我们总是在白天打开圣骑士哨兵监控控制台. 我仍然看到大量使用域管理员帐户将RDP连接到服务器和大量日常RDP连接.
将RDP发送到服务器是有正当理由的.
使用域管理员ID有合法的理由.
然而, 该ID继续成为所有事情的“首选”ID的速度以及进入服务器的“快速rdp”的数量令人沮丧.
在网络安全领域,RDP并不意味着“远程桌面协议”。. 安全专家将其重新命名为“勒索软件部署协议”。.
RDP名副其实,因为它是那些想要伤害你的人的“首选”工具. 在我们的环境中,几乎所有的RDP都被关闭了. 我们有RDP和真正的服务器控制台访问MFA由思科Duo保护.
你也应该这么做.
在2022年剩下的时间里,你的目标是看看谁能最多地远离服务器. 尽可能多地从远程工作站或APP客户端管理站使用远程服务器管理工具(RSAT). 委派较低级别的id执行大多数基本的网络管理功能,如密码重置, 账号解锁, DHCP和DNS变更, 等. 在网络中尽可能地关闭RDP. 无论您如何访问任何服务器,都要执行MFA.
除了配股问题和潜在风险,你还有一个记录问题. 日志中的管理员是谁? 很有可能是许多人中的一个.
如果每个人都可以成为管理员,就很难知道谁做了什么.
缺乏明确性让审计人员愁眉苦脸.
你的网络保险公司现在也有同样不开心的面孔.
如果他们还没有, 你的主管, 业务正式, 当你的保险到期续期时,学校董事会也会有同样不开心的表情.
我承认习惯很难改掉.
两三年前,我在福特听说有三个人知道全球范围内真正的域名管理员ID,他们正在讨论是否需要第四个.
如果福特能在三个人知道他身份的情况下跑到全世界, 那么我们当然可以在限制域管理访问方面做得更好.
如果我能在没有RDP和MFA的情况下生活,那么你也可以.
如果您想讨论加强您所在地区的管理员权限,请给我们打电话.
最近的评论