管理員權限的憑證安全漏洞

問題點：網絡上的主機都存有管理權限的憑證。一旦非授權用戶獲取了其中某些憑證，會發生什麼?答案：整個域的部分或全部管理權限都會陷落。

如果公司安全要求強製規定所有管理員口令必須定期更換，IT管理員恐怕會頭疼又無奈。僅僅定位所有本地管理員賬戶就是個耗盡精力的繁瑣活兒，更別說還要一個個更新了。而且這還不包括網絡上那些主機任務、服務和COM對象所用的賬戶。於是，很多應該做的更新從來就沒有完成過。

以下幾種憑證就是容易被黑客染指的：

1. 內置管理員賬戶

主機設立的時候都會創建一個本地登錄賬戶。很多公司裏，每台主機上的本地登錄賬戶名和口令都是一樣的。因此，想成為整個網絡的管理員，黑客需要做的，僅僅是破解1台主機的本地管理員口令就好。利用彩虹表，可以在數秒內爆破出管理員口令。

2. 服務賬戶

很多主機都會使用本地或域管理員賬戶均能運行的服務。針對這些服務，有一個很不好的地方：每台機器上都存儲有賬戶名和口令。一旦黑客獲取了某台機器的管理員權限，然後呢?運行口令破解程序(比如彩虹表)瀏覽Windows係統秘密區域簡直不要太簡單。

3. 內嵌憑證

有時候，用戶名和口令以明文或很容易還原的密文存儲，然後被管理員/用戶很愉快地忘記掉了。由於缺乏可見性，這些憑證一旦被應用，幾乎是不會再改變的。基於賬戶可能被使用的方式，恐懼、不確定和懷疑在滋生，問題也隨之擴大，但卻從未被記錄。此類賬戶通常代表著對受限數據或個人可識別信息的訪問權限。

工作站安全最佳實踐

惡意內部人可以很輕易地滲透自己機器的本地安全，據此暴露出主機上存儲的憑證。應采取預防措施最小化該風險。首先，禁止黑客工具的引入。微軟活動目錄的組策略功能，可以禁用注冊表編輯工具和黑客工具。但若用戶可以從U盤或光盤啟動，在DOS下運行工具，那這些策略也就沒用了。

另一個選項是拆掉或禁用U盤和光盤驅動器。該方法應該會有效。至少除非特有心侵入的人士直接開箱或重設BIOS，重新啟用這些設備，否則用純軟件的辦法是沒轍了。最狡猾的攻擊，是複製信息或鏡像係統到一個你控製不了的地方。然後就可以輕鬆愜意地想怎麼破解就怎麼破解了。

似乎無論采取什麼措施對抗惡意用戶的敏感信息抽取行為，他們總能找到變通方法。這意味著，唯一實用的解決方案，就是降低每台工作站上的信息價值。確保所有服務、計劃任務和COM+類型對象都不涉及域管理員賬戶，工作站上存儲的信息價值也就相應降低了。

然後，本地管理員賬戶必須定期更改。更好的做法是，每台機器都有自己獨特的口令。這樣一來，即便有人破解了其中一台的口令，被盜憑證也無法在網絡上其他係統中使用。

服務器安全最佳實踐

離職IT管理員有可能把原公司的管理員口令也一並帶走。若所有管理員口令都是同一個，且極少改變，那情況就特別危險了。

大型企業可能保有數千台服務器，上麵無數域管理員賬戶作為服務、計劃任務、MTS/COM+/DCOM對象和本地登錄賬戶歡快地活躍著。對這些賬戶憑證的任何修改嚐試，都可能導致無數關鍵係統掉線。

鑒於找出管理員賬戶所用全部對象的巨大難度，很多公司選擇了不去更新這些信息。

常見管理憑證問題的解決方案

任何安全項目的目標，都是阻止或緩解威脅。為解決管理憑證安全威脅，公司必須定期修改管理員口令。保持每個口令各不相同也是必要的。

還必須實現一套方法，能夠搜索公司範圍內所有主機，查找本地和域管理員賬戶實例。這些賬戶的憑證必須經常更新。而且，是企業內每台主機、設備和應用的特權口令都必須定期更新。

開銷最低的解決方案，需要自動化腳本、無限耐心和最新的主機列表。然而，不幸的是，腳本沒有任何數據庫或圖形用戶界麵(GUI)前端可供用戶進行管理。對複雜服務、COM對象和計劃任務的管理能力，也是腳本所欠缺的。問題並非出自腳本編寫，真正的問題出在測試、故障診斷、記錄、支持和更新腳本上。

組策略是個缺乏內在智能的隻寫解決方案。不僅沒有報告功能，還依賴工作站主動請求更新。這意味著，同樣的組策略，在主機係統上的應用，可能比在活動目錄中的應用，晚上數小時。而且，這還是組策略有效的情況下。

自動化特權身份管理

於是，如果以上選項都不適合企業環境，那我們還剩下什麼?答案是商業特權身份管理。該解決方案可以在跨平台企業環境中(企業內和雲端)自動發現特權賬戶，將這些賬戶納入管理，並審計對這些賬戶的訪問。

用戶可以根據需要更新每個特權憑證。甚至幾個小時一變都可以。這就抵消了零日攻擊和其他高級網絡威脅的傷害——因為即便入侵者獲取了憑證，憑證生存周期有限，造成的傷害也就受限了。入侵者不能利用被盜憑證在係統間跳轉。

而且，有了自動化解決方案處理複雜問題，有限的IT資源便可以投入到其他項目上了。

本文作者：nana

來源：51CTO

最後更新：2017-11-03 17:33:59