租赁特权原则
Posted: Wed Feb 19, 2025 7:12 am
最少特权的原则是拥有足够的特权来完成您的工作:不多也不少。有几个核心概念可以帮助减轻过度配置的特权。这些概念中有许多是基于身份和访问管理的,它是指谁可以访问什么。 IAM在两个过程中发生:身份验证和授权。首先,用户将使用专用的身份验证权限进行身份验证。然后,一旦经过身份验证,将为授权访问它的用户查询IAM数据。这通常适用于需要访问数据和报告才能完成工作的日常用户。
管理帐户
管理帐户在称为公认风险的组织中具有独特的风险。如果遭到破坏,这些帐户可能会对组织造成特别损害。应该使用额外的策略和控制措施来管理这些帐户。首先是不重叠用户帐户和管理帐户;如果使用此帐户登录您的电子邮件,则它不应具有管理员权限。当管理员帐户用于登录系统时,管理员帐户还应向部门利益相关者配置警报。PIM在Microsoft Entra中提供的一项名为“特权身份管理”的功能允许时间到期和批准范围来激活帐户上的管理特权。
准备进攻
就像任何事情一样,您越能准备缓解措施, 恢复攻击。如今,企业面临的攻击比十年前要复杂得多,它们通过基础架构旋转并在此过程中造成更大的破坏。即使是最好的计划也可能失败,但未经测试的计划可能会失败。
要了解有关准备网络攻击的更多信息,请查看“网络战场:准备,参与网络 荷兰电话号码列表 攻击并取得胜利的战术指南”
监控的重要性
早期发现 快速响应是确保数据受到保护并减轻损坏的关键。当存在需要纠正的问题时,监视和提醒行动团队很重要。同样重要的是,不要向这些团队发送垃圾邮件,使他们感到机敏疲劳。
对基于优先级的问题采取分层方法可以帮助确保团队在适当的SLA中行动。对于信息警报,面向利益相关者的仪表板可帮助每个人保持最新状态,但不会受到垃圾邮件的干扰。可能不需要立即关注但需要解决的问题应发送到票务系统,所有利益相关者都可以从中工作。当某些事情很关键并且有可能立即导致系统崩溃时,应在警报中发送出去。这些警报取决于严重性,可能包括电子邮件,SMS和自动电话。
Break Glass帐户
在违规期间,可能会从最终用户中取出帐户并将其锁定。当管理员帐户发生这种情况时,它可能无法让您回到环境中。这就是“喙玻璃帐户”发挥作用的地方。该帐户在系统中具有较高的权限,但是除非主帐户出现问题,否则永远不会登录。为了帮助保护该帐户,如果曾经使用此帐户,则可以向多个利益相关者设置警报。此外,该帐户可能会被排除在条件访问策略之外,因此不会被锁定。
管理帐户
管理帐户在称为公认风险的组织中具有独特的风险。如果遭到破坏,这些帐户可能会对组织造成特别损害。应该使用额外的策略和控制措施来管理这些帐户。首先是不重叠用户帐户和管理帐户;如果使用此帐户登录您的电子邮件,则它不应具有管理员权限。当管理员帐户用于登录系统时,管理员帐户还应向部门利益相关者配置警报。PIM在Microsoft Entra中提供的一项名为“特权身份管理”的功能允许时间到期和批准范围来激活帐户上的管理特权。
准备进攻
就像任何事情一样,您越能准备缓解措施, 恢复攻击。如今,企业面临的攻击比十年前要复杂得多,它们通过基础架构旋转并在此过程中造成更大的破坏。即使是最好的计划也可能失败,但未经测试的计划可能会失败。
要了解有关准备网络攻击的更多信息,请查看“网络战场:准备,参与网络 荷兰电话号码列表 攻击并取得胜利的战术指南”
监控的重要性
早期发现 快速响应是确保数据受到保护并减轻损坏的关键。当存在需要纠正的问题时,监视和提醒行动团队很重要。同样重要的是,不要向这些团队发送垃圾邮件,使他们感到机敏疲劳。
对基于优先级的问题采取分层方法可以帮助确保团队在适当的SLA中行动。对于信息警报,面向利益相关者的仪表板可帮助每个人保持最新状态,但不会受到垃圾邮件的干扰。可能不需要立即关注但需要解决的问题应发送到票务系统,所有利益相关者都可以从中工作。当某些事情很关键并且有可能立即导致系统崩溃时,应在警报中发送出去。这些警报取决于严重性,可能包括电子邮件,SMS和自动电话。
Break Glass帐户
在违规期间,可能会从最终用户中取出帐户并将其锁定。当管理员帐户发生这种情况时,它可能无法让您回到环境中。这就是“喙玻璃帐户”发挥作用的地方。该帐户在系统中具有较高的权限,但是除非主帐户出现问题,否则永远不会登录。为了帮助保护该帐户,如果曾经使用此帐户,则可以向多个利益相关者设置警报。此外,该帐户可能会被排除在条件访问策略之外,因此不会被锁定。