Appaltatore IT con le migliori credenziali dell'amministratore del dominio?

Naviga le tue risposte
4

Stiamo assumendo un appaltatore esterno per fare del lavoro sul nostro server SharePoint e avranno bisogno dei diritti di amministratore per l'installazione di kerberos e così via.

Quali sono le migliori pratiche di configurazione dell'account utente che questo appaltatore eseguirà in remoto come?

Ci sono alcuni documenti legali che dovrebbero essere firmati per proteggere la nostra azienda?

Inoltre configureremo l'accesso VPN per questo utente attraverso un firewall Meraki, ci sono dei passi da fare lì?

C'è un modo per tenere traccia di questa attività degli utenti nella rete?

    
posta llerdal 01.09.2016 - 19:09
fonte

1 risposta

5

Quindi, prima le best practice generali:

  • Non utilizzare account generici (ad esempio ConsultantCo) piuttosto utilizzare account denominati (ad es. JSmith_Consultant). Uno per ciascun appaltatore.
  • Il contraente probabilmente non ha bisogno di Domain Admin. L'amministratore locale sul server SharePoint (e qualsiasi altro sistema sia necessario) dovrebbe essere sufficiente.
  • Abilita la registrazione sulla scatola (i). Se possibile, spedire i registri su un altro server a cui il consulente non ha accesso a fini di revisione / controllo.
  • Abilita accessi basati sul tempo. In altre parole, limita la capacità dell'utente di accedere solo alle volte in cui dovrebbero lavorare.

Per Meraki MX Appliances:

  • Allo stesso modo, assicurati che l'utente non abbia autorizzazioni eccessive, se gli utenti di Meraki VPN sono non legati ad AD, quindi configura anche una password separata (complessa) per questo account.
  • Abilita la registrazione, Meraki supporta l'esportazione in syslog per rivedere l'attività.
  • Non credo che Meraki abbia ancora implementato restrizioni temporali sull'accesso VPN, quindi disabilita manualmente l'account quando non è in uso (notti, fine settimana, festività, ecc.)
risposta data 01.09.2016 - 20:09
fonte

Leggi altre domande sui tag

In che modo il collegamento a un processo con un debugger può compromettere la sicurezza del sistema? Che cosa fa esattamente la trasparenza dei certificati?