中小型企业安全策略：第三部分

Jordan Drysdale

简介：我们中一些人已经讨论过中小型企业主和运营者如今感受到的压力。我们想让你更紧张——开玩笑的！但如果你不担心IT安全，那可能就错了。本系列将介绍IT专业人员为我们规划的一些重要控制措施，并以无需专职IT人员即可实施的方式呈现。

• 第一部分：SMB信息安全管理控制介绍
• 第二部分：网络硬件清单控制 #CIS关键控制1#
• 第二部分（续）：软件清单

你可以做到！

你通过向员工介绍新的一年开始了这一过程，期望他们现在参与公司的信息安全转型。你应该已经收集了公司拥有和租赁的硬件清单及联系信息。你可能已经联系了各种托管服务供应商，了解他们对你的网络了解多少。

接下来是：保持业务运行的软件。作为小企业主，软件维护可能是一场灾难。你以为国税局审计很糟糕？有人收到过微软审计请求表吗？简单明了地说，如果你正在运行单独安装、许可和管理的Microsoft Office产品，请停止。是时候预算购买Windows 10 Pro许可的新系统，并获取Office 365了。这将使你的生活进入一个全新的焦点。这个操作系统将以最少的努力保持自身打补丁、更新和重启。Office 365产品套件一旦启动并运行，也会做同样的事情，除了重启。

如果你按顺序阅读这些内容，硬件清单文章包含了电子表格示例。这里是另一个软件清单列表的典型示例，大多数中小型网络可以从此开始：

这会有用，以后会很重要。如果实施CSC 20的前五个控制让你怀疑自己的理智，退一步，再深呼吸一次。这是容易的部分。每个部门都有独特的需求。每个部门可能需要独特的软件。没有人应该有权随意安装软件。通过一个简单的列表，说明哪个软件属于哪个部门，你不再需要允许总管理员Bob在他的系统上安装谁知道什么东西。

目标是限制暴露并维护准确的软件清单，以使组织能够保护系统配置。如果你不知道哪个部门需要哪个软件，那么每个人都可以成为管理员，一次成功的网络钓鱼攻击可能就游戏结束了。这个清单管理步骤对于确保网络上没有人需要本地管理员权限至关重要。如果你不知道这为什么重要，如果拥有本地管理员权限的人点击了一个链接，对手的第一个策略就是获取本地管理员权限。有了这种访问权限，所有经过身份验证的会话都是可见的，那些密码也会被泄露。这可能导致域接管甚至更糟的情况。

托管IT服务听起来更好了吗？

想要从撰写此博客的人那里学习更多疯狂技能？
查看Jordan和Kent的这些课程：

• 保卫企业
• 假设妥协——一种带有检测和Microsoft Sentinel的方法论

提供实时/虚拟和点播形式！