), вы упростили злоумышленнику подключение к большему количеству компьютеров в сети, в зависимости от доступа и привилегий, которые предоставляют ваши учетные записи их.
  3. Ведение журнала. Если параметры командной строки запускаемых вами инструментов регистрируются (на удаленном сервере), а сервер журналов сначала подвергается риску, в этом случае вы снова предоставили бесплатный проход. Это, однако, является недостатком безопасности сервера журналов, но другим способом, при котором пароли на вашем компьютере могут быть проблематичными.

Короче говоря, вы жертвуете немного безопасности для некоторого удобства здесь.

В зависимости от того, насколько IT заботятся о безопасности, они могут или не могут согласиться с идеей.

Если вы устраните наихудшие условия, единственное беспокойство (я могу думать) - это ведение журнала.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .