有关数据访问的一些安全实践

数据访问管理的安全实践

 

·创建用户和资源的完整清单并保持最新状态。

·与部门经理和其他企业主合作，确定敏感数据在哪里以及谁拥有它，可通过资产测绘软件实现该工作。

·确定谁有权访问组织中的哪些数据以及谁拥有哪些数据。例如，可以使用PowerShell脚本或第三方软件导出文件服务器的访问列表。

·通过创建安全组并使用户成为适当组的成员来建立安全结构。

·为每个组分配对共享数据的适当访问权限。

·授权数据所有者控制对他们拥有的数据的访问权限。

·审核数据所有者的行为，以确保所有操作都获得授权。

·建立访问请求工作流（例如请求门户），以便用户可以轻松请求访问他们完成工作所需的数据。

·审计和报告对敏感数据的访问以及对它的更改。

·通过在每个共享名称的末尾添加美元符号($)来隐藏所有敏感共享。

·运行访问认证计划以使访问与业务需求保持一致。

文件服务器权限的安全实践

 

·让用户使用域用户账户而不是本地账户登录。这种方法集中了共享权限的管理。

·创建文件服务器权限策略，明确定义权限管理流程。

·从除指定用于文件交换的全局文件夹之外的每个资源中删除所有人权限。

·将权限分配给组，而不是用户账户。这种方法能够将用户添加到组或从组中删除，而无需重新分配权限，从而简化管理并提高准确性。

·给每个组一个简洁但描述性的名称以避免错误。

·定义反映特定部门或组织中特定角色的访问需求的权限集。

·分配仍然允许用户执行其工作的最严格的权限。例如，如果用户只需要读取文件夹中的信息，而不需要更改、删除或创建文件，则仅分配读取权限。

·组织资源，使具有相同安全要求的对象位于同一文件夹中。例如，如果用户需要多个应用程序文件夹的读取权限，请将这些文件夹存储在同一个父文件夹中。然后将读取权限授予父文件夹，而不是单独共享每个单独的应用程序文件夹。

·避免明确拒绝共享资源的权限。仅当想要覆盖已分配的特定权限时，通常才需要显式拒绝权限；这可能表明权限是直接分配的，而不是通过组成员资格分配的，或者用户是错误组的成员。

·仅将完全控制权限分配给Administrators组，并严格限制该组的成员资格。该权限使用户能够管理应用软件和控制用户权限。

·创建一个“全局拒绝”组，这样当员工离开公司时，可以通过让他们成为该组的成员来快速删除他们所有的文件服务器访问权限。

·审核对文件服务器权限的每次更改，并始终检查这些更改是否已获得授权。

原文始发于微信公众号（祺印说信安）：有关数据访问的一些安全实践