在任何企业中,都有大量用户,包括员工,经理和客户。所有这些用户都需要对网络上的资源具有适当的访问权限,因此他们可以有效地完成其工作,而不必在每次需要某些东西时都请求访问权限,因此不会受到阻碍。另一方面,企业需要注意保护私有或个人数据,敏感资源以及重要的安全信息 —免受内部威胁和网络黑客的攻击。
此过程应通过适当的用户配置来管理,出于准确性和效率的考虑,需要自动的用户配置工具。这可以简化您的用户配置任务并减少安全风险,帮助您满足合规性义务,并仅减少花费在管理用户帐户和权限上的时间。本文将讨论以下问题:“什么是用户访问权限设置?” 因此,您可以全面了解它的工作原理,为什么如此重要以及如何以有效的方式管理它,从而减少管理员的开销。
什么是用户供应和取消供应?
用户供应是向用户分配特权和权限的过程,以保护企业中的安全性,同时允许用户访问完成其工作所需的一切。这也称为用户帐户设置。取消布建是从帐户中删除特权或访问或删除帐户的行为。
用户管理和帐户设置的过程包括创建用户帐户,授予权限以及根据需要更改帐户或特权,禁用帐户以及删除帐户。
用户配置主要有四种:
自助帐户设置:这是允许用户参与设置过程的某些部分的时间,因此管理员不必做任何事情。例如,此方面的一个方面可能是用户更改和管理自己的密码的能力。
全权委托帐户配置:全权委托帐户配置是指管理员独自决定用户可以访问哪些应用程序或文件。这在较小的公司中很常见,但在大型企业中,如果手动进行处理则变得笨拙。
基于工作流的帐户设置:在此过程中,必须先收集所需的批准(例如,从首席技术官或首席财务官获得的批准),然后才能授予访问文件或应用程序的权限。访问基于工作流需求和要求。
自动帐户设置:集中式应用程序或软件管理每个帐户,并且可以创建规则以特定方式设置每个帐户。这样可以简化新用户的流程,并使管理员可以更轻松地跟踪谁有权访问什么内容。管理员仍将需要进行其他一些类型的配置,但是在这些方面的工作量将大大减少。
在以下五种常见情况下,您需要提供新的用户帐户或更改特权:
新员工:新员工入职时,他们需要设置具有适当权限的用户帐户,以便他们可以执行所需的任务。他们还需要一个电子邮件帐户,文件访问权限以及各个相关组的成员身份。
晋升:如果某人被晋升或担任其他角色,其权限和访问权限可能会更改。需要平稳,快速地更新这些内容,以便员工一旦上任就可以开始执行新角色。
员工离职:出于安全原因,员工离职时,应立即删除其所有帐户和访问权限。使以前的员工可以使用该系统是很大的安全风险。
一次性访问:在某些情况下,某人或团队可能需要一次性访问特定的文件或目录,或者可能需要临时电子邮件和为承包商设置的访问权限。一次性用户访问权限设置应得到快速处理,并在一次性事件结束后有明确的流程来删除访问权限。
支持或问题:在某些情况下,如果员工忘记密码或帐户有问题,则需要供应或更改新用户。在这些情况下,所有旧帐户应立即删除。通常,应删除未使用的帐户。
访问权限对于管理安全和合规性问题很重要,并且也可以极大地提高员工的工作效率。我将在下面详细介绍用户设置和取消设置的重要性。
对于Windows系统,大多数企业将使用Active Directory来配置用户帐户并分配访问权限,包括设置管理员帐户。对于小型企业来说,使用Active Directory手动配置和取消配置用户帐户是可以管理的,但是对于大型企业而言,这很快成为一个沉重的负担。为每个帐户或每个组设置访问权限需要花费很长时间,并且在用户访问管理过程中处理大量帐户时,管理员更容易出错或感到困惑。
回到顶部
为什么用户设置很重要?
出于以下几个原因,适当的用户设置和取消设置很重要,包括工作效率和组织生产力,安全性以及合规性和审计目的。随着组织的发展,正确的用户帐户设置流程变得越来越重要。仅大量用户就很难跟踪谁有权访问哪些内容,谁需要访问权限以及原因以及需要删除的用户。精心计划的用户配置方法可以确保问题不会变得难以控制。
工作效率
在许多情况下,没有有效的用户帐户供应工具的企业可能会花费大量时间来解决权限问题,从而失去宝贵的生产力。想象一下这样一个场景:整个团队都在从事一个大型项目,但是在最后一分钟发现他们无法访问完成工作所需的重要应用程序或文件。这将成为企业管理员的当务之急,并且如果没有工具的帮助,这可能会花费一些时间来设置新的访问组并为该组中的每个人分配所需的权限。同时,团队无法继续他们的工作,其他问题正在堆积给管理员,从而降低了生产率。在某些情况下,您可以将用户设置为使用单点登录,这可以允许他们使用一组凭据登录许多应用程序。
安全
下一个重要问题是安全性。在用户访问管理和用户配置中,安全性的重点是双重的,因为在这种情况下,安全性问题可能来自组织的内部和外部。
关于外部威胁,如果用户拥有过多权限,则可能使整个系统容易受到攻击。如果入侵者访问了您的系统,则只需通过一个具有大量权限和访问权限的受感染帐户(例如管理员帐户)来进行访问。入侵者一直在寻找组织中的弱点,而过度狂热的用户权限可能是主要弱点。这就是为什么遵循最小特权的原则很重要的原因,在这种原则下,在仍允许业务功能的同时,为每个用户设置尽可能严格的权限。
就内部威胁而言,主要有两个问题:恶意入侵者和意外更改。在某些情况下,当用户意外地拥有了不应该拥有的文件或应用程序的特权时,他们可能会错误地更改设置,移动文件或删除数据。这可能完全导致意外的重大安全问题。确保用户只能访问他们需要完成工作的系统部分,才能防止这种情况的发生。此外,保护员工免受恶意攻击敏感信息或访问重要文件的可能性很小也很重要。使用良好的自动用户配置过程和权限分配可以防止用户访问敏感文件或机密信息。
审计与合规
最后,审核和合规性问题还与供应新用户帐户时的安全性问题相关。如果您的企业处理敏感信息,例如财务或健康数据,则需要遵循合规性措施,包括对数据的适当访问。例如,HIPAA隐私要求对个人可识别的健康信息进行高度保护。允许许多用户访问此类信息将不符合HIPAA的规定,如果执行审核并发现此违规行为,可能会导致重大处罚。
这些类型的规则也适用于财务信息,机密商业信息和机密政府数据。如果您的企业处理这些敏感数据中的任何一种,则用户供应流程和访问管理策略至关重要。
在大多数企业中,使用自动配置可以使此过程更简单,更准确和更有效。使用自动用户配置系统时,可以更快地进行更改,因此用户无需等待设置新权限。由于可以在其他地方更有效地使用IT和管理资源,因此有效的配置可以降低成本和开销。此外,由于自动化系统可以跟踪不使用的帐户,自动取消设置帐户以及根据需要快速切换或删除权限,因此可以提高安全性。
回到顶部
最佳用户配置软件
市场上有几种自动用户配置工具,您选择的任何一种都应符合以下条件。使用预配软件和访问权限管理时,还应遵循一些最佳实践。
首先,无论您选择哪种解决方案,其功能都应该全面,应该具有良好的用户体验,应该能够快速,自动地工作,并且应该减少而不是增加开销。用户帐户管理软件应该能够自动设置和停用帐户,允许自助服务或委派访问请求,并且应该能够报告用户权限和高风险帐户,同时保留数据访问记录。
接下来,请确保已对所有最重要和最敏感的应用程序,目录和用户进行了详尽的盘点。如果您不知道组织的哪些部分应具有受限的访问权限或哪些可能要遵守合规性要求,则很难分配适当的安全风险或权限。
一旦开始实施用户配置过程,请确保您有明确的基准来确定其是否有效。例如,测量您的管理员每周花在用户置备和取消布建上的时间,然后将其与使用工具的时间进行比较。要明确用户供应过程的范围,包括其中包括哪些工作组和团队,并在测试新软件时根据需要从一个或两个团队开始。
完成测试过程并对解决方案感到满意后,您可以在整个组织中推广该解决方案,并查看其扩展性是否良好。然后,您应该放置一个监视程序,以查看正在发出多少用户配置请求,需要手动处理多少,内部审计发现哪些有关安全性和合规性的信息以及最终用户是否满意。
我最喜欢的账户管理和工具,用户配置是SolarWinds的®访问权限管理(ARM)。ARM具有几个关键功能,使其能够满足中小型企业和大型企业的用户配置需求。
首先,ARM监视和管理Active Directory和组策略,因此您可以确保您的用户供应实践是安全的,并且没有人可以访问不应访问的地方。使用SolarWinds ARM,您可以查看是否有任何用户进行了更改以及更改的时间。通过向所有用户显示适当的访问权限并且未进行未经授权的更改,可以帮助您满足合规性义务。ARM还与SharePoint链接,以显示谁有权访问SharePoint资源。
关于预配,ARM可以快速设置新帐户,并且可以单独使用标准模板,也可以以更一般的方式进行设置。为了减少管理员的开销,您还可以使用ARM设置要由数据所有者授予的访问权限,而不是管理员必须做的所有事情。然后,它可以查看您如何设置您的帐户以及获得了哪些访问权限来确定哪些帐户属于高风险帐户,应该对其进行密切监视。
出于审计和合规性目的,ARM可以生成准备就绪的审计报告,因此您可以显示自己符合相应的法规。
您可以免费试用ARM 30天,也可以在SolarWinds网站上请求演示。
如果您是托管服务提供商(MSP),并且需要调配数百个客户端设备和/或网络该怎么办?对于这些用户,以及任何需要担心多个端点的人,ARM都不是最合适的选择。
那就是SolarWinds Passportal出现的地方。它是针对MSP的需求量身定制的,并具有省时的功能和高度的定制化。
使用Passportal,您可以根据需要存储,管理和检索密码。您还可以配置和控制文档和访问权限。Passportal是您管理用户配置工具的重要工具。
有关用户配置的关键要点
用户供应是指建立具有适当权限的用户帐户,将它们放在正确的组中,并确保他们拥有合适的工具来完成其工作的过程。要正确执行此操作,您需要知道何时设置新帐户以及何时应从帐户中删除权限,同时最好使用工具或软件来帮助您自动执行此过程的各个部分。采用积极主动的用户管理和访问控制方法可确保您不会造成任何合规性错误,也不会使您的业务过度承受数据泄露或丢失的风险。
寻找高质量的用户配置和用户访问管理工具可以帮助您简化此过程,并确保尽可能减少安全性和合规性问题。SolarWinds ARM是我执行此过程的首选,因为它提供了高质量的工具和广泛的功能来管理访问权限,防止内部和外部安全威胁,并且易于使用。