我有一个供应商指出,他们将不会支持他们正在安装的Microsoft Server 2008 R2terminal服务器,除非所有用户使用相同的用户名和密码login。 他们声称这是为了让最终用户更容易。
服务器是独立的,同时运行应用程序(EMR)和后端数据库(MySQL)。 我们的每个办事处都将获得这些服务器之一。 我的顾虑是1)安全性和2)使用相同用户帐户的所有用户可能遇到的问题。 安全性是一个问题,因为我们属于HIPAA,DB和包含PHI的所有存储文档都存储在TS上,并且没有任何ACL限制对通用用户帐户的访问。 供应商说,DB需要密码login,所以这个设置是安全的。
我一直要求用户在使用RDP,Citix等服务器或服务器场时拥有自己的帐户,所以我没有任何真实世界的经验。 想知道每个人对这种设置的看法。
如果这些文件存储在文件系统级别,没有基于用户的encryption,没有ACL,那么是的,跑掉。 如果所有的数据都存储在数据库中,那么我会觉得稍微犹豫,但是即使如此,任何一个表示没问题的供应商(特别是当HIPPA在混合使用时)使用共享ID在我的书中是可疑的。 如果您将机器join到域中,那么从最终用户的angular度来看,没有任何关于使用他们自己的个人ID的混淆。 相反,他们拥有额外的共享ID会更令人困惑。
同意,configuration文件共享有许多问题 – 其中最重要的是无法确切地确定究竟是谁发生的,甚至是什么时候发生的。 find另一个供应商 – 一个坚持基本的安全原则。 如果可能的话,尝试找一个具有SAS 70 type IIauthentication的人。 我会保证这些组织不会允许configuration文件共享。 感谢你在跳进这个之前先要问,后来又后悔了。
同意。 这是一个等待发生的灾难。 如果他们对你所能看到的东西(需要共享login)缺乏足够的理解,他们在做什么,你看不到?