【51CTO.com快译】每个管理员都在和废弃的和未使用的用户帐户作战。我们都知道,如果系统中藏有“过期”的用户帐户,
那么就会给恶意黑客留下更多攻击和藏匿的地方。如果你是个聪明人,那就需要提高警惕,并清除掉它们。陈旧的和未使用的资源就像是饭店的洗手间。当你第一次走进一家餐馆时要先检查一下洗手间。如果洗手间超级干净,可以打赌这家餐馆的管理非常良好,厨房也一定是非常干净的。而如果洗手间一团糟,那就考虑去别的地方吧。谁来管理,管理什么管理员应该建立起策略和程序,以生命周期的模式对电脑的所有对象(用户、组、计算机等)和资源(文件,打印机,应用软件等)封装好。生命周期管理计划应该覆盖的对象和资源包括:*用户帐户*计算机帐户*服务帐户/守护进程(daemon)帐户*工作组*电子邮件地址和对象*打印机*各项应用*磁盘存储*文件夹、共享文件和Web文件夹*IP子网*LDAP/Active Directory对象*组策略对象(如果使用了Active Directory)*
数字证书*稽核/警报计划(Auditing/alerting plan)你所控制的每一项任务,相关的对象还有资源都应包含在生命周期计划内。生命周期计划最低限度也要包括下列活动,:*获得/供应/创建/批准*分配所有权/问责制*更改/修改/重命名/复制/移动/转移*禁用/删除/反供应*变化确认*稽核/提醒/监测(Auditing/alerting/monitoring)*文档记录如果没有适当的生命周期策略和程序,这些对象和资源
往往会随着时间积累,永远不会删除。管理员必须回答谁来创建,谁来批准和谁记录变化这些问题来确保符合生命周期策略。51CTO
编者认为,其实系统本身就为我们提供了许多安全设置功能,巧妙地使用这些功能,我们完全可以赤手空拳地应对网络安全问题,比如利用系统组策略,来保证网络安全运行。怎样管理对象每个对象应该有一个严格定义的过程,包括谁可以请求或者改变这个对象,做出请求和改变的要求是什么,还有谁拥有对象。分配所有权能够在未来查询对象的作用和健康程度。最好把所有权分配给特定的一个人而不是一个团队,以免指手画脚的人太多。当然,这也意味着如果所有人角色变更或者离开了工作环境,所有权也必须要更新。一般来说,对象的添加或更改会对大批电脑与用户的安全性造成影响,因此需要得到相关IT部门的批准。当添加或更改一个项目时,它的结果应得到另一方的确认,或至少由作出更改的一方来确认。所
有的更改应记录进日志。对不能确保安全或可能引起广泛变化的事件应发出警报进行二次审查。51CTO编者建言,这已经是相对比较完善的管理制度了,但在中国很少有中小企业能做到这样管理的,这个问题就目前
来看,还没有看到任何适合中小企业的管理可行制度。比如我目前的客户端是这样安排的,一号IT管理员的工作是删除过期的测试用户帐户。IT管理员发现删除花费的时间比预期长的多——几分钟而不是几秒。如果删除完成后,过期的用户对象都不见了——工作完成。假如一号IT管理员在删除用户帐户时不小心删除了一个完整的巨大的OU(LDAP组织单位),这时本地稽核系统会立即通知二号管理员。有了适当的稽核系统和报警策略,错误会被立即注意到,误删除的对象可以及时恢复。在51CTO编者看来,像OU这样重要的LDAP帐号存储单位一旦误删除,可能会引发所有用户无法登陆服务器的严重后果。
所以备份是非常重要的事情,有需要的朋友可以看下“有备无患详细Linux备份与恢复方法”这篇文章。记录文档和工作流每个对象的生命周期包括所有相关的任务应当记录在案。记录文档应包括谁能够请求一项特定的任务,谁完成这项任务,以及谁核实这项任务正确完成。记录文档应包括谁负责维护和更新文档以使它不会过期。而且这一程序应尽可能自动化完成。许多软件工具都提供了自动化和工作流功能,同时也有更好的安全性和稽核追踪。有些最简单的对象生命周期管理工具使用公司的电子
邮件系统来管理工作流。在51CTO编者看来,网络
高速发展给管理上带来很多难题,比如目前很多IT系统设备或产品都具备日志功能,这些日志也至少要保留6个月,如何对海量日志进行有效保留,并满足企业基于日志的新需求,已成为日志管理方案供应商共同面临的难题。最后,适当的策略和程序应始终包括一些快速的非正式处理方法来应对特殊的紧急事件。比如当CEO的用户对象被意外删除掉并且必须恢复时,相信他不会喜欢等到委员会召开或者自动化工具开始周期处理。这也意味着自动化工具必须考虑这些特殊和紧急事件,能够做出快速反应。制定资源生命周期计划并遵守它,你会有一种把洗手间收拾的焕然一
新的感觉。【51CTO.com译稿,非经授权请勿转载。合作站点转载请注明原文译者和出处为51CTO.com,且不得修改原文内容。】 原文:Do you have a handle on your 'managed' resources? 作者:Roger Grimes
5月20日外电头条:系统管理的“洗手间哲学”
时间: 2024-10-23 18:15:53
5月20日外电头条:系统管理的“洗手间哲学”的相关文章
5月7日外电头条:发自僵尸网络卧底小组的安全报告
[51CTO.com快译]在今年早些时候,加州大学圣巴巴拉分校(UCSB)的研究小组令人吃惊的杀入了互联网的黑暗阵营,他们成功地入侵了一个僵尸网络,并且掌握了大量关键细节,可以帮助IT行业更好的保护自己免受类似威胁.研究人员来自学校的计算机科学系,他们控制了一个Torpig僵尸网络(也称Mebroot或Sinowal)长达一周多的时间,研究僵尸网络如何工作,并且更好的理解了这种威胁的蔓延方式.当然,如果您对僵尸网络还不够了解,可以参考51CTO.com安全频道中专家的详细介绍:什么是僵尸网络.在
4月3日外电头条:赛门铁克3月安全报告称恶意网站增3倍
[51CTO.com快译]网络罪犯们在三月份显然做了些特别的努力!因为在赛门铁克 刚刚发布的MessageLabs网络安全报告中显示,三月份被阻止的恶意网站数量一下子激增为二月份的三倍.最新发布的MessageLabs Intelligence 2009年三月份及第一季度网络安全报告中披露的具体数据是:三月份赛门铁克平均每天要封锁2797个藏匿着恶意软件和其他如间谍和广告软件等有害程序的新恶意网站,这个数字比二月份增加了197.2%.含有恶意链接的电子邮件比例也增加了,达到了去年6月以来的最高水
6月9日外电头条:为什么1000万$的补丁不如100$的策略
[51CTO快译]如今企业安全的决策似乎更多是靠道听途说而不是根据实际数据,靠条件反射而不是严密的逻辑,最近在纽约举行的Cyber Infrastructure Protection '09 (CIP 09) 大会上,ISCA实验室创始人,Verizon Business的Peter Tippett博士在发言中表示了他的不满."企业安全属于信息科学,而我找不到科学的影子,"他说,"只看到大量的工程."航空安全的发展经验表明,依靠科学可以比工程学得到更多的安全性.与五
3月4日外电头条:10大最新安全威胁预测 云计算成新目标
[51CTO.com快译]新技术的不断推出在大幅提升运算能力,方便人们生活的同时,也不可避免的使网络犯罪分子们有了攻击的新武器.在2009年,黑客们将在云计算和社交网络等 众多领域发起新的攻击.以下是我们列出的十大威胁,请随时保持注意:恶意软件进入2.0时代恶意软件将伴随着Web2.0一同进入2.0时代,它们将越来越多的向Web 2.0服务发起攻击,包括最新的云服务.许多公司 刚刚采用了基于云计算的服务, 例如Amazon Web Services和微软Azure,这已成为黑客和垃圾邮件的新目标
2月27日外电头条:网络性能优化的秘诀和误区
[51CTO.com快译]以太网的出现带来了企业网络的普及.现如今,企业网络特性和网络分析工具变得愈来愈 复杂.企业利用互联网传播信息,运营电子商务,在公司网络建设上投入巨大成本,因此,保持网络的正常运行显得极为重要.随着网络使用的增长,出现了大量的网络分析和管理工具.随之而来的是网络管理行业的市场细分,免费的分析软件.企业级网络工具和其他网络工具,都可以在IT经理们的工具箱里找到了自己的位置.然而,如今的企业网络比以往任何时候都更加复杂,网络 数据传输已经出现了 众多方式,包括点对点.VoIP
2008年9月20日举行Open Source Camp 广州 2008 技术交流盛会
Open Source Camp 广州 2008 技术交流盛会 OpenSourceCamp 邀请您于9月20日参加 '分享开源,畅想未来' 广州技术盛会 Open Source Camp 是什么? Open Source Camp 将开源技术爱好者.极客.创业者.学者.风险投资商.有影响力的技术高手,甚至媒体都聚集一起,在紧凑的会义上大家广泛讨论开源文化与技术热点一种活动形式.这样的会议是由整个社区所有人一起参与组织的,为所有这些人准备的.与会者通常自由组队讨论,相互学习并分享.交际,同时享受
《魔兽世界》6.0国服跳票,上线时间调整到11月20日
我们之前曾经报道过<魔兽世界>国服6.0即将在11月18日上线的消息,这一快速而又高效的动作让网易获得不少人气,不过最近官方又打算变卦了.今天上午网易<魔兽世界>官网 刊登了一则 新的官方消息,内容主要是为调整<德拉诺之王>上线日期事宜,具体上线时间将由11月18日调整到11月20日.有部分玩家表示理解网易这一举措,毕竟可能有暴雪的因素横插在里边,不过更多的玩家则对晚开放 两天表示不满和质疑.以下官方公告:自<德拉诺之王>在欧美上线以来,受到广大玩家的热情反
迅雷6月20日提交的招股书增补文件显示当时预计的IPO后持股情况
摘要: 迅雷向SEC提交的常规文件显示的该公司最新股权结构 迅雷6月20日提交的招股书增补文件显示当时预计的IPO后持股情况 北京时间6月26日下午消息,迅雷IPO后向美国证券交易委员会(SEC)提交 迅雷向SEC提交的常规文件显示的该公司最新股权结构 迅雷6月20日提交的招股书增补文件显示当时预计的IPO后持股情况 北京时间6月26日下午消息,迅雷IPO后向美国证券交易委员会(SEC)提交的常规文件显示,小米和金山两家公司在IPO后的持股比例分别为29.3%和11.7%,低于迅雷之前在招股书增
乐居今日宣布将在8月20日发布2014财年第二季度财报
摘要: 查看最新行情 北京时间8月6日下午消息, 乐居 今日宣布,公司将于8月20日美股开盘前(北京时间8月20日晚间)公布截至6月30日的2014年第二季度财报. 此外,公司管理层将于美国东部时间 查看最新行情 北京时间8月6日下午消息, 乐居 今日宣布,公司将于8月20日美股开盘前(北京时间8月20日晚间)公布截至6月30日的2014年第二季度财报. 此外,公司管理层将于美国东部时间8月20日早上7点(北京时间8月20日19点)召开财报电话会议,相关号码如下: 美国/国际:+ 1-631