Uprawnienia posiadają użytkownicy z uprawnieniami administratora. Mają pełny dostęp do wszystkich zasobów sieciowych i dbają o rozwiązywanie wielu problemów sieciowych. Niestety ten profil użytkownika nie jest mile widziany przez wiele osób w organizacji. Istnieją nawet pewne uprzedzenia do osób pracujących w branży IT w ogóle. ten
To normalne, że słyszą lub czytają, że szpiegują kolegów, że zamierzają zainstalować wirusy na swoich komputerach w dowolnym momencie lub gorzej, że uważają, że problemy z siecią mogą wystąpić, ponieważ mają taki zamiar. Czy może być aż tyle nieufności do osób pracujących w branży IT, także tych z uprawnieniami administratora? To nie jest niemożliwe.
Dzisiaj w RedesZone zaproponujemy kilka działań, które pozwolą lepiej kontrolować użytkowników, którzy mają uprawnienia administratora. Głównym celem jest bycie w rękach tych, którzy naprawdę ich potrzebują. Ponadto pomoże poprawić ogólną reputację tego typu użytkowników. Następnie wskażemy najważniejsze.
Uwierzytelnianie wieloskładnikowe
Ta metoda uwierzytelniania jest niezbędna, aby użytkownicy mieli dostęp do sieci z potrzebnymi im zasobami i uprawnieniami. Podobnie jest sprzymierzeńcem, gdy zarządzanie zasobami i poświadczeniami dostępu są zgodne z przepisami krajowymi, lokalnymi, krajowymi i międzynarodowymi. Nigdy nie powinieneś ignorować aspektu prawnego.
Konta administratora, takie jak usługi Office 365, nie wymagają dodatkowych uprawnień ani uprawnień. Dlatego w małej sieci zwykle nie jest konieczne posiadanie jednego administratora, ale role administratora można przypisać wielu użytkownikom, czyli wszystkim, którzy pasują do tej małej organizacji. Krótko mówiąc, możesz dodać dodatkowy poziom bezpieczeństwa, korzystając z usług uwierzytelniania wieloskładnikowego, takich jak uwierzytelnianie. Microsoft my Google ten
Jeśli jeszcze nie wiesz i chcesz wypróbować Google Verifier, możesz przejść do poniższego skrótu i wypróbować go jak najszybciej:
Google Authenticator
Programista: Google LLC
Teraz możesz mieć tylko jednego administratora, jeśli wymagają tego wymagania dotyczące bezpieczeństwa i zgodności. Z kolei w celu zwiększenia bezpieczeństwa tę metodę uwierzytelniania można zastosować, aby zapewnić administratorowi dostęp nie tylko do jednego, ale do wielu urządzeń.
Uwierzytelnianie wieloskładnikowe w firmie Microsoft
Jeśli zarządzana sieć zarządza aplikacjami i usługami firmy Microsoft, pamiętaj, że uwierzytelnianie wieloskładnikowe jest wymagane dla wszystkich kont organizacji. współpracownicy ten Niewątpliwie jest to kwestia, na którą należy zwrócić uwagę, korzystając z usług firmy, która okaże się partnerem Microsoft.
Z drugiej strony konfiguracje bezpieczeństwa różnych ról na kontach użytkowników w Azure Active Directory zostały zaktualizowane, a nową funkcją jest to, że muszą korzystać z tej metody uwierzytelniania. Dotyczy to jednak następujących ról administratora:
- Światowy
- Wspólny punkt
- Wymieniać się
- Dostęp warunkowy
- UBEZPIECZENIE
- Pomoc techniczna
- clearing
- użytkownicy
- uwierzytelnianie
Dlatego wprowadź uwierzytelnianie Spuścizna zostały wykluczone ten To znaczy tych od klientów, którzy nie używają żadnych nowoczesnych metod uwierzytelniania, takich jak klienci pakietu Office 2010 do odwrócenia. Dotyczy to również klientów komunikujących się przy użyciu starszych protokołów, takich jak poczta e-mail (SMTP, POP3 i IMAP).
Niestety, chociaż te staromodne dane uwierzytelniające obejmują również uwierzytelnianie wieloskładnikowe, ci „nieaktualni” klienci są narażeni na ataki. Dopóki cyberprzestępcom uda się złamać którykolwiek ze starych protokołów lub starych aplikacji, dodawanie wielu agentów nie jest konieczne. Jakby nie istniało od początku.
Zminimalizuj ryzyko współdzielenia dostępu
Każdy dostęp z uprawnieniami administratora lub uprawnieniami administratora globalnego powinien być ściśle monitorowany. Dlatego jego zakres i możliwości muszą być ściśle zgodne z pierwotnie zdefiniowanym zakresem. Jednak ten użytkownik-administrator nie powinien mieć nieuzasadnionych ograniczeń dotyczących zasobów, które może zużywać. Oprócz informacji i procedur, do których masz dostęp.
Dobrą praktyką jest używanie przez administratorów uprzywilejowany dostęp do stacji roboczych ten Zapewniają system operacyjny dedykowany do wykonywania zadań o wysokim poziomie czułości. Dzięki temu ma wysoki poziom ochrony przed cyberatakami w Internecie i ogólnymi zagrożeniami bezpieczeństwa. Zaletą korzystania z tego typu stacji roboczych jest to, że pozwala skutecznie oddzielić bardzo krytyczne i wrażliwe zadania od tradycyjnych urządzeń.
Z drugiej strony zdecydowanie zaleca się ograniczenie liczby użytkowników z uprawnieniami administratora. Zalecany limit ilościowy tworzenia to 5 kont , w zależności od wielkości i potrzeb sieci. Dlatego możesz rozważyć utworzenie kont z uprawnienia subadministratora które można podzielić na kluczowe obszary organizacji. W ten sposób każdy administrator podrzędny będzie mógł mieć pełną kontrolę nad tym, co odpowiada jego domenie.
Utwórz alternatywne konta
Innym zalecanym krokiem jest założenie kont awaryjnych na wypadek, gdybyś był w służbie Azure (Azure Active Directory) i Korzystamy z Office 365 ten Te konta nie muszą być konfigurowane przez usługę MFA. Jeśli coś stanie się z „oficjalnymi” kontami, które mają tę metodę uwierzytelniania, możesz odzyskać dostęp do tych usług za pomocą tego konta kopii zapasowej.
Z drugiej strony możesz utworzyć konto administratora, które nie ma uwierzytelniania wieloskładnikowego i jest również wyłączone z wszelkich zasad. Skonfigurowane hasło musi być wystarczająco duże. Aby śledzić i zorientować się, jak korzystać z tego konta, udostępniamy świetny samouczek za pośrednictwem tego linku youtube który pokaże Ci krok po kroku, jak to zrobić.
Udostępnione przez nas wideo jest w języku angielskim, ale widzieliśmy je w całości i w razie potrzeby możesz automatycznie przetłumaczyć napisy na hiszpański. Ponadto krok po kroku jest to dość jasne, a głównym warunkiem jest posiadanie konta Azure Active Directory Premium ten Jeśli go nie masz, możesz skorzystać z bezpłatnej 30-dniowej wersji próbnej, aby sprawdzić swoje konta kopii zapasowych.