問題點(diǎn)：網(wǎng)絡(luò)上的主機(jī)都存有管理權(quán)限的憑證。一旦非授權(quán)用戶獲取了其中某些憑證，會發(fā)生什么?答案：整個域的部分或全部管理權(quán)限都會陷落。

如果公司安全要求強(qiáng)制規(guī)定所有管理員口令必須定期更換，IT管理員恐怕會頭疼又無奈。僅僅定位所有本地管理員賬戶就是個耗盡精力的繁瑣活兒，更別說還要一個個更新了。而且這還不包括網(wǎng)絡(luò)上那些主機(jī)任務(wù)、服務(wù)和COM對象所用的賬戶。于是，很多應(yīng)該做的更新從來就沒有完成過。

以下幾種憑證就是容易被黑客染指的：

1. 內(nèi)置管理員賬戶

主機(jī)設(shè)立的時候都會創(chuàng)建一個本地登錄賬戶。很多公司里，每臺主機(jī)上的本地登錄賬戶名和口令都是一樣的。因此，想成為整個網(wǎng)絡(luò)的管理員，黑客需要做的，僅僅是破解1臺主機(jī)的本地管理員口令就好。利用彩虹表，可以在數(shù)秒內(nèi)爆破出管理員口令。

2. 服務(wù)賬戶

很多主機(jī)都會使用本地或域管理員賬戶均能運(yùn)行的服務(wù)。針對這些服務(wù)，有一個很不好的地方：每臺機(jī)器上都存儲有賬戶名和口令。一旦黑客獲取了某臺機(jī)器的管理員權(quán)限，然后呢?運(yùn)行口令破解程序(比如彩虹表)瀏覽Windows系統(tǒng)秘密區(qū)域簡直不要太簡單。

3. 內(nèi)嵌憑證

有時候，用戶名和口令以明文或很容易還原的密文存儲，然后被管理員/用戶很愉快地忘記掉了。由于缺乏可見性，這些憑證一旦被應(yīng)用，幾乎是不會再改變的?；谫~戶可能被使用的方式，恐懼、不確定和懷疑在滋生，問題也隨之?dāng)U大，但卻從未被記錄。此類賬戶通常代表著對受限數(shù)據(jù)或個人可識別信息的訪問權(quán)限。

工作站安全最佳實(shí)踐

惡意內(nèi)部人可以很輕易地滲透自己機(jī)器的本地安全，據(jù)此暴露出主機(jī)上存儲的憑證。應(yīng)采取預(yù)防措施最小化該風(fēng)險。首先，禁止黑客工具的引入。微軟活動目錄的組策略功能，可以禁用注冊表編輯工具和黑客工具。但若用戶可以從U盤或光盤啟動，在DOS下運(yùn)行工具，那這些策略也就沒用了。

另一個選項(xiàng)是拆掉或禁用U盤和光盤驅(qū)動器。該方法應(yīng)該會有效。至少除非特有心侵入的人士直接開箱或重設(shè)BIOS，重新啟用這些設(shè)備，否則用純軟件的辦法是沒轍了。最狡猾的攻擊，是復(fù)制信息或鏡像系統(tǒng)到一個你控制不了的地方。然后就可以輕松愜意地想怎么破解就怎么破解了。

似乎無論采取什么措施對抗惡意用戶的敏感信息抽取行為，他們總能找到變通方法。這意味著，唯一實(shí)用的解決方案，就是降低每臺工作站上的信息價值。確保所有服務(wù)、計(jì)劃任務(wù)和COM+類型對象都不涉及域管理員賬戶，工作站上存儲的信息價值也就相應(yīng)降低了。

然后，本地管理員賬戶必須定期更改。更好的做法是，每臺機(jī)器都有自己獨(dú)特的口令。這樣一來，即便有人破解了其中一臺的口令，被盜憑證也無法在網(wǎng)絡(luò)上其他系統(tǒng)中使用。

服務(wù)器安全最佳實(shí)踐

離職IT管理員有可能把原公司的管理員口令也一并帶走。若所有管理員口令都是同一個，且極少改變，那情況就特別危險了。

大型企業(yè)可能保有數(shù)千臺服務(wù)器，上面無數(shù)域管理員賬戶作為服務(wù)、計(jì)劃任務(wù)、MTS/COM+/DCOM對象和本地登錄賬戶歡快地活躍著。對這些賬戶憑證的任何修改嘗試，都可能導(dǎo)致無數(shù)關(guān)鍵系統(tǒng)掉線。

鑒于找出管理員賬戶所用全部對象的巨大難度，很多公司選擇了不去更新這些信息。

常見管理憑證問題的解決方案

任何安全項(xiàng)目的目標(biāo)，都是阻止或緩解威脅。為解決管理憑證安全威脅，公司必須定期修改管理員口令。保持每個口令各不相同也是必要的。

還必須實(shí)現(xiàn)一套方法，能夠搜索公司范圍內(nèi)所有主機(jī)，查找本地和域管理員賬戶實(shí)例。這些賬戶的憑證必須經(jīng)常更新。而且，是企業(yè)內(nèi)每臺主機(jī)、設(shè)備和應(yīng)用的特權(quán)口令都必須定期更新。

開銷最低的解決方案，需要自動化腳本、無限耐心和最新的主機(jī)列表。然而，不幸的是，腳本沒有任何數(shù)據(jù)庫或圖形用戶界面(GUI)前端可供用戶進(jìn)行管理。對復(fù)雜服務(wù)、COM對象和計(jì)劃任務(wù)的管理能力，也是腳本所欠缺的。問題并非出自腳本編寫，真正的問題出在測試、故障診斷、記錄、支持和更新腳本上。

組策略是個缺乏內(nèi)在智能的只寫解決方案。不僅沒有報告功能，還依賴工作站主動請求更新。這意味著，同樣的組策略，在主機(jī)系統(tǒng)上的應(yīng)用，可能比在活動目錄中的應(yīng)用，晚上數(shù)小時。而且，這還是組策略有效的情況下。

自動化特權(quán)身份管理

于是，如果以上選項(xiàng)都不適合企業(yè)環(huán)境，那我們還剩下什么?答案是商業(yè)特權(quán)身份管理。該解決方案可以在跨平臺企業(yè)環(huán)境中(企業(yè)內(nèi)和云端)自動發(fā)現(xiàn)特權(quán)賬戶，將這些賬戶納入管理，并審計(jì)對這些賬戶的訪問。

用戶可以根據(jù)需要更新每個特權(quán)憑證。甚至幾個小時一變都可以。這就抵消了零日攻擊和其他高級網(wǎng)絡(luò)威脅的傷害——因?yàn)榧幢闳肭终攉@取了憑證，憑證生存周期有限，造成的傷害也就受限了。入侵者不能利用被盜憑證在系統(tǒng)間跳轉(zhuǎn)。

而且，有了自動化解決方案處理復(fù)雜問題，有限的IT資源便可以投入到其他項(xiàng)目上了。