Haben Sie über die Möglichkeit nachgedacht, dass Benutzer mit Administratorrechte sollte kontrolliert werden? Nun, es ist keine Möglichkeit, sondern eine Tatsache. So wie wir "normale" Benutzer überwachen müssen, müssen wir auch Administratoren überwachen. Sie verfügen über mehrere Berechtigungen, einschließlich Zugriff und Bearbeitung von Datensätzen, die im Allgemeinen vertrauliche Informationen enthalten. Dieser Leitfaden zeigt Ihnen die Best Practices, damit Sie diese Superuser vollständig sichtbar machen und sich vor potenziellen Insider-Angriffen schützen können.
Benutzer mit Administratorrechten haben Strom. Sie haben vollen Zugriff auf alle Netzwerkressourcen und Unterstützung bei der Lösung mehrerer Netzwerkprobleme. Leider wird dieses Benutzerprofil von vielen Personen innerhalb einer Organisation nicht gut angenommen. Es gibt sogar gewisse Vorurteile gegenüber Menschen, die im IT-Bereich im Allgemeinen arbeiten.
Es ist normal zu hören oder zu lesen, dass sie Mitarbeiter ausspionieren, die zu jedem Zeitpunkt Viren auf ihren Computern installieren oder schlimmer noch, denken, dass Probleme, die im Netzwerk auftreten können, auftreten, weil sie dies beabsichtigen. Wie viel Misstrauen kann es gegenüber denen geben, die in der IT arbeiten, einschließlich denen, die über Administratorrechte verfügen? Es ist nicht unmöglich.
Heute werden wir in diesem Artikel einige Aktionen vorschlagen, um eine bessere Kontrolle über die Benutzer mit Administratorrechten zu erhalten. Das Hauptziel dabei ist, dass sie in den Händen derer sind, die es wirklich brauchen. Dies wird auch dazu beitragen, die Reputation dieser Benutzertypen im Allgemeinen zu verbessern. Als nächstes werden wir die wichtigsten hervorheben.
Multi-Faktor-Authentifizierung
Diese Authentifizierungsmethode ist der Schlüssel für Benutzer, um mit den benötigten Ressourcen und Berechtigungen auf das Netzwerk zuzugreifen. Ebenso ist es ein Verbündeter, wenn die Verwaltung von Zugriffsressourcen und -privilegien den internen, lokalen, nationalen und internationalen Vorschriften entspricht. Wir sollten den rechtlichen Aspekt niemals vernachlässigen.
Administratorkonten wie Office 365-Dienste erfordern keine zusätzlichen Lizenzen oder Berechtigungen. In einem kleinen Netzwerk ist daher normalerweise nicht die Existenz eines einzelnen Administratorbenutzers erforderlich. Die Administratorrollen können jedoch mehreren Benutzern zugewiesen werden, dh allen Benutzern, die dieser kleinen Organisation entsprechen. Insgesamt kann eine weitere Sicherheitsstufe mithilfe von Multi-Faktor-Authentifizierungsdiensten wie dem hinzugefügt werden Microsoft or Google Authentifikator.
Wenn Sie es noch nicht wissen und den Google-Authentifikator ausprobieren möchten, können Sie auf die folgende Verknüpfung zugreifen und es so schnell wie möglich ausprobieren:
Wenn die Sicherheits- und Compliance-Anforderungen dies erfordern, können Sie einen einzelnen Administrator verwenden. Für einen besseren Schutz kann diese Authentifizierungsmethode wiederum implementiert werden, um den Zugriff des Administrators nicht nur auf einem, sondern auf mehreren Geräten zu gewährleisten.
Multi-Faktor-Authentifizierung bei Microsoft
Wenn das von Ihnen verwaltete Netzwerk von Microsoft-Anwendungen und -Diensten verwaltet wird, sollten Sie wissen, dass die Verwendung der Multi-Faktor-Authentifizierung für alle Konten, die von den Organisationen stammen, die es sind, bereits obligatorisch ist . Dies ist ohne Zweifel ein Punkt, den Sie bei der Einstellung der Dienste eines Unternehmens konsultieren sollten, das sich als Microsoft-Partner herausstellt.
Zum anderen werden die Sicherheitseinstellungen verschiedener Rollen in Benutzerkonten in Azure Active Directory wurden aktualisiert und das Neue ist, dass sie diese Authentifizierungsmethode verwenden müssen. Dies gilt jedoch für die folgenden Administratorrollen:
- Global
- SharePoint
- Austausch
- Bedingter Zugriff
- Der Sicherheit
- HelpDesk
- Rechnungsstellung
- Von Benutzern
- Authentifizierung
Daher sind Erbe- Typauthentifizierungen wurden blockiert. Dies sind diejenigen, die von Clients stammen, die keine moderne Authentifizierungsmethode verwenden, z. B. Office 2010-Clients für die Rückwärtsbewegung. Es handelt sich auch um Clients, die alte Protokolle für die Kommunikation verwenden, z E-Mail (SMTP, POP3 und IMAP).
Obwohl diese Legacy-Authentifizierungen zusätzlich mit der Multi-Faktor-Authentifizierung ausgestattet sind, sind diese „veralteten“ Clients leider anfällig für Angriffe. Ab dem Moment, in dem es dem Cyberkriminellen gelingt, gegen eines der alten Protokolle oder Legacy-Anwendungen zu verstoßen, ist das Hinzufügen des Multi-Faktors nicht mehr sinnvoll. Es ist, als hätte es von Anfang an nicht existiert.
Minimieren Sie das Risiko der gemeinsamen Nutzung des Zugriffs
Jeder Zugriff mit Administratorberechtigungen oder globalen Administratorberechtigungen muss genau überwacht werden. Daher müssen sein Umfang und seine Fähigkeiten genau dem ursprünglich definierten Umfang entsprechen. Ein bestimmter Administrator sollte jedoch keine übertriebenen Einschränkungen in Bezug auf die Ressourcen haben, die er verbrauchen kann. Zusätzlich zu den Informationen und Prozessen, auf die Sie zugreifen können.
Eine gute Vorgehensweise für Administratorbenutzer ist die Verwendung von Privilegierte Zugriffsarbeitsstationen . Sie bieten ein Betriebssystem für die Ausführung von Aufgaben mit hoher Empfindlichkeit. Folglich bietet es ein hohes Maß an Schutz vor Cyberangriffen aus dem Internet und Sicherheitsbedrohungen im Allgemeinen. Der Vorteil dieser Art von Workstation besteht darin, dass hochkritische und sensible Aufgaben effizient von herkömmlichen Geräten getrennt werden können.
Auf der anderen Seite wird dringend empfohlen, die Anzahl der Benutzer mit Administratorrechten zu begrenzen. Die empfohlene Mengengrenze ist 5-Konten , abhängig von der Größe und den Anforderungen des Netzwerks. Daher die Möglichkeit, Konten mit zu erstellen Subadministrator-Berechtigungen kann berücksichtigt werden, die nach Schlüsselbereichen in der Organisation verteilt werden können. Auf diese Weise kann jeder Unteradministrator nur dann die vollständige Kontrolle darüber haben, was seinem Bereich entspricht.
Richten Sie Notfallkonten ein
Eine weitere empfohlene Maßnahme ist die Erstellung von Notfallkonten für den Fall, dass Azure DIENSTLEISTUNGEN (Azure Active Directory) und / oder Office 365 werden verwendet . Für diese Konten muss keine Multi-Faktor-Authentifizierung konfiguriert sein. Wenn mit den "offiziellen" Konten, die über diese Authentifizierungsmethode verfügen, etwas passiert, können Sie über dieses Notfallkonto wieder auf diese Dienste zugreifen.
Auf der anderen Seite können Sie ein Administratorkonto erstellen, das keine Multi-Faktor-Authentifizierung hat und das auch von jeder Richtlinie ausgeschlossen ist. Das von Ihnen konfigurierte Passwort muss ziemlich lang sein. Um zu überwachen und zu sehen, ob dieses Konto verwendet wurde, teilen wir über diesen Link ein hervorragendes Tutorial mit YouTube Das wird Schritt für Schritt zeigen, wie Sie es tun sollten.
Das Video, das wir geteilt haben, ist auf Englisch, aber wir haben es vollständig gesehen und es ist möglich, die automatische Übersetzung der Untertitel ins Spanische zu wählen, wenn Sie es brauchen. Ebenso ist diese Schritt-für-Schritt-Anleitung ziemlich einfach und die Hauptvoraussetzung ist, dass Sie eine haben Azure Active Directory Premium-Konto . Wenn Sie es nicht haben, können Sie 30 Tage lang auf eine kostenlose Testversion zugreifen. Auf diese Weise können Sie die Überwachung von Notfallkonten testen.
