Microsoftrecommendsuseseparatedevicesforadministrativetasks一些有见地的建议。文章的核心是Microsoft关于公司应如何处理管理员帐户的建议。根据Microsoft安全团队的说法,具有管理访问权限的员工应该使用专用于管理事务的单独设备。微软表示,该设备应始终与所有软件和操作系统补丁保持同步。微软安全团队还建议:“默认情况下,管理帐户被授予零权限。管理帐户需要请求即时(JIT)权限,以便在有限的时间内允许访问并登录系统。”此外,操作系统开发商供应商还建议管理员帐户应创建在单独的用户命名空间/林中,不能访问Internet,与员工通常的工作身份分开。这样,即使公司的命名空间/林遭到破坏,攻击者也无法轻易获得对管理员帐户的访问权限,因为具有管理员权限的员工不会使用该帐户执行日常任务。微软表示,公司还应该防止远程执行管理任务。拥有管理帐户的员工应避免远程登录具有管理员访问权限的设备来执行任何管理任务,因为攻击者可能会在受感染的设备上记录这些事件。正确的做法是让管理员尽可能使用单独的设备来执行任何管理任务。远离密码,但Microsoft安全团队还分享了其他安全建议。微软一直在内部使用并开始在其产品中推广的一项建议是从密码切换到其他身份验证系统。微软安全团队表示:“当微软最初考虑为我们的员工使用多因素身份验证(MFA)时,我们向每位员工发放了智能卡。这是一种非常安全的身份验证方式,但对于员工来说却很麻烦。””“员工找到了变通办法,例如将工作电子邮件转发到个人帐户,这降低了我们的安全性。最终我们意识到放弃密码是一个更好的解决方案。”从那时起,作为一家公司,微软一直专注于提供提供密码替代方案的产品,例如WindowsHello和WebAuthn,这两种技术让用户使用生物识别技术验证他们的身份。此外,微软还在考虑让密码更容易上个月,操作系统开发人员开始讨论在其Windows10安全配置基线设置中实施“过期密码策略”。这一决定的动机是,强迫员工更改密码已被证明会促使员工使用更容易记住的较弱密码,而不是确保员工使用攻击者更难破解的强密码。为帮助公司迁移到密码作用较小的生态系统,Microsoft建议公司:实施MFA–遵守FastIdentityOnline(FIDO)2.0标准,以便您可以要求PIN和生物识别技术来验证身份,而不是使用密码.WindowsHello是一个很好的例子,但请选择适合您公司的MFA方法。减少老式的身份验证工作流程——将需要密码的应用程序放入单独的用户访问门户,并在大多数情况下将用户切换到现代身份验证流程。在微软,只有10%的用户每天输入密码。删除密码——确保ActiveDirectory和AzureActiveDirectory(AzureAD)之间的一致性,使管理员能够从身份目录中删除密码。更好的身份管理微软表示,公司可以采取的“最被低估的身份管理步骤”是围绕角色而不是用户名设计基本的用户管理计划。Microsoft安全团队认为,公司应该为组织使用基于角色的访问计划,将用户转移到多个角色,而不是每次用户在组织内的任务发生变化时都为每个用户帐户分配权限。“找出每个角色完成工作所需的系统、工具和资源。确保当人们改变角色时,他们不会保留他们不再需要的访问权限,”微软说。标题:Microsoftrecommendsuseaseparatedeviceforadministrativetasks,作者:CatalinCimpanu【翻译稿件,合作网站转载请注明原译者及出处.com】
