中小企业安全策略：第三部分

Jordan Drysdale //

导读：我们中有些人讨论过中小企业主和运营者如今面临的压力。我们想让你更焦虑——开玩笑的！但如果你不担心IT安全，可能就错了。本系列将介绍IT专业人员为我们规划的重要控制措施，并以无需专职IT人员即可实施的方式呈现。

• 第一部分：SMB信息安全管理控制简介
• 第二部分：网络硬件资产清单控制 #CIS关键控制1#
  资产清单第二部分：软件

你能做到！

你通过向员工介绍新的一年开始了这一过程，期望他们现在参与公司的信息安全转型。你应该已经收集了公司拥有和租赁的硬件资产清单及联系信息。你可能已经联系了各种托管服务供应商，了解他们对你网络的认知。

接下来是：保持业务运行的软件。作为小企业主，软件维护可能是一场灾难。你觉得国税局审计很糟糕？有人收到过微软审计请求表吗？简单明了：如果你正在运行单独安装、许可和管理的Microsoft Office产品，请停止。是时候预算新系统，获得Windows 10 Pro许可，并转向Office 365。这将让你的生活进入全新焦点。这个操作系统将以最小努力保持自身补丁、更新和重启。Office 365产品套件一旦启动运行，也会做同样的事情，除了重启。

如果你按顺序阅读这些，硬件资产清单帖子包含了电子表格示例。这里是另一个软件资产清单列表的典型示例，大多数中小型网络可以从此开始：

[此处原文章包含图像占位符]

这会有用，以后会很重要。如果实施CSC 20的前五个控制让你怀疑自己的理智，退一步，再深呼吸。这是容易的部分。每个部门都有独特需求。每个部门可能需要独特的软件。没有人应该有随意安装软件的特权。通过一个简单的列表，标明哪个软件属于哪个部门，你不再需要允许Bob——总管理员——拥有在其系统上安装未知内容的完全特权。

目标是限制暴露并维护准确的软件资产清单，使组织能够保护系统配置。如果你不知道哪个部门需要哪个软件，那么每个人都可以成为管理员，一次成功的网络钓鱼就可能游戏结束。这个资产清单管理步骤对于确保网络上没有人需要本地管理员权限至关重要。如果你不知道这为什么重要：如果拥有本地管理员权限的人点击了一个链接，对手的第一个策略就是获取本地管理员权限。有了这种访问权限，所有经过身份验证的会话都是可见的，那些密码也会被泄露。这可能导致域接管甚至更糟。

托管IT服务听起来更好了吗？

想要从博客作者那里学习更多疯狂技能？
查看Jordan和Kent的课程：

• 保卫企业
• 假设妥协——带有检测和Microsoft Sentinel的方法论
  提供实时/虚拟和点播！

封面图片仅为占位符，请替换为实际可访问的图片链接