【51CTO.com快譯】微軟寫了一篇罕見的文章，詳細介紹了員工在保護自身內部基礎設施方面的工作，就公司如何降低安全泄密風險提供了一些頗有見地的建議。

文章的核心內容是微軟在公司應如何處理管理員帳戶方面給出的建議。

[[265779]]

據微軟安全團隊聲稱，擁有管理訪問權的員工應使用單獨設備，專門用于管理事務。

微軟表示，該設備應始終保持版本更新，裝有所有軟件和操作系統補丁。

微軟安全團隊還建議：“默認情況下為管理帳戶提供零權限。要求管理帳戶請求即時(JIT)權限，以便允許在有限的時間內訪問，并記錄在系統中。”

此外，這家操作系統開發商還建議應在無法訪問互聯網的單獨的用戶命名空間/forest上創建管理員帳戶，應與員工平常的工作身份有所不同。

這樣一來，即便公司的命名空間/forest受到危及，攻擊者也無法輕松訪問管理員帳戶，因為擁有管理員權限的員工不會將該帳戶用于日常任務。

微軟表示，公司還應阻止遠程執行管理任務。

擁有管理帳戶的員工應避免遠程登錄到擁有管理員訪問權限的設備來執行任何管理任務，因為攻擊者可能會在泄密的設備上記錄這些事件。

正確的做法是，讓管理員盡可能使用單獨的設備來執行任何管理任務。

遠離密碼

但微軟安全團隊還分享了其他安全方面的建議。微軟一直在內部使用，還開始在其產品中推廣的一個建議是，由密碼改為其他身份驗證系統。

微軟安全團隊說：“微軟當初考慮為我們的員工使用多因子身份驗證(MFA)時，我們向每位員工發放了智能卡。這是一種很安全的身份驗證方法，但是它對員工來說很麻煩。”

“員工找到了變通方法，比如將工作電子郵件轉發到個人帳戶，這使我們的安全性降低。最終我們意識到棄用密碼是好得多的解決方案。”

從那時起，作為一家公司，微軟一直專注于交付提供密碼替代方案的產品，比如致力于開發Windows Hello和WebAuthn，這兩項技術讓用戶可以使用生物特征識別技術來驗證身份。

此外，微軟還在考慮使密碼更易于管理。上個月，這家操作系統開發商開始討論在Windows 10安全配置基準設置中實施“過期密碼策略”。

做出這個決定的初衷是，事實證明，迫使員工更改密碼會促使員工使用更容易記住的較弱密碼，而不是確保員工在使用攻擊者更難破解的強密碼。

為了幫助公司遷移到密碼在其中起到的作用較小的生態系統，微軟建議公司：

• 執行MFA――遵守快速在線身份(FIDO)2.0標準，那樣你可以要求使用PIN和生物特征識別來驗證身份，而不是使用密碼。Windows Hello是個很好的例子，但請選擇適合貴公司的MFA方法。
• 減少老式的驗證工作流程――將需要密碼的應用程序放入到單獨的用戶訪問門戶網站，在大多數時間內讓用戶改用現代驗證流程。在微軟，每天只有10%的用戶輸入密碼。
• 刪除密碼――為Active Directory和Azure Active Directory(Azure AD)確保一致性，讓管理員能夠從身份目錄中刪除密碼。

更好的身份管理

微軟稱公司可以采取的“最被低估的身份管理步驟”是，制定一項圍繞角色而不是圍繞用戶名來設計的基本的用戶管理計劃。

微軟安全團隊認為，公司應為本組織使用基于角色的訪問計劃，跨諸多角色移動用戶，而不是每當組織內的用戶任務發生變化就為每個用戶帳戶分配權限。

微軟說：“找出每個角色完成工作所需的系統、工具和資源。確保人們改變角色時，沒有保留不再需要的訪問權。”

原文標題：Microsoft recommends using a separate device for administrative tasks，作者：Catalin Cimpanu

【51CTO譯稿，合作站點轉載請注明原文譯者和出處為51CTO.com】