我们花了二十年的时间将各种服务器和进程连接到Active Directory以实现“易用性”. 可悲的是,易用性现在也意味着“容易被黑客入侵”. 因此, 我们必须更加谨慎地判断集成何时真正有用(例如LDAP)。, vs. 当它只是一个有很多下行风险的好功能时. 如果你还没有这样做的话, 是时候开始打破你的人际网络中这些重要的部分了. 这里有一些可以作为开始:
- 将VCenter从Active Directory中断开. 俄罗斯政府在乌克兰发动NotPetya袭击期间, 被攻击的公司的整个VMware基础设施都被摧毁了. 完成虚拟机和ESX主机的删除! 关闭此攻击向量的最简单方法是断开VCenter与Active Directory的连接. 为那些少数被授权访问VCenter的人设置单独的凭据. 设置访问规则,限制对VCenter和ESX主机控制台的访问请求可以来自何处.
- 保护您的远程访问卡. 你的戴尔电脑, 惠普国际劳工组织, Cisco CMIC卡是通往服务器和ESX主机真正控制台的绝佳后门. 但是,这意味着要访问BIOS、重新加载操作系统,并可能绕过MFA RDP限制. 更改所有戴尔DRAC,惠普ILO和思科CMIC卡的密码. 设置访问规则,限制可以从何处访问远程访问卡.
- 断开备份服务器与Active Directory的连接. 同时断开与Active Directory的备份存储连接. 确保AD凭证在备份服务器和备份存储上不起作用. 创建访问规则来限制网络中来自何处的远程访问请求.
- 创建访问规则,限制RDP访问权限, 服务器或关键工作站的安全位置. 你知道谁会RDP. 你知道他们坐在哪里. 将你已经做过的事情正式化.
还有很多事情要谈, 但如果你能看完这张单子, 你的处境比大多数同龄人要好得多. 要重新配置所有这些项目,必须做很多工作.
给我们打电话. 我们很高兴能和你一起解决这个问题.
最近的评论