处理机密信息的小型非营利公司必须授予管理整个网络(包括新 PC 等)的外部 IT 服务提供商远程域管理员访问权限...尽管敏感信息经过强加密,但他们仍不愿将这个强大的帐户留在第三方手中。
Computer Associates 提供了一种系统,可以根据需要生成有时间限制的域管理员帐户,并附带良好的日志和一切。问题是,它非常昂贵,而且绝对超出预算。
我主动提出帮助这家非营利性公司,但我不知道如何以一种足够简单的方式让本地高级用户使用。那么,生成一次性域管理员帐户的简单方法是什么?我不是专业人士,但我可以处理 vbscript、powershell 或 VB.NET。
非常感谢您的指点。
答案1
域管理员就是一个域行政
任何被您授予完全管理权限的人都可以做任何他们想做的事情,包括安装秘密后门访问、伪造审计日志以及随意访问和复制数据。通过发布临时域管理员帐户,您能做的最好的事情就是为公司创造一种虚假的安全感。
域管理员是域中可以颁发的最高凭证。它不对任何人负责,并且不能被较低或同等级别的帐户限制。如果您希望限制它,则需要使用更高的权限级别,而 Active Directory 中不存在这种权限级别。
域管理员凭据必须永远只掌握在您信任的人手中。如果第三方服务提供商不值得信赖,那么他们就不能拥有域管理员权限。如果他们必须拥有这些权限才能提供服务,那么您必须首先解决相关人员之间的信任问题。这不是您能用纯技术解决方案做到的事情。
答案2
我建议创建第二个用户并为其提供所需的唯一权限。您可以为该帐户设置到期时间,这样您就知道他们只能在帐户到期前使用该帐户。如果您担心他们会编辑自己的帐户,您可以通过组策略或根本不授予管理访问权限或其他方式来限制对 Active Directory 的访问,从而防止这种情况发生。
但首要问题是,你相信这家公司会提供帮助吗?通常这些公司会因为特定问题被叫来,例如因为他们支持他们的产品。窃取信息不符合他们的利益,他们只想提供帮助。
此外,如果您真的很害怕,请确保有人看着 IT 人员的肩膀。
答案3
powershell [Reflection.Assembly]::LoadWithPartialName('System.Web')^|Out-Null;1..12^|%{[Web.Security.Membership]::GeneratePassword(16,3)}
如果将内部 IT 基础设施提供给服务商,则没有安全性。这是外部服务商的体面问题。
问题出在操作系统的架构上,它没有一个独立的系统在内核层面上分别服务于应用程序的数据、路由和链接。
没有“审核员”这样角色的例子,例如—Novell Netware,“审核员”的职能是只能进行审阅动作,但不能进行任何修改。
如果您需要安全,则管理帐户应该只有您自己。
因此,有必要给出问题的指示 - 错误消息和可以自动化的系统应用程序。以及通过 SOAP 或任何其他方式加密的 peredovat 消息。相反,你会得到解决问题的脚本,你正在查看可能的损坏,必须等待然后应用。
你想要的不是安全,而是安全游戏。因为命令行实际上是即时管理。应用程序甚至更快。你想在多少毫秒内将管理权限授予对方?)))
答案4
您可以这样做。让该人通过 ssh 访问您的计算机。但同时,在您的计算机上保留一个脚本,也许是一个 cron 作业,用于在预定时间阻止端口 22。
现在,无论何时到达特定时间,脚本都会被执行,端口 22 将被阻止,即使该人有密码,他也无法访问计算机。
当然,他不应该知道剧本在哪里,或者根本不知道剧本是否存在。