|
控制管理权限的使用/检测/保护..修改默认密码..确保使用专用的管理帐户
这里有很多东西需要整理.
如果你还没这么做的话, 你应该努力打破你对默认“管理员”帐户的依赖. 您应该尝试为每个授权为“admin”用户的用户设置独立的管理员帐户. 如果我有一个账户,Scott-Admin, 它不应该是我坐在办公桌前上网或收发电子邮件时使用的账户. 所有管理员帐户都应被视为万能钥匙. 当我需要那种程度的控制时, 我用那个账户, 就像我会得到一把万能钥匙来打开一扇特定的门一样.
我还会严重质疑,谁需要真正的管理员帐户. 如果福特汽车公司能用3-4个真正的管理账户在全球运营公司, 你可能不需要7-13(我们通常看到的). 限制管理特权的秘诀是委托. 以下是一些你不需要一个真正的管理员帐户的例子:
- Active Directory用户和组管理,包括锁定和密码重置.
- DNS管理
- DHCP管理
- 域加入计算机
- 远程到服务器或计算机
许多网站会设置一个垃圾密码,禁用真正的域管理和本地管理帐户,并设置一个无害的命名帐户-比如玛丽多明戈(mdomingo)。. 这只是名单上的又一个名字. 有些人重命名默认帐户,然后创建没有权限的假Administrator帐户, 禁用, 还有一个垃圾密码. 我们这样做是因为我们可以看到是否有人或任何东西试图进入我们的默认管理员帐户. 登录失败, 默认(现在是guest)帐户意味着有人试图对您做一些不好的事情.
微软提供免费的本地管理员密码服务(LAPS),允许您集中管理和更改您指定的任何本地帐户的本地管理员密码.
对于云实现,我多次听到这样的建议:创建一个“打破玻璃”管理帐户,以便在失去对云系统的控制时使用. 这是一个带有255个字符的超级复杂密码的管理员ID. 此ID不具有多因素身份验证. 你把这个ID和密码锁在抽屉里(气隙). 此ID仅用于紧急访问. 它不应该用于正常的管理功能.
然后我们转向跟踪这些特权使用的问题. 圣骑士哨兵监控提供了一些基本的id跟踪, 变化, 停工, 和RDP连接. 为了更可靠地跟踪id、共享和权限的情况,我强烈建议您在网络中添加一个真正的审计服务器. 这并不难做到. 我们在UserLock的朋友也有一个很棒的ID跟踪、报告和安全工具.
对于那些已经完成了所有基础工作并且已经有了审计的人来说,接下来的步骤是:
- 用于登录、RDP和云应用程序访问的多因素身份验证(MFA).
- 实现微软准时制(JIT)功能(适用于窗户。 Server 2016及更高版本)
- 实现一个真正的微软红森林设计(特权访问模型- PAM)
- 使用由该工具管理的单次使用管理凭据实现“最小权限”工具. 帕姆也.
CSI可以帮助完成这些任务. 如果你需要帮助,给我们打电话.
假期过得愉快吗. 2021年见!
新闻官斯科特Quimby |
最近的评论