DManager Plus有一個專用于Active Directory共享權(quán)限管理的部分。此部分幫助Active Directory管理員克服在管理用戶訪問和企業(yè)中的共享活動時遇到的難題。
那么ADManager Plus權(quán)限管理的優(yōu)勢是什么?
ADManager Plus的文件服務(wù)器管理提供一個便利的UI,這使得管理文件和文件夾共享權(quán)限更容易(即使是新手也能輕松管理)-- 不管是批量還是逐個管理。與預(yù)封裝的NTFS共享權(quán)限報表相結(jié)合,此UI是管理文件系統(tǒng)的理想方式。
Active Directory
文件權(quán)限管理報表
這些報表快速而清晰地呈現(xiàn)NTFS和Active Directory共享權(quán)限,讓管理員清楚地了解應(yīng)如何修改或處理權(quán)限。此類別的報表包括:
文件權(quán)限管理操作
ADManager Plus的共享權(quán)限管理包括以下操作:
修改共享權(quán)限 - 修改其他用戶對共享文件夾所擁有的權(quán)限
在企業(yè)中會反復出現(xiàn)許多必須修改員工共享權(quán)限的場景。例如:當員工的角色更改(可能由于晉升或轉(zhuǎn)職或任何其他原因)時,他們所屬的組、他們將訪問的資源等將會發(fā)生更改。
ADManager Plus允許您一次性為多個用戶更改他們對共享文件夾擁有的權(quán)限,這可幫助節(jié)省大量時間。您只需要選擇想要更改其權(quán)限的“文件夾”,然后逐個選擇用戶賬戶,接著定義對他們的權(quán)限作出的修改,單擊‘修改’。
撤銷共享權(quán)限 - 撤銷用戶對共享文件夾所擁有的權(quán)限
當談到撤銷權(quán)限時,其重要性與將權(quán)限分配給組/用戶不一樣。當員工被限制訪問必需的文件或文件夾時,將立即發(fā)出請求并相應(yīng)地處理。但企業(yè)中的沒有人會很關(guān)心員工擁有的權(quán)限是否比他應(yīng)該有的權(quán)限更多;由于不太了解用戶擁有什么權(quán)限,所以管理員要在“撤銷權(quán)限”上花很多時間...
文件權(quán)限管理
ADManager Plus更新權(quán)限管理適用于簡化此過程。
比如說有一位員工要離開公司,管理員不再需要逐個掃描文件夾以查看他可以訪問什么資源。他只需要使用“賬戶可訪問的文件夾”報表來查看AD用戶賬戶對哪些文件夾擁有訪問權(quán)限,并在‘移除共享權(quán)限’功能的幫助下,只需點擊幾次即可撤銷那些權(quán)限。
ADManager Plus使用幾個簡單和快速的步驟即可幫助撤銷權(quán)限:
ADManager Plus
文件服務(wù)器權(quán)限管理職責的指派
使用ADManager Plus的幫助臺指派功能,您可為任何用戶安全地指派文件權(quán)限管理。而且,您可以用內(nèi)置的審計報表來跟蹤共享文件夾和文件服務(wù)器的權(quán)限更改。技術(shù)人員和管理員審計報表可根據(jù)需要導出為CSV、PDF、HTML或Excel格式。
有效的共享權(quán)限管理的重要性:
比如說財務(wù)團隊使用共享文件夾和文件在團隊內(nèi)傳遞信息。團隊成員可能包括:
文件服務(wù)器權(quán)限管理
考慮到他們在團隊中的角色,文書人員應(yīng)授予讀和寫權(quán)限,分析師應(yīng)授予讀權(quán)限,團隊領(lǐng)導應(yīng)授予完全控制權(quán)限。
最好是通過組為用戶授予訪問權(quán)限。但這經(jīng)常會讓權(quán)限落入非計劃人員手中(此陳述與“所有人”組搭配時更為理想)。共享網(wǎng)絡(luò)上的資源很容易產(chǎn)生安全威脅。精心設(shè)計的NTFS權(quán)限和共享權(quán)限組合可幫助對抗此類威脅。
但也存在以下困難:管理員通常不太了解企業(yè)中的哪些用戶可訪問哪些共享、哪些數(shù)據(jù)通過共享功能來共享以及存在什么過度/不必要的權(quán)限。
對IT管理員來說,手動識別、清理和整理Active Directory環(huán)境中的這些權(quán)限是一個永無止境和繁瑣的過程。
ADManager Plus的Active Directory共享權(quán)限管理器準確地解決了這些問題,并幫助您輕松管理有關(guān)Active Directory環(huán)境中的共享、文件夾和文件的權(quán)限。
人們很容易認為,保護Windows 10設(shè)備的過程非常簡單,甚至按著一定之規(guī)操作就可以了。比如,安裝一些安全軟件,調(diào)整一些設(shè)置,進行一兩次培訓,然后你就可以高枕無憂了。
但現(xiàn)實世界要復雜得多,初始設(shè)置只是建立一個安全基線。在完成初始配置之后,安全性需要持續(xù)的警惕和持續(xù)的工作。保護Windows 10設(shè)備的大部分工作都是要根據(jù)實際運行環(huán)境進行的。精心策劃的安全策略會關(guān)注網(wǎng)絡(luò)流量、電子郵件帳戶、身份驗證機制、管理服務(wù)器和其他外部連接。
本指南涵蓋了大量的實際案例,每個標題都討論了決策者在部署Windows 10PC時必須考慮的問題。雖然它涵蓋了許多可用的參考樣本,但這不是一個實際意義上的操作指南。
在大型企業(yè)中, IT人員應(yīng)該包括能夠管理這些步驟的安全專家。在沒有專門IT人員的小型企業(yè)中,將這些職責外包給具有必要專業(yè)知識的顧問可能是最好的方法。
不過,在進行單個Windows設(shè)置之前,請花一些時間進行威脅評估。特別是,在發(fā)生數(shù)據(jù)泄露或其他與安全相關(guān)的事件時,要意識到自己的法律和監(jiān)管責任,以下方法適用于所有規(guī)模的企業(yè)。
管理更新
對于任何Windows 10PC來說,最重要的一個安全設(shè)置是確保定期、按時安裝更新。當然,這適用于所有現(xiàn)代計算設(shè)備,但微軟在Windows 10中引入的“Windows即服務(wù)”(Windows as a service)模式改變了你管理更新的方式。
不過,在開始之前,了解不同類型的Windows 10更新及其工作原理非常重要。
1.每月通過Windows Update發(fā)布高質(zhì)量的更新;它們解決安全性和可靠性問題,不包含新特性,這些更新還包括針對英特爾處理器微代碼缺陷的補丁。
2.所有高質(zhì)量的更新都是累積起來的,因此在執(zhí)行Windows 10的干凈安裝之后,你不再需要下載幾十個甚至數(shù)百個更新。相反,你可以安裝最新的累積更新,你將完全更新。
3.功能更新相當于以前所說的版本升級,它們包括一些新功能,需要下載幾千兆字節(jié)的文件并進行完整的安裝。Windows 10功能更新每年發(fā)布兩次,分別在4月和10月,也通過Windows Update發(fā)布。
默認情況下,Windows 10設(shè)備會在Microsoft的更新服務(wù)器上下載并安裝更新。在運行Windows 10 Home的設(shè)備上,沒有自動的方法來控制何時安裝更新。但是,管理員可以在運行Windows 10商業(yè)版的PC上安裝更新時進行一些控制。與所有安全決策一樣,選擇何時安裝更新需要權(quán)衡利弊。
使用Windows 10 Pro,Enterprise和Education版本中內(nèi)置的Windows Update for Business功能,你可以將高質(zhì)量更新的安裝延遲至多30天。根據(jù)版本的不同,還可以將特性更新延遲至多兩年。
將高質(zhì)量的更新延遲7到15天是一種低風險的方法,可以避免出現(xiàn)可能導致穩(wěn)定性或兼容性問題的錯誤更新的風險。你可以使用“設(shè)置>更新和安全>高級選項”中的控件來調(diào)整PC上的業(yè)務(wù)設(shè)置的Windows更新。
在較大的組織中,管理員可以使用組策略或移動設(shè)備管理軟件為業(yè)務(wù)設(shè)置應(yīng)用Windows Update。你還可以使用諸如System Center Configuration Manager或Windows Server Update Services之類的管理工具集中管理更新。
最后,你的軟件更新策略不應(yīng)該停留在Windows本身。確保自動安裝Windows應(yīng)用程序的更新,包括Microsoft Office和Adobe應(yīng)用程序。
身份和用戶帳戶管理
每臺Windows 10PC至少需要一個用戶帳戶,該帳戶由密碼和可選的身份驗證機制保護。如何設(shè)置該帳戶(以及任何輔助帳戶)對確保設(shè)備的安全性大有幫助。
運行Windows 10商業(yè)版(專業(yè)版、企業(yè)版或教育版)的設(shè)備可以連接到Windows域。在該配置中,域管理員可以訪問Active Directory特性,并可以授權(quán)用戶、組和計算機訪問本地和網(wǎng)絡(luò)資源。如果你是域管理員,你可以使用完整的基于服務(wù)器的Active Directory工具來管理Windows 10PC。
與大多數(shù)小型企業(yè)不同,Windows 10PC沒有加入域,你可以選擇三種帳戶類型:
1.本地帳戶使用僅存儲在設(shè)備上的憑據(jù);
2.微軟賬戶對消費者免費開放,允許跨pc和設(shè)備同步數(shù)據(jù)和設(shè)置,它們還支持雙因素身份驗證和密碼恢復選項;
3.Azure Active Directory (Azure AD)帳戶與自定義域相關(guān)聯(lián),可以集中管理。基本Azure AD功能是免費的,包含在Office 365商業(yè)和企業(yè)訂閱中;其他Azure AD功能可用作付費升級。
Windows 10PC上的第一個帳戶是Administrators組的成員,有權(quán)安裝軟件和修改系統(tǒng)配置。二級帳戶可以而且應(yīng)該設(shè)置為標準用戶,以防止未經(jīng)培訓的用戶無意中損壞系統(tǒng)或安裝不需要的軟件。
無論帳戶類型如何,都需要一個強密碼。在托管網(wǎng)絡(luò)上,管理員可以使用組策略或MDM軟件執(zhí)行組織密碼策略。
要在特定設(shè)備上提高登錄過程的安全性,可以使用Windows 10的一個名為Windows Hello的特性。Windows Hello需要兩個步驟的驗證過程來注冊具有Microsoft帳戶、Active Directory帳戶、Azure AD帳戶或支持FIDO 2.0版本的第三方身份提供者的設(shè)備。
注冊完成后,用戶可以使用個人識別碼(PIN)或支持硬件的生物特征認證(如指紋或面部識別)登錄。生物特征數(shù)據(jù)只存儲在設(shè)備上,防止各種常見的密碼竊取攻擊。在連接到業(yè)務(wù)帳戶的設(shè)備上,管理員可以使用Windows Hello for business來指定PIN復雜性需求。
最后,在商業(yè)pc上使用Microsoft或Azure AD帳戶時,應(yīng)該設(shè)置多因素身份驗證(multi-factor authentication, MFA)來保護帳戶免受外部攻擊。對于Microsoft帳戶,可以在https://account.live.com/上使用兩步驗證設(shè)置。對于Office 365業(yè)務(wù)和企業(yè)帳戶,管理員必須首先從Office門戶啟用該功能,然后用戶可以通過https://account.activedirectory.windowsazure.com/r#/profile管理MFA設(shè)置。
數(shù)據(jù)保護
物理安全的問題同樣重要,被盜的筆記本電腦,或留在出租車或餐館的筆記本電腦,可能會導致數(shù)據(jù)丟失的重大風險。對企業(yè)或政府機構(gòu)來說,影響可能是災(zāi)難性的,而在受監(jiān)管的行業(yè)或違反數(shù)據(jù)保護法需要公開披露的行業(yè),后果甚至更糟。
在Windows 10設(shè)備上,最重要的配置更改就是啟用BitLocker設(shè)備加密。Windows BitLocker驅(qū)動器加密通過加密Windows操作系統(tǒng)卷上存儲的所有數(shù)據(jù)可以更好地保護計算機中的數(shù)據(jù)。BitLocker使用TPM幫助保護Windows操作系統(tǒng)和用戶數(shù)據(jù),并幫助確保計算機即使在無人參與、丟失或被盜的情況下也不會被篡改。
啟用BitLocker后,設(shè)備上的每一位數(shù)據(jù)都使用XTS-AES標準進行加密。使用組策略設(shè)置或設(shè)備管理工具,可以將加密強度從默認的128位設(shè)置增加到256位。
啟用BitLocker需要包含可信平臺模塊(TPM)芯片的設(shè)備,過去六年生產(chǎn)的每一臺商用PC都應(yīng)符合這方面的要求。此外,BitLocker需要Windows 10的商業(yè)版(專業(yè)版、企業(yè)版或教育版),Home版支持強大的設(shè)備加密,但只支持Microsoft帳戶,并且不允許管理BitLocker設(shè)備。
要獲得完整的管理功能,你還需要使用Windows域上的Active Directory帳戶或Azure Active Directory帳戶設(shè)置BitLocker。在這兩種配置中,恢復密鑰都保存在域或AAD管理員可用的位置。
在運行Windows 10商業(yè)版的非托管設(shè)備上,可以使用本地帳戶,但需要使用BitLocker管理工具對可用驅(qū)動器進行加密。
別忘了加密便攜存儲設(shè)備——USB閃存驅(qū)動器,便攜式硬盤驅(qū)動器很容易丟失,但使用BitLocker To Go可以保護數(shù)據(jù)不被窺探,BitLocker使用密碼解密驅(qū)動器的內(nèi)容。
在使用Azure Active Directory的大型組織中,還可以使用Azure Information Protection和Azure權(quán)限管理服務(wù)來保護存儲文件和電子郵件消息的內(nèi)容。這種組合允許管理員對Office和其他應(yīng)用程序中創(chuàng)建的文檔進行分類和限制訪問,而不受其本地加密狀態(tài)的影響。
阻止惡意代碼
隨著世界變得越來越緊密,在線攻擊者變得越來越復雜,傳統(tǒng)防病毒軟件的作用也發(fā)生了變化。安全軟件現(xiàn)在只是防御策略的一個方面而已,而不是阻止安裝惡意代碼的全部手段。
Windows 10的每一次安裝都包括內(nèi)置的殺毒軟件Windows Defender,它使用與Windows Update相同的機制進行自我更新。Windows Defender被設(shè)計成一個set-it-and-forget-it特性,不需要任何手動配置。如果你安裝了一個第三方安全包,WindowsDefender就會主動讓道,允許第三方軟件檢測并移除潛在的威脅。
使用Windows企業(yè)版的大型組織可以部署Windows Defender Advanced Threat Protection,這是一個使用行為傳感器監(jiān)控Windows 10 PC等端點的安全平臺。使用基于云的分析,Windows Defender ATP可以識別可疑行為并向管理員發(fā)出潛在威脅警報。
對于規(guī)模較小的企業(yè)來說,最重要的挑戰(zhàn)是首先防止惡意代碼進入PC。微軟的SmartScreen技術(shù)是另一項內(nèi)置功能,可以掃描下載文件,并阻止已知惡意文件的執(zhí)行。SmartScreen技術(shù)還可以阻止無法識別的程序,但在必要時允許用戶覆蓋這些設(shè)置。
值得注意的是,Windows 10中的SmartScreen獨立于基于瀏覽器的技術(shù),比如谷歌的安全瀏覽服務(wù)和微軟Edge中的SmartScreen篩選服務(wù)。
在非托管pc上,SmartScreen是另一個不需要手動配置的功能。你可以使用Windows 10的Windows安全應(yīng)用程序中的程序和瀏覽器控件設(shè)置來調(diào)整它的配置。
管理潛在惡意代碼的另一個關(guān)鍵載體是電子郵件,在電子郵件中,看似無害的文件附件和指向惡意網(wǎng)站的鏈接可能導致感染。雖然電子郵件客戶端軟件可以在這方面提供一些保護,但在服務(wù)器級別阻止這些威脅是防止對PC的攻擊的最有效方法。
防止用戶運行不想要的程序(包括惡意代碼)的有效方法是配置一臺Windows 10PC,使其不能運行任何應(yīng)用程序,除非你特別授權(quán)了這些應(yīng)用程序。要在一臺PC上調(diào)整這些設(shè)置,請轉(zhuǎn)到設(shè)置>應(yīng)用>應(yīng)用和功能,在“安裝應(yīng)用程序”標題下,選擇“僅允許商店中的應(yīng)用程序”。此設(shè)置允許以前安裝的應(yīng)用程序運行,但禁止從微軟商店外部安裝任何下載的程序。
管理員可以使用組策略在網(wǎng)絡(luò)上配置此設(shè)置:計算機配置>管理模板> Windows組件> WindowsDefenderSmartScreen> Explorer >配置App安裝控件。
鎖定Windows 10 PC的最極端方法是使用“分配的訪問”功能配置設(shè)備,使其只能運行一個應(yīng)用程序。如果選擇Microsoft Edge作為應(yīng)用程序,則可以將設(shè)備配置為以鎖定到一個站點的全屏模式運行,或者作為具有一組有限功能的公共瀏覽器運行。
要配置此功能,請轉(zhuǎn)到設(shè)置>家庭和其他用戶,并點擊“分配訪問”。在連接到企業(yè)帳戶的PC上,此選項位于“設(shè)置”>“其他用戶”下。
網(wǎng)絡(luò)安全
在過去的15年中,Windows的每個版本都包含了一個狀態(tài)檢查防火墻。在Windows 10中,這個防火墻是默認啟用的,不需要任何調(diào)整就可以生效。與之前的版本一樣,Windows 10防火墻支持三種不同的網(wǎng)絡(luò)配置:域、私有和公共。需要訪問網(wǎng)絡(luò)資源的應(yīng)用程序通常可以將自己配置為初始設(shè)置的一部分。
要調(diào)整基本的Windows防火墻設(shè)置,請使用Windows Security應(yīng)用程序中的“防火墻和網(wǎng)絡(luò)保護”選項卡。要查看一組更全面、更專業(yè)的配置工具,請點擊“高級設(shè)置”,打開帶有高級安全控制臺的老版Windows Defender防火墻。在托管網(wǎng)絡(luò)上,可以通過組組策略和服務(wù)器端設(shè)置來控制這些設(shè)置。
從安全角度來看,連接到無線網(wǎng)絡(luò)時會出現(xiàn)對Windows 10 PC的最大網(wǎng)絡(luò)威脅。大型組織可以通過添加對802.1x標準的支持來顯著提高無線連接的安全性,該標準使用訪問控制而不是WPA2無線網(wǎng)絡(luò)中的共享密碼。嘗試連接到此類網(wǎng)絡(luò)時,Windows 10將提示輸入用戶名和密碼,并拒絕未經(jīng)授權(quán)的連接。
在基于Windows域的網(wǎng)絡(luò)上,你可以使用本機DirectAccess功能來允許安全的遠程訪問。
當你必須連接到不受信任的無線網(wǎng)絡(luò)時,最好的選擇是設(shè)置一個虛擬專用網(wǎng)(VPN)。Windows 10支持企業(yè)網(wǎng)絡(luò)上最流行的VPN包,要配置這種類型的連接,請轉(zhuǎn)到設(shè)置>網(wǎng)絡(luò)和互聯(lián)網(wǎng)> VPN,小型企業(yè)和個人可以從各種Windows兼容的第三方VPN服務(wù)中進行選擇。
做好這些事情,讓你的Windows10體驗超過同等配置的蘋果系統(tǒng)。
近年來,Windows和蘋果系統(tǒng)之間的差距急劇縮小,蘋果的技術(shù)優(yōu)勢和價格優(yōu)勢也慢慢消失了。
如今,最新的蘋果系統(tǒng)和頂級Windows系統(tǒng)之間存在的技術(shù)差距可以說已基本消失。當然,蘋果的CPU和硬件還是有一定優(yōu)勢的,不過這些優(yōu)勢可以通過以上技巧來彌補。