据督察将军办公室(IG)部门(IG)部门(IG)部门(IG)部门(IG)部门(Ig)办公室(IG)的商务办公室(IG)部门(IG)部门(IG)办公室(IG)的工商办公室(IG)部门(IG)部门(IG)部门(Ig)部门(IG)部),曼联州专利和商标局没有正确管理其Active Directory 报告 released June 13.

检查员常规的报告发现了Active Directory的配置差,授予用户过度权限,而不是审查进程来删除不必要的权限,而不是根据其作业函数分隔用户。此外,在30,000个帐户密码中大约200个存储弱加密,包括某些特权帐户。报告指出,检查员将在50分钟内能够在50分钟内获得所有这些办事处。

在裂开加密时,检查员将军的办公室还发现,97%的密码没有遵守部门政策。虽然USPTO具有用于较新系统的密码策略强制工具,但它仍然与遗留系统不兼容,但将它们“非常容易受到网络角质”。

除了目录的配置之外,支持Active Directory的域控制器还遭受网络漏洞。漏洞扫描经常使用无法检测到新攻击的过时的工具来跳过或执行,并且很少扫描虚拟机管理程序,将虚拟机处于危险之中。

“这些缺乏扫描实践是两个缺点的结果:(1)USPTO没有正式,记录的标准操作程序,用于执行和管理扫描,(2)缺乏政府承包商监督,”报告发现。

修补也被出现为USPTO的弱点,由于“在将它们部署到生产之前测试补丁的繁琐过程,因此临界和高漏洞。港口也没有得到很好的管理,因为每个记录的港口被授权开放,并且在域控制器上开放了14个不需要的港口 - “恶意活动的特征” - 报告说明。

USPTO的网络问题也不是原子能机构的新手。

“我们发现在2017年3月审计报告中,我们发现先前指出的重复安全练习弱点。在那个早期的报告中,我们专门指出与漏洞扫描和端口管理有关的安全弱点,并为USPTO提出了建议,采取纠正措施。然而,我们现在观察到,安全实践仍然存在相同的不足,“检查员将军指出。

该报告向USPTO的CIO提出了八项建议,包括删除不需要的特权,确保所有密码符合部门策略,最终确定漏洞扫描标准操作程序,并简化了补丁管理审查策略。 Uspto同意所有的建议

阅读更多信息
关于
乔希梅奥
乔希梅奥
乔希梅奥是一个涵盖政府和技术交叉口的Manitalk员工记者。
标签