为了“易于使用”,我们花了20年时间将各种服务器和进程连接到Active Directory。. 遗憾的是,现在的易用性也意味着“易于破解”。. 因此, 我们必须对集成何时真正有用(例如LDAP)更加挑剔。, vs. 当它只是一个很好的功能,但有很多下行风险时. 如果你还没有这样做的话, 是时候把你的人际网络中的一些重要部分拆开了. 以下是一些开始:
- 断开VCenter与Active Directory的连接. 在俄罗斯政府在乌克兰发动的NotPetya袭击中, 这家公司的整个VMware基础设施都被摧毁了. 完成虚拟机和ESX主机的删除! 关闭这种攻击向量的最简单的方法是断开VCenter和Active Directory的连接. 为那些被授权访问VCenter的少数人设置单独的凭证. 设置访问规则,限制对VCenter和ESX主机控制台的访问请求的来源.
- 保护您的远程访问卡. 你的戴尔德拉克, 惠普国际劳工组织, 和思科CMIC卡是您的服务器和ESX主机的真正控制台的奇妙后门. 然而,这意味着BIOS访问,OS重新加载,并可能绕过MFA RDP限制. 更改所有Dell DRAC、惠普国际劳工组织和Cisco CMIC卡上的密码. 设置访问规则,限制远程访问卡可以从哪里访问.
- 断开备份服务器与活动目录的连接. 还要断开备份存储与活动目录之间的连接. 确保AD凭据在备份服务器和备份存储上不起作用. 创建访问规则来限制远程访问请求来自您的网络.
- 创建访问规则,以限制RDP访问仅从批准, 服务器或关键工作站的安全位置. 你知道谁会RDP. 你知道他们坐在哪里. 将你已经做的事情正式化.
还有很多事要谈, 但如果你能看完这张单子, 你的处境比大多数同龄人要好得多. 要重新配置所有这些项,必须做大量工作.
给我们打电话. 我们很高兴能和你一起解决这个问题.
最近的评论