信任管理員和外部顧問是安全過程的關(guān)鍵部分。但是管理員值得信任嗎?這是一個問題。最近，一個托管服務(wù)提供商(MSP)的員工出售了對客戶群的訪問權(quán)限。幾年前，微軟安全策略師Steve Riley在公司安全會議上詢問與會人員是否信任管理員。令人驚訝的是，會議室中的大多數(shù)人表示他們并不信任管理員。

正如Riley當(dāng)時所說：“如果我們不能信任我們雇用的人員來建立和管理關(guān)鍵任務(wù)網(wǎng)絡(luò)，因為這是成功業(yè)務(wù)的基礎(chǔ)，那么我們不妨推翻一切重頭再來。”

以下是個人對建立內(nèi)部和外部管理員信任的一些建議。

[[317762]]

一、利用端到端的流程來管理和監(jiān)視

信任管理員就需要承擔(dān)風(fēng)險，但是經(jīng)歷面試、調(diào)查、雇用、監(jiān)控和終止具有管理員角色的員工或顧問的流程，可以將這種風(fēng)險降到最低。

查看企業(yè)管理員的教育程度和經(jīng)驗。對每位雇員或顧問進(jìn)行背景調(diào)查，并讓他們簽署保密協(xié)議。確保都遵守并了解行業(yè)制定的所以相關(guān)的法規(guī)。

二、不要忘記具有管理員權(quán)限的第三方軟件

此外，還需要監(jiān)視另一個管理角色：具有服務(wù)賬號權(quán)限的第三方軟件。在Office 365部署中設(shè)置第三方軟件時，應(yīng)查看該軟件請求哪些權(quán)限，并確保該軟件將信息存儲在與任務(wù)授權(quán)相符的位置。

例如，云備份過程可能需要具有特定權(quán)限的服務(wù)賬號才能備份或監(jiān)視企業(yè)的云資產(chǎn)。那么這時則需要為條件訪問規(guī)則設(shè)置排除項，以正確設(shè)置賬號。

三、部署、管理和監(jiān)視多因素身份驗證

對于所有這些角色，管理和審核訪問權(quán)限的能力是關(guān)鍵，確保網(wǎng)絡(luò)只允許合適的用戶和管理員訪問并遵守相關(guān)策略。當(dāng)在企業(yè)中應(yīng)用多因素身份驗證(MFA)時，管理和監(jiān)視MFA使用的情況也很關(guān)鍵。

在外包網(wǎng)絡(luò)管理的小型企業(yè)中，一個管理顧問通常有多個員工來處理多個客戶的訪問。Office 365的管理員賬號不需要額外的許可。在小型企業(yè)網(wǎng)絡(luò)中，通常無需分開管理職責(zé)，并且可以將全局管理員權(quán)限分配給多個員工。此外，帶有Microsoft Authenticator或Google Authenticator的MFA可以安裝在多個電話設(shè)備上。因此，如果客戶希望只有一個全局管理員，且可以使用MFA在多個設(shè)備上保護(hù)訪問權(quán)限。

一些顧問可能會說他們無法實施MFA，因為他們不能在員工之間共享憑據(jù)。他們無法提出可行的職責(zé)分配解決方案，這意味著他們的客戶將面臨不必要的風(fēng)險。雖然共享憑據(jù)不是理想的情況，但這不應(yīng)該是不采用MFA的理由。

實際上，Microsoft要求所有合作伙伴賬號都必須使用MFA。此外，Microsoft更改了安全默認(rèn)設(shè)置，在以下角色中授權(quán)MFA：全局管理員、SharePoint管理員、Exchange管理員、條件訪問管理員、安全管理員、運維管理員或密碼管理員、計費管理員、用戶管理員和身份驗證管理員。

[[317763]]

四、共享訪問風(fēng)險最小化

雖然共享訪問權(quán)限對于小型企業(yè)而言風(fēng)險較小，但對于大型企業(yè)而言并不是一個好的解決方案。應(yīng)密切監(jiān)視管理權(quán)限，尤其是全局管理權(quán)限，并限制其范圍。然而，這種訪問不應(yīng)僅限于業(yè)務(wù)流程。要求管理員提交訪問文件，這不意味著是對訪問的適當(dāng)限制，而且通常會導(dǎo)致更多問題。相反，要設(shè)置管理員流程。首先，確保它們只能從適當(dāng)?shù)奈恢貌⑹褂眠m當(dāng)?shù)奶貦?quán)進(jìn)行工作網(wǎng)站登錄。

然后，謹(jǐn)慎使用全局管理員賬號。如Microsoft所述，在租戶中最多設(shè)置五個全局管理員賬號。再確定是否可以設(shè)定訪問特定區(qū)域的子管理員賬號。這類用戶可以設(shè)置或重置非密碼憑據(jù)，并可以更新所有用戶的密碼。

五、建立緊急賬戶

當(dāng)然，請設(shè)置緊急賬號，用來訪問未啟用MFA的Azure或Office 365。確保在遇到Microsoft的兩因素流程中的一些意外情況之后可以重置。設(shè)置一個沒有MFA、不包含在策略中且密碼非常長的管理賬號。完成后，設(shè)置監(jiān)視功能，跟蹤該賬號的使用情況，一旦有任何情況就能夠得到提醒。

最重要的是，企業(yè)負(fù)責(zé)人不僅應(yīng)該信任管理員，還應(yīng)該相信他們的登錄入口的安全性，相信他們只能在啟用MFA的情況下登錄。