當(dāng)前位置：安全 → 行業(yè)動(dòng)態(tài) → 正文

如何通過“限制管理權(quán)限”來保護(hù)您的企業(yè)？

責(zé)任編輯：editor005 作者：Joseph Granneman |來源：企業(yè)網(wǎng)D1Net 2017-01-09 14:22:04 本文摘自：TechTarget中國(guó)

我們發(fā)現(xiàn)有這樣一個(gè)問題可用來判斷IT部門的安全能力。這個(gè)問題并不是有關(guān)他們的認(rèn)證、預(yù)算、防火墻或者下一代行為分析工具，這些常見的信息安全做法都無法有效緩解簡(jiǎn)單安全配置錯(cuò)誤帶來的風(fēng)險(xiǎn)。這個(gè)問題是：是否所有用戶都有對(duì)工作站的管理權(quán)限。那么，為什么這個(gè)問題可判斷他們的信息安全能力呢？

我們聽到IT部門的借口通常包括這幾樣。他們解釋說他們的軟件需要管理訪問權(quán)限，如果沒有就無法運(yùn)行。其他人則解釋這樣可讓用戶更容易地對(duì)應(yīng)用進(jìn)行軟件更新，因?yàn)樽層脩艨勺约喊惭b軟件，IT部門就不會(huì)有太多工作要做。

放下借口

這些借口有一定的道理。有些應(yīng)用確實(shí)需要對(duì)工作站的管理權(quán)限訪問，這些應(yīng)用通常需要直接訪問硬件，它們不使用標(biāo)準(zhǔn)的Windows API。這些類型的應(yīng)用示例包括集成自定義CD/DVD刻錄工具或者硬件許可證加密狗。然而，這些應(yīng)用例外并不足以讓IT部門為所有用戶提供管理訪問權(quán)限；畢竟這樣做的風(fēng)險(xiǎn)太高。

同時(shí)，大多數(shù)IT部門都缺乏人才資源，IT部門的員工都需要做各種各樣的事情。檢查每個(gè)應(yīng)用并確定適當(dāng)?shù)陌踩珯?quán)限已經(jīng)成為IT遙遠(yuǎn)的記憶。

新應(yīng)用經(jīng)濟(jì)和DevOps式管理讓系統(tǒng)管理技能黯然失色。不僅沒有人有時(shí)間來正確配置安全，當(dāng)他們?cè)噲D花時(shí)間來構(gòu)建安全的系統(tǒng)時(shí)，實(shí)際上還會(huì)被視為障礙。沒有人意識(shí)到花費(fèi)在安全配置系統(tǒng)的時(shí)間可確保企業(yè)的安全投資獲得最大的投資回報(bào)率。

那些允許所有用戶對(duì)Windows計(jì)算機(jī)具有管理訪問權(quán)限的企業(yè)更容易受到攻擊。攻擊者只需要讓受害者訪問帶有惡意有效載荷的網(wǎng)頁(yè)或者打開附件即可，隨后該有效載荷可通過受害者的登錄憑證安裝在所有用戶機(jī)器中。攻擊者還可禁用防病毒軟件允許他們使用更多工具進(jìn)行進(jìn)一步攻擊。他們甚至可清除事件日志來掩蓋攻擊者的蹤跡并防止被發(fā)現(xiàn)。

大多數(shù)企業(yè)沒有意識(shí)到的最大問題是，在這樣的攻擊情況中，攻擊者還可訪問存在于被攻擊機(jī)器中所有的憑證信息。Mimikatz等工具可用于直接從系統(tǒng)內(nèi)存獲取這些秘密。復(fù)雜的27個(gè)字符的密碼都會(huì)失去作用，即使是上世紀(jì)90年代的舊工具Cain&Abel都可用于從Windows電腦提取憑證信息。

最初配置系統(tǒng)的電腦技術(shù)人員已經(jīng)緩存本地存儲(chǔ)的憑證信息，這些都可以被訪問以及破解，電腦中運(yùn)行的服務(wù)賬號(hào)也容易受到攻擊。通過利用這些憑證信息，攻擊者可訪問網(wǎng)絡(luò)中所有計(jì)算機(jī)，并可通過有效的登錄信息輕松地橫向移動(dòng)，讓檢測(cè)幾乎變得不可能。他們可利用這些技術(shù)訪問一臺(tái)電腦，最終獲取對(duì)網(wǎng)絡(luò)的域管理員權(quán)限，這樣的話，我們將看到嚴(yán)重的數(shù)據(jù)泄露事故。

保護(hù)您的企業(yè)

對(duì)于這種攻擊，最佳防御是嚴(yán)格限制管理權(quán)限以減少曝光。這樣，當(dāng)攻擊者試圖在工作站升級(jí)其權(quán)限，這樣您就有機(jī)會(huì)可抓到他們。

大多數(shù)需要管理權(quán)限的應(yīng)用只需要訪問“C:Program Files”目錄或者“C:Windows”下的系統(tǒng)目錄。它們還可能需要能夠?qū)懭氲接脩襞渲梦募庾?cè)表區(qū)域，例如“HKLM”。微軟Sysinternals中的Process Explorer和Process Monitor等免費(fèi)工具可有效識(shí)別注冊(cè)表及文件系統(tǒng)中的這些權(quán)限問題。

然而，如果沒有投入所需的時(shí)間來配置，這些工具將無法發(fā)揮作用。IT人員可與管理層合作，向他們說明妥善管理的機(jī)器可減少支持技術(shù)基礎(chǔ)設(shè)施的整體成本。這種成本降低而非風(fēng)險(xiǎn)降低技術(shù)會(huì)讓大多數(shù)企業(yè)更好地理解以及作出響應(yīng)。如果所有這些都失效，則應(yīng)該考慮向管理層展示mimikatz或類似工具清除測(cè)試計(jì)算機(jī)中所有憑證的過程。如果這都不能吸引他們的注意力，那就沒有其他了。

關(guān)鍵字：IT 攻擊者 Sysinternals