我们有一台物理机服务于数据库和网站。我们想为这个从旧的物理 Windows 机器到最新的全新虚拟机的计划迁移聘请一名顾问。
显然,承包商将需要一个具有特权的帐户才能做到这一点。在这种情况下,我信任他们,但同时,如果我不信任他们或对他们了解不够,无法完全信任他们怎么办?发生这种情况时,我正在寻找最佳实践(您不知道您是否信任承包商)。如果他们设置后门怎么办?还是错误地或只是在不知情的情况下,做了一些可能会在以后危及新机器的事情?
我的问题:在聘请外部承包商在我们的网站上做需要特权帐户的事情时,准备安全计划的最佳做法是什么?
我找到了这个答案:为服务器管理员承包商提供 root 访问权限的最佳实践(在 CentOS 上)?但它针对的是 Linux 风格,并且可能已经过时了。我喜欢设置工作说明书的建议,我会考虑,但也在寻找技术解决方案。
如果您的目标是更多的 Windows,请提供一些通用提示;因为您的问题没有说明您正在使用的操作系统。
为承包商创建一个仅为他的帐户。如果新旧服务器的本地管理员是最好的。
如果您需要为他创建一个 Active Directory 帐户,则将帐户 LOGON 设置为仅适用于这两个 VM。您也可以在帐户上设置到期日期。
预先创建新的 VM 以防止必须让他访问您的 VM 基础设施。
您可以为他创建的任何 VPN 帐户,让他只允许他去两个虚拟机工作。
聘请有良好声誉的公司或人员。不要在这件事上低调。一家声誉良好的公司不会因为可能导致您的违规行为而失去声誉。