信任管理员和外部顾问是安全过程的关键部分。但是管理员值得信任吗?这就是问题所在。最近,托管服务提供商(MSP)的员工出售了对客户群的访问权。几年前,Microsoft安全策略师SteveRiley在公司安全会议上询问与会者是否信任管理员。令人惊讶的是,房间里的大多数人都表示他们不信任管理员。正如赖利当时所说:“如果我们不能信任我们雇用来构建和管理任务关键型网络的人员,因为这是成功企业的基础,那么我们还不如重新发明轮子,重新开始。”相信一些建议。1.利用端到端的流程来管理和监控信托管理员会带来风险,但可以通过面试、调查、雇用、监控和解雇具有管理员角色的员工或顾问的过程来最大限度地降低这种风险。查看企业管理员的教育和经验。对每位员工或顾问进行背景调查,并让他们签署保密协议。确保遵守并理解行业制定的所有相关规定。2.不要忘记具有管理员权限的第三方软件另外,还需要监控另一个管理角色:具有服务帐户权限的第三方软件。在Office365部署中设置第三方软件时,您应该查看软件请求的权限并确保软件将信息存储在规定的位置。例如,云备份过程可能需要具有特定权限的服务帐户来备份或监控企业的云资产。然后您需要为条件访问规则设置排除项以正确设置帐户。3.部署、管理和监控多因素身份验证对于所有这些角色,管理和审核访问权限的能力是关键,确保只有正确的用户和管理员才被允许访问网络并遵守政策。在企业中实施多因素身份验证(MFA)时,管理和监控MFA使用状态也很重要。在外包网络管理的小型企业中,一个管理顾问通常有多个员工来处理多个客户访问。Office365管理员帐户不需要额外的权限。在小型企业网络中,通常不需要分离管理职责,可以将全局管理员权限分配给多个员工。此外,可以在多个电话设备上安装带有MicrosoftAuthenticator或GoogleAuthenticator的MFA。因此,如果客户只想拥有一名全局管理员,则可以使用MFA来保护多台设备上的访问。一些顾问可能会说他们无法实施MFA,因为他们无法在员工之间共享凭据。他们无法为分配职责提出可行的解决方案,这意味着他们的客户将面临不必要的风险。虽然共享凭据不是理想情况,但这不应该成为不采用MFA的理由。事实上,Microsoft要求所有合作伙伴帐户都使用MFA。此外,Microsoft已更改安全默认设置以在以下角色中启用MFA:全局管理员、SharePoint管理员、Exchange管理员、条件访问管理员、安全管理员、操作管理员或密码管理员、计费管理员、用户管理员和身份验证管理员。4.将共享访问的风险降到最低尽管共享访问对小型企业的风险较小,但对大型企业来说并不是一个好的解决方案。应密切监控管理权限,尤其是全局管理权限,并限制其范围。但是,这种访问不应仅限于业务流程。要求管理员提交访问文件并不意味着对访问进行适当的限制,而且往往会导致更多问题。相反,设置一个管理员进程。首先,确保他们只能从正确的位置登录,并使用正常网站的适当权限登录。然后,谨慎使用全局管理员帐户。正如微软所说,在租户中最多设置五个全局管理员帐户。然后确定是否可以设置子管理员帐户访问特定区域。此类用户可以设置或重置非密码凭据,并可以更新所有用户的密码。5.创建一个紧急帐户当然,请设置一个紧急帐户来访问Azure或Office365,而无需启用MFA。确保您可以在Microsoft的双因素过程中出现意外情况后进行重置。设置一个没有MFA、不包含在策略中和一个很长的密码的管理帐户。完成后,设置监控功能,跟踪账号使用情况,有情况提醒。最重要的是,企业领导者不仅应该信任管理员,还应该信任他们登录门户的安全性,相信他们只能在启用MFA的情况下登录。
