有人来做。为此,公司决定来销售经理助理暂时代替销售经理的角色,来负责管理销售部门的相关业务。此时,网络安全管理人员就必须要给这个销售经理助理一些额外的权限,让其能够访问销售经理角色下所有可以访问的权限。为此,网络安全管理人员往往会把销售经理助理的用户加入到销售经理的角色中,让其继承销售经理的相关权限。当销售经理回来后,按照理论上来说,必须重新调整销售经理助理的权限,去掉其不应该有的文件访问权限。但是,往往网络管理员一疏忽,或者没有人通知网络安全管理人员销售经理已经复职。故网络安全人员在不知情的情况下,就没有对销售经理助理的权限进行重新调整。此时,销售经理助理的权限就不适合了。其过大的网络访问权限会给企业网络与信息安全留下安全隐患。 故网络安全管理人员要根据相关的网络资源访问权限,对相关帐户进行安全审计。看看其是否有一些越权的权限。若有的话,要及时进行调整。笔者在实际工作中,每三个月会对账户进行安全审计一次。尽量减少越权用户的存在。 三、适当关注被锁定的帐户与密码为空的帐户
我们网络安全管理人员为了域帐户的安全,往往会为其设置锁定策略。当用户连续输入密码三次都错误的话,则这个用户名会自动被锁住。被锁住的用户名要重新使用的话,有两种方法。一是有我们安全管理人员重新激活这个账户;二是让系统在一段时间后,如一个小时后让这个用户名自动激活。无论采用哪种方式,为了这些帐户的安全,定期对这些帐户进行监控,并且查找相关的原因,可以提高企业网络的安全性。
因为账户被锁主要是应为用户连续输入错误密码所导致的。频繁的发生用户账户锁定,通常情况下只有两种原因。一是用户确实忘记了密码;二是企业网络中有非法用户企图通过密码探测对文件进行未经授权的访问,由于密码探测不成功而导致用户名被频繁锁定。这些锁定信息将会被记录到Windows事件日志中。若网络安全管理人员能够及时关注这些信息,对这些账户进行安全审计,或许就可以发现那些可疑的攻击人员。
另外,虽然我们网络安全管理人员给用户都设置了初始化密码。但是一些没有网络安全意识的员工,往往会在重置密码的时候,把密码清空,以方便他们下次的输入。他们认为在登陆的时候,输入密码是一件非常麻烦的事情。很明显,这些密码为空的账户的存在是企业网络安全中的一个巨大隐患。为此,在网络安全审计中,网络安全管理人员要关注,企业中是否存在着比较多的密码为空的账户,特别是要注意这些账户中是否有比较高的权限。同时,为了避免这种情况,网络安全人员最好能够建立一个防止用户使用空密码的安全策略。如在域控制器中的域用户与组中,选择用户密码不能为空复选框。如此的话,当用户密码为空的时候,将提示错误信息,密码重置将不会被保存。 四、管理员权限账户不宜过多在实际工作中,有时候为了管理的方便,我们往往会给某些用户管理员的权限。如有个员工需要安装一个Flashget软件,但是其现在的权限是没有权利在系统中安全应用软件的。但是,那时候我们又走不开。而我们也知道,这个员工还是有一定的计算机知识的,装一个应用软件没有问题。为此,我们就可能会把管理员的角色赋予给他。本来我们的想法是,等到他应用软件安装完成后,再把权限收回来。可是,在百忙之中,我们往往会忘记这件事情。长久下去,企业中这些管理员账户就会越来越多,从而给网络安全带来巨大的安全隐患。
为此,无论是普通的工作站,又或者是服务器,大多数的系统管理任务都需要有管理员权限才能够执行。也就是说,具有管理员权限的用户可以访问全部的网络资源。如安装或者删除应用程序、更改网络配置等等;当然还有更改网络访问权限等等。
另外,在Windows的域环境中,有域管理员与本地管理员之分。为了管理方便,在管理员帐户安全审计过程中,最好让域管理员帐户有本地管理员帐户的权限。只有如此,域管理员才能够通过远程管理的方式,对工作站进行软件维护、系统更新等操作。
9 7 3 1 2 4 8 :
本文来源:不详 作者:佚名