网络设备上的 AAA 配置可以告诉它将所有授权检查传回 ACS / ISE / RADIUS 服务器。然后，后端服务器可以向设备发送一条消息，说“是的，那个人可以执行该命令”或“不，他们未经授权”。

此外，至少在某些 Cisco 设备上，您可以将引导映像和配置文件标记为受保护 - 您可以使它们无法编辑或删除，除非对控制台端口进行物理访问。

虽然不确定是否实际签署配置副本。您需要根据 CA 检查签名，除非设备在线并且能够联系 CA，否则您无法做到这一点。您可以在本地保存证书，但攻击者也可以解决此问题。