= Behöver råd om att säkra nätverket =
Hej andra Redditors. Snälla ge mig alla uppriktiga råd.
Jag har fått en ny utmaning, ny roll, ny miljö. Och efter en del nyligen "skadlig aktivitet från dåliga aktörers sida"är säkerheten av största vikt.
Vad är
Så de har ett litet virtuellt datacenter, värd utanför anläggningen. Business App-server, AD- och DFS-filserver, citrix-infrastruktur, några citrix-skrivbordsservrar. Användare loggar in på Citrix-datorerna, kör sina M365- och affärsappar, gör sitt arbete. Colo-värdarna tar hand om regelbundna backuper, EP-skydd, hjälper till med adminuppgifter m.m.
Användare har MS365-konton för e-post och applikationer. De flesta data finns fortfarande på FS, men en del av den har börjat flytta upp till Teams/SP/OneDrive. Det finns ingen länk mellan colo AD och MS365-kontona.
Stationära datorer på de olika kontoren är en het röra. Det är mestadels Windows 10, men det är ingen AD. De är i huvudsak konfigurerade som terminaler, där alla loggar in på Citrix-installationen via krom. AV är en kombination av Trend (de flesta) och Windows Defender.
**Vad hände**
De onda kom in, bråkade och orsakade lite driftstopp. Jag blev inkallad vid det tillfället. Genom att arbeta med värdarna kunde vi återställa maskiner och data från säkerhetskopior, komma igång igen, lärdomar.
**Vad vi har gjort**
Sedan dess har vi kompenserat för tidigare dåliga metoder. Alla servrar korrigerades till nuvarande. Lösenord tvingades ändras, pågående. 2FA rullas ut till alla användare så snabbt vi kan hantera. Antalet administratörskonton minskade kraftigt. IPS på brandväggen. Aggressiv skyddspolitik. Helst gör vi allt som är rimligt för att säkra "datacentret".
**Vad vi behöver göra**
När vi väl har säkrat en omkrets runt colo DC (100% 2FA), vill jag desperat säkra de stationära datorerna. Vi har ingen infrastruktur för DC:er på plats, inte heller ett WAN från plats till plats. Jag behöver råd här.
Kan jag använda befintliga MS365-konton som ett slags "AD i molnet?"Jag vet att vi kan använda MS-konton för att logga in på en Windows 10-dator - gå med i vår MS365-domän i brist på en bättre term - men jag har ingen aning om vad det ger oss? Vilken typ av kontroll, synlighet? Policyer?
Finns det en mer robust resurs för detta (Azure AD och i så fall för- och nackdelar? Kostnad?
Förslag på hur man bråkar dessa olika katter (datorer) snabbast och effektivt? Vill du ha möjligheten att ta bort, övervaka, tvinga fram några grundläggande policyer, lägga till/ta bort/tillämpa programvara och inställningar från en konsol?
Förslag på ett AV-paket. Hälften av det jag läste säger att Defender är bra. Den andra hälften verkar inte hålla med och insisterar på att vi behöver något tredje part. Jag är ganska säker på att de inte är en "Defender Console"tillgänglig?
Med tanke på den allmänna situationen, vad skulle alla rekommendera? Tack för den konstruktiva feedbacken!
Jag antar att alla dessa MS365-konton är i samma klient och du har en Azure AD som du redan hanterar?
Den här tråden kan hjälpa dig med några av dina frågor: httpswww.reddit.com/r/Office365/comments/jjf8j9/azure_ad_microsoft_intune_to_replace_onprem_ad/
Men i grund och botten vill du titta på är inTune. Detta kan tillämpa policyer (som GPO) på din flotta från portalen.
Defender är bra för en AV, men Microsoft Defender for Endpoints (Aka ATP) är vad du vill ha för de extra lagren av säkerhet.
httpsdocs.microsoft.com/en-us/windows/security/threat-protection/microsoft-defender-atp/microsoft-defender-advanced-threat-protection
Vet du hur intrånget uppstod? Att ta reda på det borde vara en del av att säkra miljön. Kontrollera CISA Alert (AA20-275A) potential för Kinas cyberrespons på ökade spänningar i U.S.A.Kina för specifika Citrix-sårbarheter som används av statligt sponsrade och andra illvilliga aktörer som ett exempel på att lära sig hur något hände för att vidta åtgärder för att förhindra det.
Vilken budget har du generellt för den här övningen?
== Om gemenskapen ==
Medlemmar
Uppkopplad
Reddit
DEDIKERAD SERVAR HOSTING#1
