【51CTO.com快譯】微軟寫了一篇罕見的文章，詳細(xì)介紹了員工在保護(hù)自身內(nèi)部基礎(chǔ)設(shè)施方面的工作，就公司如何降低安全泄密風(fēng)險(xiǎn)提供了一些頗有見地的建議。

文章的核心內(nèi)容是微軟在公司應(yīng)如何處理管理員帳戶方面給出的建議。

[[265779]]

據(jù)微軟安全團(tuán)隊(duì)聲稱，擁有管理訪問權(quán)的員工應(yīng)使用單獨(dú)設(shè)備，專門用于管理事務(wù)。

微軟表示，該設(shè)備應(yīng)始終保持版本更新，裝有所有軟件和操作系統(tǒng)補(bǔ)丁。

微軟安全團(tuán)隊(duì)還建議：“默認(rèn)情況下為管理帳戶提供零權(quán)限。要求管理帳戶請求即時(shí)(JIT)權(quán)限，以便允許在有限的時(shí)間內(nèi)訪問，并記錄在系統(tǒng)中。”

此外，這家操作系統(tǒng)開發(fā)商還建議應(yīng)在無法訪問互聯(lián)網(wǎng)的單獨(dú)的用戶命名空間/forest上創(chuàng)建管理員帳戶，應(yīng)與員工平常的工作身份有所不同。

這樣一來，即便公司的命名空間/forest受到危及，攻擊者也無法輕松訪問管理員帳戶，因?yàn)閾碛泄芾韱T權(quán)限的員工不會(huì)將該帳戶用于日常任務(wù)。

微軟表示，公司還應(yīng)阻止遠(yuǎn)程執(zhí)行管理任務(wù)。

擁有管理帳戶的員工應(yīng)避免遠(yuǎn)程登錄到擁有管理員訪問權(quán)限的設(shè)備來執(zhí)行任何管理任務(wù)，因?yàn)楣粽呖赡軙?huì)在泄密的設(shè)備上記錄這些事件。

正確的做法是，讓管理員盡可能使用單獨(dú)的設(shè)備來執(zhí)行任何管理任務(wù)。

遠(yuǎn)離密碼

但微軟安全團(tuán)隊(duì)還分享了其他安全方面的建議。微軟一直在內(nèi)部使用，還開始在其產(chǎn)品中推廣的一個(gè)建議是，由密碼改為其他身份驗(yàn)證系統(tǒng)。

微軟安全團(tuán)隊(duì)說：“微軟當(dāng)初考慮為我們的員工使用多因子身份驗(yàn)證(MFA)時(shí)，我們向每位員工發(fā)放了智能卡。這是一種很安全的身份驗(yàn)證方法，但是它對員工來說很麻煩。”

“員工找到了變通方法，比如將工作電子郵件轉(zhuǎn)發(fā)到個(gè)人帳戶，這使我們的安全性降低。最終我們意識到棄用密碼是好得多的解決方案。”

從那時(shí)起，作為一家公司，微軟一直專注于交付提供密碼替代方案的產(chǎn)品，比如致力于開發(fā)Windows Hello和WebAuthn，這兩項(xiàng)技術(shù)讓用戶可以使用生物特征識別技術(shù)來驗(yàn)證身份。

此外，微軟還在考慮使密碼更易于管理。上個(gè)月，這家操作系統(tǒng)開發(fā)商開始討論在Windows 10安全配置基準(zhǔn)設(shè)置中實(shí)施“過期密碼策略”。

做出這個(gè)決定的初衷是，事實(shí)證明，迫使員工更改密碼會(huì)促使員工使用更容易記住的較弱密碼，而不是確保員工在使用攻擊者更難破解的強(qiáng)密碼。

為了幫助公司遷移到密碼在其中起到的作用較小的生態(tài)系統(tǒng)，微軟建議公司：

• 執(zhí)行MFA――遵守快速在線身份(FIDO)2.0標(biāo)準(zhǔn)，那樣你可以要求使用PIN和生物特征識別來驗(yàn)證身份，而不是使用密碼。Windows Hello是個(gè)很好的例子，但請選擇適合貴公司的MFA方法。
• 減少老式的驗(yàn)證工作流程――將需要密碼的應(yīng)用程序放入到單獨(dú)的用戶訪問門戶網(wǎng)站，在大多數(shù)時(shí)間內(nèi)讓用戶改用現(xiàn)代驗(yàn)證流程。在微軟，每天只有10%的用戶輸入密碼。
• 刪除密碼――為Active Directory和Azure Active Directory(Azure AD)確保一致性，讓管理員能夠從身份目錄中刪除密碼。

更好的身份管理

微軟稱公司可以采取的“最被低估的身份管理步驟”是，制定一項(xiàng)圍繞角色而不是圍繞用戶名來設(shè)計(jì)的基本的用戶管理計(jì)劃。

微軟安全團(tuán)隊(duì)認(rèn)為，公司應(yīng)為本組織使用基于角色的訪問計(jì)劃，跨諸多角色移動(dòng)用戶，而不是每當(dāng)組織內(nèi)的用戶任務(wù)發(fā)生變化就為每個(gè)用戶帳戶分配權(quán)限。

微軟說：“找出每個(gè)角色完成工作所需的系統(tǒng)、工具和資源。確保人們改變角色時(shí)，沒有保留不再需要的訪問權(quán)。”

原文標(biāo)題：Microsoft recommends using a separate device for administrative tasks，作者：Catalin Cimpanu

【51CTO譯稿，合作站點(diǎn)轉(zhuǎn)載請注明原文譯者和出處為51CTO.com】