在过去的一年里,我们讨论了很多安全问题. 你们中的许多人已经开始着手解决我们的许多建议. 然而, 你们中的一些人不知道如何吸收新安全APP客户端的一些新成本,而你们所在的地区现在绝对需要这些新安全APP客户端来保持当前的标准. 挑战是艰巨的.
夏天即将来临. 是时候采取行动了.
我们知道,夏季是您所在地区实际发生许多重大APP客户端和配置变化的时候. 我想列出一些您可以承担的项目,从免费到低成本不等,以试图让您至少在不断改进安全性方面取得进展. 这些清单绝不是完整的,我知道你们中的许多人已经完成了清单上的许多项目. 我很高兴能更准确地讨论你的个人情况.
免费的
- 实施微软本地管理员密码服务(LAPS). 这允许您更改域中所有计算机的本地管理员密码.
- 实施细粒度密码策略. 这允许你有不同的密码复杂性和更改要求,为幼儿园和. 工资的职员.
- 确保从可以删除本地管理员权限的所有工作站上删除本地管理员权限.
- 确保所有工作站都打开了窗户。防火墙..
- 审计管理员, 域管理员, 和企业管理员成员资格,并删除所有不必要的域管理权限. 福特汽车公司在全球只有3个域名管理员. 你需要你看到的一切吗?
- 修改所有域管理员密码. 请记住,这需要以受控的方式完成,这些id与服务交互. 这是一个伟大的在白天晚些时候的夏季项目. 接下来,只要可能,就使用服务帐户.
- 分割你的网络,让每个人都看不到所有的东西. 记住您的堡垒(服务器)、APP客户端人员vlan和管理人员vlan.e. 任何带有金钱或个人身份信息的物品).
- 确保你有一个处理你的反病毒/反恶意软件,它是集中管理和当前的,并积极扫描-整个网络.
- 实现窗户。服务器更新服务(WSUS)来进行窗户。更新
- 确保要塞(行政人员), 科技工作人员, 服务器)有最高级别的安全补丁, 确保这些补丁的水平每周都是一致的. 确保你可以维持这些补丁水平.
- 在全区范围内实施思科保护伞免费版本.
- 为所有APP客户端人员在办公室 365和谷歌 Apps中开启多因素身份验证, 老师, 行政人员.
- 禁止APP客户端人员以域名管理员的身份在整个地区注册从事基础工作. 利用委托和本地管理权限来完成工作.
- Stop将rpingAPP客户端引入服务器以完成工作并利用RSAT工具, 管理服务器, 以及微软管理中心等其他工具来完成需要完成的合法工作.
有限的成本:
- 使用Ninite或Ninite Pro等产品几乎可以毫不费力地维护Java等应用程序的补丁, 闪光, Adobe, 火狐, 等. 保持APP客户端和管理人员的补丁水平.
- 启动思科AMP试点. 把它装到所有的科技机器上. 把钱投到所有的取款机上. 把它放到所有学生服务机器上. 把它放在管理机器上. 弄清楚你能负担得起多少,然后开始做.
我还有很多话要说和建议, 但是如果你来找我说我们基本上已经实现了限制用户的特权访问, 限制服务器访问, 更好地细分我们的网络, 我们对我们的杀毒软件很有信心, 我知道你有一套坚如磐石的APP客户端修补方案, 行政, 以及包括应用程序和操作系统安全更新的员工工作站, 我会是个快乐的人. 如果你补充说,你让思科AMP为这些用户扮演中心角色, 我得说你度过了一个精彩的夏天.
我很乐意谈谈你的个人情况,并为你制定一个适合你的计划.
新闻官斯科特Quimby
最近的评论