每周科技资讯-解散乐队. 是时候更好地划分关键网络功能了

2020年4月14日,
每周科技资讯-解散乐队.  是时候更好地划分关键网络功能了

为了“易于使用”,我们花了20年时间将各种服务器和进程连接到Active Directory。.   遗憾的是,现在的易用性也意味着“易于破解”。.  因此, 我们必须对集成何时真正有用(例如LDAP)更加挑剔。, vs. 当它只是一个很好的功能,但有很多下行风险时.  如果你还没有这样做的话, 是时候把你的人际网络中的一些重要部分拆开了.  以下是一些开始:

  • 断开VCenter与Active Directory的连接. 在俄罗斯政府在乌克兰发动的NotPetya袭击中, 这家公司的整个VMware基础设施都被摧毁了.  完成虚拟机和ESX主机的删除!   关闭这种攻击向量的最简单的方法是断开VCenter和Active Directory的连接.  为那些被授权访问VCenter的少数人设置单独的凭证.   设置访问规则,限制对VCenter和ESX主机控制台的访问请求的来源.
  • 保护您的远程访问卡.  你的戴尔德拉克, 惠普国际劳工组织, 和思科CMIC卡是您的服务器和ESX主机的真正控制台的奇妙后门.   然而,这意味着BIOS访问,OS重新加载,并可能绕过MFA RDP限制.  更改所有Dell DRAC、惠普国际劳工组织和Cisco CMIC卡上的密码.   设置访问规则,限制远程访问卡可以从哪里访问.
  • 断开备份服务器与活动目录的连接.  还要断开备份存储与活动目录之间的连接.   确保AD凭据在备份服务器和备份存储上不起作用.   创建访问规则来限制远程访问请求来自您的网络.
  • 创建访问规则,以限制RDP访问仅从批准, 服务器或关键工作站的安全位置.  你知道谁会RDP.  你知道他们坐在哪里.  将你已经做的事情正式化.

还有很多事要谈, 但如果你能看完这张单子, 你的处境比大多数同龄人要好得多.   要重新配置所有这些项,必须做大量工作.

给我们打电话.  我们很高兴能和你一起解决这个问题.