关于管理 Windows 网络,您使用哪些安全策略和流程?例如
等等..
了解您的实践、您所在的行业以及您的公司/企业/学校的规模将很有帮助。理想情况下,我们可以使用这些信息来比较同行之间的实践。
笔记:
如果您正在讨论有关您当前、居住、营业地点的政策,请考虑以保密方式回复此调查。这可能需要您“注销”并使用不同的 OpenID 登录。
你是最适合你的评判者。同时,可以在此处找到更多信息:
作为一名信息安全人员,我曾在公共和私营部门工作过,我有机会看到有多少组织在处理这个问题,以下是我的一些观察;
Do you require/support Smart Card Authentication?
我还没有找到部署了智能卡身份验证的组织。
Restrict logins from a particular workstation?
这应该是一个基本的构建块,但是许多站点仍然无法以这种方式限制访问。除此之外,需要管理员权限的特定帐户也应仅限于所需的特定服务器/工作站。过度许可的权限可能会导致域妥协。
Require more complex passwords for Administrator accounts?
一个站点对此有一种绝妙的方法,他们为管理员帐户使用了一个长密码。这有两个目的。一 - 它可以防止暴力攻击(谁会有一个十五个单词的字典或哈希表?),其次它被用来阻止支持团队在电话上提供密码,因为这很明显他们正在这样做。该团队长期以来一直传递管理员密码以阻止他们离开办公室和访问用户!
The use of a different computer, or VM for administrative tasks
使用管理 VLAN 或其他隔离是一个好方法。将敏感流量和访问远离公司局域网是一个开始。
您还应该有一种方法来解决管理工具的使用和更新问题。不推荐使用的管理工具可能会导致整个域受到损害并在内部网络上多产。您有多少次想过修补“HP 管理服务”甚至关闭它?您的支持团队需要多少远程连接工具?我一直在现场,终端服务 / VNC / DameWare 和其他远程工具都在同一网络上为同一台服务器使用!
因此,这里的要点是审查您使用管理工具的方法,禁用您不需要的工具,减少用于完成相同任务的工具的重叠并修补您选择维护的工具。
David 和 AviD 也涵盖了我的大部分经验,我唯一要补充的是一个大型政府部门,它自始至终都使用智能卡身份验证。
这样做是为了满足对活动绝对粒度的感知要求。这些卡用于对位置的物理访问和对计算机终端的逻辑访问。不幸的是,实施后很难弥补缺勤情况,因此工作人员制定了一套非官方程序,有效地破坏了整个框架(共享和克隆卡片等)
有人认为,对于实际要求来说,这太过分了,而且过于繁琐。
YMMV - 但它似乎是一个相关的基准点
这并不真正适用于我的公司(非常小的企业),但这些是我通常向我的咨询客户提出的建议:
Do you require/support Smart Card Authentication?强烈推荐,但通常不部署。在高安全性组织(例如大型银行、军队等)中,您实际上经常可以找到部分部署的智能卡,仅供管理员使用。Restrict logins from a particular workstation?The use of a different computer, or VM for administrative tasksRequire more complex passwords for Administrator accounts?当然,管理员需要单独的、更严格的密码策略。更长,更复杂,到期时间更短,历史更长。还鼓励使用随机密码,或者更好但更复杂的密码短语。(这也与下一点有关,以阻止经常使用。)Issue two accounts per use (admin, and standard account)?同样,对于较大的网络/高度安全的组织,非常推荐。较小、不太敏感的网络可以放弃此要求,尤其是考虑到当前 Windows 版本中的 UAC。Enforce through policy or otherwise, that the non admin account is used locally 和以前一样,GPO 是一种非常容易部署的机制(尽管管理员通常可以绕过它 - 取决于它的部署方式)。