系统管理的“洗手间哲学”
每个管理员都在和废弃的和未使用的用户帐户作战。我们都知道,如果系统中藏有“过期”的用户帐户,那么就会给恶意黑客留下更多攻击和藏匿的地方。如果你是个聪明人,那就需要提高警惕,并清除掉它们。
陈旧的和未使用的资源就像是饭店的洗手间。当你第一次走进一家餐馆时要先检查一下洗手间。如果洗手间超级干净,可以打赌这家餐馆的管理非常良好,厨房也一定是非常干净的。而如果洗手间一团糟,那就考虑去别的地方吧。
谁来管理,管理什么
管理员应该建立起策略和程序,以生命周期的模式对电脑的所有对象(用户、组、计算机等)和资源(文件,打印机,应用软件等)封装好。生命周期管理计划应该覆盖的对象和资源包括:
*用户帐户
*计算机帐户
*服务帐户/守护进程(daemon)帐户
*工作组
*电子邮件地址和对象
*打印机
*各项应用
*磁盘存储
*文件夹、共享文件和Web文件夹
*IP子网
*LDAP/Active Directory对象
*组策略对象(如果使用了Active Directory)
*数字证书
*稽核/警报计划(Auditing/alerting plan)
你所控制的每一项任务,相关的对象还有资源都应包含在生命周期计划内。生命周期计划最低限度也要包括下列活动,:
*获得/供应/创建/批准
*分配所有权/问责制
*更改/修改/重命名/复制/移动/转移
*禁用/删除/反供应
*变化确认
*稽核/提醒/监测(Auditing/alerting/monitoring)
*文档记录
如果没有适当的生命周期策略和程序,这些对象和资源往往会随着时间积累,永远不会删除。管理员必须回答谁来创建,谁来批准和谁记录变化这些问题来确保符合生命周期策略。51CTO编者认为,其实系统本身就为我们提供了许多安全设置功能,巧妙地使用这些功能,我们完全可以赤手空拳地应对网络安全问题,比如利用系统组策略,来保证网络安全运行。
怎样管理对象
每个对象应该有一个严格定义的过程,包括谁可以请求或者改变这个对象,做出请求和改变的要求是什么,还有谁拥有对象。
分配所有权能够在未来查询对象的作用和健康程度。最好把所有权分配给特定的一个人而不是一个团队,以免指手画脚的人太多。当然,这也意味着如果所有人角色变更或者离开了工作环境,所有权也必须要更新。
一般来说,对象的添加或更改会对大批电脑与用户的安全性造成影响,因此需要得到相关设备管理系统部门的批准。当添加或更改一个项目时,它的结果应得到另一方的确认,或至少由作出更改的一方来确认。所有的更改应记录进日志。对不能确保安全或可能引起广泛变化的事件应发出警报进行二次审查。51CTO编者建言,这已经是相对比较完善的管理制度了,但在中国很少有中小企业能做到这样管理的,这个问题就目前来看,还没有看到任何适合中小企业的管理可行制度。
比如我目前的客户端是这样安排的,一号设备管理系统管理员的工作是删除过期的测试用户帐户。设备管理系统管理员发现删除花费的时间比预期长的多——几分钟而不是几秒。如果删除完成后,过期的用户对象都不见了——工作完成。假如一号设备管理系统管理员在删除用户帐户时不小心删除了一个完整的巨大的OU(LDAP组织单位),这时本地稽核系统会立即通知二号管理员。有了适当的稽核系统和报警策略,错误会被立即注意到,误删除的对象可以及时恢复。在51CTO编者看来,像OU这样重要的LDAP帐号存储单位一旦误删除,可能会引发所有用户无法登陆服务器的严重后果。所以备份是非常重要的事情,有需要的朋友可以看下“有备无患详细Linux备份与恢复方法”这篇文章。
记录文档和工作流
每个对象的生命周期包括所有相关的任务应当记录在案。记录文档应包括谁能够请求一项特定的任务,谁完成这项任务,以及谁核实这项任务正确完成。记录文档应包括谁负责维护和更新文档以使它不会过期。而且这一程序应尽可能自动化完成。许多软件工具都提供了自动化和工作流功能,同时也有更好的安全性和稽核追踪。有些最简单的对象生命周期管理工具使用公司的电子邮件系统来管理工作流。在编者看来,网络高速发展给管理上带来很多难题,比如目前很多设备管理系统系统设备或产品都具备日志功能,这些日志也至少要保留6个月,如何对海量日志进行有效保留,并满足企业基于日志的新需求,已成为日志管理方案供应商共同面临的难题。
最后,适当的策略和程序应始终包括一些快速的非正式处理方法来应对特殊的紧急事件。比如当CEO的用户对象被意外删除掉并且必须恢复时,相信他不会喜欢等到委员会召开或者自动化工具开始周期处理。这也意味着自动化工具必须考虑这些特殊和紧急事件,能够做出快速反应。
制定资源生命周期计划并遵守它,你会有一种把洗手间收拾的焕然一新的感觉。
【本文转载自51CTO.com】
【推荐阅读】
◆设备管理系统运维管理专区
◆系统管理员如何面对角色裂变?
◆系统管理员应该定期完成的九件事
◆强迫症会害死系统管理员
◆设备管理软件软件专区
本文来自互联网,仅供参考- 1数据中心网络安全建设原则
- 2数字化设备管理软件有哪些优势?
- 3企业IT运维管理软件趋势
- 4云计算让扁平网络重回主流
- 5IT运维手册之企业网络故障解决步骤
- 6数据中心存储能耗如何降低
- 7IT运维服务商如何枯木逢春
- 8企业智能化管理设备工具是什么?
- 9IT运维管理安全经验:黑客新趋势预测
- 10企业选拔信息安全人才的七个技巧
- 11设备管理系统能提升企业设备管理水平
- 12调查:云存储服务的安全真相
- 13一体化设备管理系统架构构建实例
- 14下一代设备管理系统:靠谱的SDN与不靠谱的OpenFlow
- 15设备管理系统为企业带来的经济效益
- 16塑造IT行业未来的10大新兴技术
- 17数据中心设备管理系统之采购分布式设备管理系统系统五项注意
- 18网络安全管理:网络安全领域预测
- 19设备管理系统的作用是什么?
- 20IT比任何时候都更重要的四个原因
- 21CIO关心十年的问题:IT和业务调整
- 22安全不是买来的!六个高性价比管理措施
- 23停车场管理系统设备包括哪些?
- 24交换机设置优化技巧
- 25图解云计算对比传统网络托管技术
- 26存储成本压力增大 云存储能否成为主流?
- 27商务智能(BI)的六大趋势预测
- 28云计算时代的IT运维走向何方?
- 29设备管理系统需要了解的路由器设备管理系统软件问题
- 30设备管理系统维护技巧:在网上隐藏自己的IP地址技巧
