251
如何通過“限製管理權限”來保護您的企業?
我們發現有這樣一個問題可用來判斷IT部門的安全能力。這個問題並不是有關他們的認證、預算、防火牆或者下一代行為分析工具,這些常見的信息安全做法都無法有效緩解簡單安全配置錯誤帶來的風險。這個問題是:是否所有用戶都有對工作站的管理權限。那麼,為什麼這個問題可判斷他們的信息安全能力呢?
我們聽到IT部門的借口通常包括這幾樣。他們解釋說他們的軟件需要管理訪問權限,如果沒有就無法運行。其他人則解釋這樣可讓用戶更容易地對應用進行軟件更新,因為讓用戶可自己安裝軟件,IT部門就不會有太多工作要做。
放下借口
這些借口有一定的道理。有些應用確實需要對工作站的管理權限訪問,這些應用通常需要直接訪問硬件,它們不使用標準的Windows API。這些類型的應用示例包括集成自定義CD/DVD刻錄工具或者硬件許可證加密狗。然而,這些應用例外並不足以讓IT部門為所有用戶提供管理訪問權限;畢竟這樣做的風險太高。
同時,大多數IT部門都缺乏人才資源,IT部門的員工都需要做各種各樣的事情。檢查每個應用並確定適當的安全權限已經成為IT遙遠的記憶。
新應用經濟和DevOps式管理讓係統管理技能黯然失色。不僅沒有人有時間來正確配置安全,當他們試圖花時間來構建安全的係統時,實際上還會被視為障礙。沒有人意識到花費在安全配置係統的時間可確保企業的安全投資獲得最大的投資回報率。
那些允許所有用戶對Windows計算機具有管理訪問權限的企業更容易受到攻擊。攻擊者隻需要讓受害者訪問帶有惡意有效載荷的網頁或者打開附件即可,隨後該有效載荷可通過受害者的登錄憑證安裝在所有用戶機器中。攻擊者還可禁用防病毒軟件允許他們使用更多工具進行進一步攻擊。他們甚至可清除事件日誌來掩蓋攻擊者的蹤跡並防止被發現。
大多數企業沒有意識到的最大問題是,在這樣的攻擊情況中,攻擊者還可訪問存在於被攻擊機器中所有的憑證信息。Mimikatz等工具可用於直接從係統內存獲取這些秘密。複雜的27個字符的密碼都會失去作用,即使是上世紀90年代的舊工具Cain&Abel都可用於從Windows電腦提取憑證信息。
最初配置係統的電腦技術人員已經緩存本地存儲的憑證信息,這些都可以被訪問以及破解,電腦中運行的服務賬號也容易受到攻擊。通過利用這些憑證信息,攻擊者可訪問網絡中所有計算機,並可通過有效的登錄信息輕鬆地橫向移動,讓檢測幾乎變得不可能。他們可利用這些技術訪問一台電腦,最終獲取對網絡的域管理員權限,這樣的話,我們將看到嚴重的數據泄露事故。
保護您的企業
對於這種攻擊,最佳防禦是嚴格限製管理權限以減少曝光。這樣,當攻擊者試圖在工作站升級其權限,這樣您就有機會可抓到他們。
大多數需要管理權限的應用隻需要訪問“C:Program Files”目錄或者“C:Windows”下的係統目錄。它們還可能需要能夠寫入到用戶配置文件外注冊表區域,例如“HKLM”。微軟Sysinternals中的Process Explorer和Process Monitor等免費工具可有效識別注冊表及文件係統中的這些權限問題。
然而,如果沒有投入所需的時間來配置,這些工具將無法發揮作用。IT人員可與管理層合作,向他們說明妥善管理的機器可減少支持技術基礎設施的整體成本。這種成本降低而非風險降低技術會讓大多數企業更好地理解以及作出響應。如果所有這些都失效,則應該考慮向管理層展示mimikatz或類似工具清除測試計算機中所有憑證的過程。如果這都不能吸引他們的注意力,那就沒有其他了。
本文轉自d1net(轉載)
最後更新:2017-07-24 10:33:07