每周科技花絮-婴儿步骤更好的安全

2018年5月18日,
每周科技花絮-婴儿步骤更好的安全

在过去的一年中,我们已经讨论了大量的安全问题.  你们中的许多人已经开始着手解决我们的许多建议.   然而, 你们中的一些人在思考如何吸收一些新的安全og体育的新成本方面已经瘫痪了,你们的地区现在绝对需要保持当前的标准.  挑战是艰巨的.

夏天即将来临.  现在是行动的时候了.

我们知道夏季是许多主要的og体育和配置变化实际发生在你们地区的地方.   我想列出一些你可以承担的项目,从免费到低成本,试图让你至少在不断改善你的安全姿态中前进.  这些清单绝不是完整的,我知道你们中的许多人已经完成了清单上的许多项目.  我很高兴能更精确地讨论一下你的个人情况.

免费的

  • 实现Microsoft本地管理员密码服务(LAPS).  这允许您更改域中所有计算机的本地管理员密码.
  • 执行密码粒度策略.  这允许您拥有不同的密码复杂度和更改要求幼儿园和. 工资的职员.
  • 确保从所有可以删除的工作站中删除本地管理员权限.
  • 确保所有工作站的窗户防火墙都打开了..
  • 审计管理员, 域管理员, 和“企业管理员”成员资格,并删除所有不必要的域管理员权限.  记住福特汽车公司在全世界只有3个域名管理员.  你需要你看到的一切吗?
  • 修改所有域管理员密码.  请记住,在这些id与服务交互时,这需要以受控的方式完成.  这是一个很棒的夏季项目.  今后,尽可能使用服务帐户.
  • 将你的网络分割开来,不要让所有的东西都被所有人看到.   记住您的堡垒(服务器)、og体育人员vlan和管理人员vlan (i.e. 任何带有金钱或个人身份信息的东西).
  • 确保你对你的反病毒/反恶意软件有一个控制,它是集中管理的,当前和积极的扫描-整个网络.
  • 实现窗户 Server Update Services (WSUS)来进行窗户更新
  • 确保要塞(行政人员, 科技工作人员, 服务器)有最高级别的安全补丁,  确保这些补丁水平每周都保持一致.  确保你能够维持这些补丁水平.
  • 在区域范围内实现Cisco Umbrella的免费版本.
  • 为所有og体育人员在office365和谷歌应用程序中开启多因素认证, 老师, 和管理人员.
  • 阻止og体育人员在整个地区作为域管理员签约做基本的工作.  利用委派和本地管理权限来完成工作.
  • 停止og体育人员通过RDPing进入服务器进行工作,并利用RSAT工具, 一个管理服务器, 和其他工具,如微软管理中心,以完成需要完成的合法工作.

有限的成本:

  • 使用Ninite或Ninite Pro之类的产品,几乎可以毫不费力地维护Java等应用程序的补丁, 闪光, Adobe, 火狐, 等.  保持og体育和管理人员的补丁级别.
  • 开始试点思科AMP.  把它放到所有的科技机器上.  把它放在所有的取款机上.  把它放到所有学生服务机器上.  把它放到管理机器上.  弄清楚其中有多少是你能负担得起的,然后开始做吧.

我还有很多要说的和建议, 但如果你对我说,我们已经在限制用户的特权访问方面取得了很大的进展, 有限的服务器访问, 更好地分割我们的网络, 我们对我们的杀毒软件很有信心, 而且我知道你有一个坚如磐石的og体育修复方案, 行政, 和员工工作站,包括应用程序和操作系统安全更新, 我会是一个快乐的人.   如果你补充说你有思科AMP为这些相同的用户打中场, 我会说你度过了一个出色的夏天.

我很乐意谈论你的个人情况,并制定出适合你的计划.

新闻官斯科特Quimby