确保管理员、服务和应用程序帐户专用于工作站、服务器或域控制器。

如果可能,请为这三个类别提供特定类别的管理工作站。至少要有“管理工作站”的概念。

确保删除了这些策略中的某些默认条目。

确保管理员一次都不具有对所有工作站或所有服务器的管理员访问权限。不要让你的组织机构对任何一个帐户开放。将权限分成较小的组,按需开放。

限制对应用程序级别组的访问。不能有“ALL DATACENTRE X”类型组或“ALL SQL SERVER”类型组。

限制服务 / 应用程序帐户。拒绝它们交互式登录。禁止它们进入本地管理员组。使用你的报告系统捕获那些本地管理员组更改事件。

通过策略强制本地管理员组。如果你不这样做,并且没有设置规则,你将面临巨大风险。

使用 LAPS !你的环境中不需要过时的本地管理员密码,LAPS 可以为你料理这些事情。而且,你能轻松控制谁可以访问这些密码。人们使用管理员账户登录时应该有记录,不应该是匿名的。

不要同步你最重要的帐户。域管理员没有业务登录到 Azure。控制你的“爆炸区域”。

高特权的组要尽量精简。在 Domain 或 Global Admin 级别组中,你只需要少数几个帐户。对于那些 Global Admin 和具有类似功能的 Azure AD 组,我强烈建议 Azure AD Privileged Identity Management 限制对这些角色的访问。是的,它需要 AAD P2 或 M365 E5 许可证,但只有添加这些功能强大的角色的帐户才需要。

本站所有文章资讯、展示的图片素材等内容均为注册用户上传(部分报媒/平媒内容转载自网络合作媒体),仅供学习参考。 用户通过本站上传、发布的任何内容的知识产权归属用户或原始著作权人所有。如有侵犯您的版权,请联系我们反馈本站将在三个工作日内改正。