|
企业运维管理团队通常要承担许多与安全相关的重要责任,他们需要确保企业网络的安全,对于大多数企业来说,全面的密码管理在网络安全中发挥着相当重要的作用。  IT管理员必须特别考虑密码操作,因为终端用户直接参与其中,但很少有人关心安全性,由于只需要一个漏洞就可以破坏整个网络,IT管理员必须将所有密码和密码操作都放在他们的安全文档上。 笔者将讨论最有可能被黑客利用三个关于密码管理的错误做法。 1. 设置弱密码 什么是弱密码?有人可能会有这样的疑惑,弱密码多为简单的数字自核,如“123456””abc123”等,终端设备出厂的通用密码基本都属于弱密码范畴。 当用户可以自己设置密码时,他们通常会选择最简单的密码,而不会注意其中潜在的安全风险。减轻这种风险的一种方法是让管理员完全控制组织中所有用户的密码设置和管理。然而,这需要的时间和精力远超大多数IT团队能够承受的范畴,而且大多数企业宁愿将精力集中在其他地方,也不会管这种琐事。 解决方案:强制执行更强的密码策略,或者为用户提供符合密码策略的密码自动生成器。 2. 保存当前密码的记录 强大的密码策略在保护网络安全方面走了很长一段路,但它们不能保证密码的安全性,即使是强密码也能被破解。最重要的是,许多用户要么不了解安全风险,要么根本不关心这些风险,所以员工保留当前密码的记录并不罕见。有些人甚至把这些记录到自己的桌面上,这就方便了潜在的恶意者访问。 解决方案:在Windows登录屏幕上实现双因素身份验证(2FA)可以帮助验证用户的身份,并防止黑客在成功破解密码后访问用户帐户。 3.未能在密码过期前重置密码 用户通常不知道他们的密码什么时候会过期,所以管理员需要通知他们。微软的默认方法是使用频繁的通用弹出窗口来通知用户他们的密码即将过期,这让很多用户感到厌烦,促使他们在阅读消息之前关闭弹出窗口。由于总是存在这样的情况,用户密码可能在某个地方泄露了,或者可能在后台受到了隐藏的暴力攻击,所以用户定期更改密码是很重要的。 解决方案:通过电子邮件或短信向用户发送多个定制通知,提醒他们密码/账户即将到期。  那么,怎样通过以上最佳方案来保护网络呢? ManageEngine ADSelfService Plus在帮助域用户自助重置密码、解锁账户以及更新个人信息等有着极大的功劳,AD域管理员也可以利用它去自动重置密码, 解锁账户,从而大大减轻Windows AD域管理的工作量。 |
|
|
