Я работал с тем же самым в своей компании. Я на самом деле нашел, что большинство людей было более восприимчивым к этому, чем я думал, но несколько вещей были ключевыми:
- Напомните им, что основная цель этого состоит в том, чтобы предотвратить несчастные случаи. Несчастные случаи - что-то, чего все могут коснуться. Почти никто не думает, что они будут когда-либо взламываться, и говорящий о внутренних хакерах помещает их на оборону сразу ("разве Вы не доверяете мне?").
- Быстро ответьте на запросы, когда они действительно столкнутся с блоком.
- Будьте готовы работать с ними. Мы нашли, что некоторые вещи, которые я первоначально заблокировал вниз, были необходимы, чтобы они делали свои работы и не вызвали бы проблемы, если они были открыты назад немного.
- Будьте последовательны. Необходимо применить эти политики универсально. Когда возможно, примените их к себе, также.
Я также пытался сделать это в меньших инкрементах для создания этого менее разрушительным. Например:
- Все новые базы данных теперь имеют строгие полномочия от запуска. Вы не пропускаете то, что Вы никогда не имели.
- Запустите путем удаления системного администратора и других прав уровня сервера, если у них в настоящее время есть они. Большинство людей согласится, что они не должны реконфигурировать сервер, и он удаляет много дыр в системе безопасности. После того как они видели, что могут жить, с которым, это готовит почву для большего количества возрастающего сжатия.
- Сожмите вниз базы данных одного приложения за один раз. Это делает, это более управляемый для Вас, плюс это позволяет Вам изучать со временем, в каких правах они нуждаются, таким образом, будущее сжатие идет более гладко.
Удачи!
Ссылка