有关数据访问的一些安全实践

数据访问管理的安全实践

文件服务器权限的安全实践

·让用户使用域用户账户而不是本地账户登录。这种方法集中了共享权限的管理。

·创建文件服务器权限策略，明确定义权限管理流程。

·从除指定用于文件交换的全局文件夹之外的每个资源中删除所有人权限。

·将权限分配给组，而不是用户账户。这种方法能够将用户添加到组或从组中删除，而无需重新分配权限，从而简化管理并提高准确性。

·给每个组一个简洁但描述性的名称以避免错误。

·定义反映特定部门或组织中特定角色的访问需求的权限集。

·分配仍然允许用户执行其工作的最严格的权限。例如，如果用户只需要读取文件夹中的信息，而不需要更改、删除或创建文件，则仅分配读取权限。

·组织资源，使具有相同安全要求的对象位于同一文件夹中。例如，如果用户需要多个应用程序文件夹的读取权限，请将这些文件夹存储在同一个父文件夹中。然后将读取权限授予父文件夹，而不是单独共享每个单独的应用程序文件夹。

·避免明确拒绝共享资源的权限。仅当想要覆盖已分配的特定权限时，通常才需要显式拒绝权限；这可能表明权限是直接分配的，而不是通过组成员资格分配的，或者用户是错误组的成员。

·仅将完全控制权限分配给Administrators组，并严格限制该组的成员资格。该权限使用户能够管理应用软件和控制用户权限。

·创建一个“全局拒绝”组，这样当员工离开公司时，可以通过让他们成为该组的成员来快速删除他们所有的文件服务器访问权限。

·审核对文件服务器权限的每次更改，并始终检查这些更改是否已获得授权。

原文始发于微信公众号（祺印说信安）：有关数据访问的一些安全实践