管理員許可權的憑證安全漏洞

問題點：網路上的主機都存有管理許可權的憑證。一旦非授權使用者獲取了其中某些憑證，會發生什麼?答案：整個域的部分或全部管理許可權都會陷落。

如果公司安全要求強制規定所有管理員口令必須定期更換，it管理員恐怕會頭疼又無奈。僅僅定位所有本地管理員賬戶就是個耗盡精力的繁瑣活兒，更別說還要乙個個更新了。而且這還不包括網路上那些主機任務、服務和com物件所用的賬戶。於是，很多應該做的更新從來就沒有完成過。

以下幾種憑證就是容易被黑客染指的：

1. 內建管理員賬戶

主機設立的時候都會建立乙個本地登入賬戶。很多公司裡，每台主機上的本地登入賬戶名和口令都是一樣的。因此，想成為整個網路的管理員，黑客需要做的，僅僅是破解1臺主機的本地管理員口令就好。利用彩虹表，可以在數秒內爆破出管理員口令。

2. 服務賬戶

很多主機都會使用本地或域管理員賬戶均能執行的服務。針對這些服務，有乙個很不好的地方：每台機器上都儲存有賬戶名和口令。一旦黑客獲取了某台機器的管理員許可權，然後呢?執行口令破解程式(比如彩虹表)瀏覽windows系統秘密區域簡直不要太簡單。

3. 內嵌憑證

有時候，使用者名稱和口令以明文或很容易還原的密文儲存，然後被管理員/使用者很愉快地忘記掉了。由於缺乏可見性，這些憑證一旦被應用，幾乎是不會再改變的。基於賬戶可能被使用的方式，恐懼、不確定和懷疑在滋生，問題也隨之擴大，但卻從未被記錄。此類賬戶通常代表著對受限資料或個人可識別資訊的訪問許可權。

工作站安全最佳實踐

惡意內部人可以很輕易地滲透自己機器的本地安全，據此暴露出主機上儲存的憑證。應採取預防措施最小化該風險。首先，禁止黑客工具的引入。微軟活動目錄的組策略功能，可以禁用登錄檔編輯工具和黑客工具。但若使用者可以從u盤或光碟啟動，在dos下執行工具，那這些策略也就沒用了。

另乙個選項是拆掉或禁用u盤和光碟驅動器。該方法應該會有效。至少除非特有心侵入的人士直接開箱或重設bios，重新啟用這些裝置，否則用純軟體的辦法是沒轍了。最狡猾的攻擊，是複製資訊或映象系統到乙個你控制不了的地方。然後就可以輕鬆愜意地想怎麼破解就怎麼破解了。

似乎無論採取什麼措施對抗惡意使用者的敏感資訊抽取行為，他們總能找到變通方法。這意味著，唯一實用的解決方案，就是降低每台工作站上的資訊價值。確保所有服務、計畫任務和com+型別物件都不涉及域管理員賬戶，工作站上儲存的資訊價值也就相應降低了。

然後，本地管理員賬戶必須定期更改。更好的做法是，每台機器都有自己獨特的口令。這樣一來，即便有人破解了其中一台的口令，被盜憑證也無法在網路上其他系統中使用。

伺服器安全最佳實踐

離職it管理員有可能把原公司的管理員口令也一併帶走。若所有管理員口令都是同乙個，且極少改變，那情況就特別危險了。

大型企業可能保有數千台伺服器，上面無數域管理員賬戶作為服務、計畫任務、mts/com+/dcom物件和本地登入賬戶歡快地活躍著。對這些賬戶憑證的任何修改嘗試，都可能導致無數關鍵系統掉線。

鑑於找出管理員賬戶所用全部物件的巨大難度，很多公司選擇了不去更新這些資訊。

常見管理憑證問題的解決方案

任何安全專案的目標，都是阻止或緩解威脅。為解決管理憑證安全威脅，公司必須定期修改管理員口令。保持每個口令各不相同也是必要的。

還必須實現一套方法，能夠搜尋公司範圍內所有主機，查詢本地和域管理員賬戶例項。這些賬戶的憑證必須經常更新。而且，是企業內每台主機、裝置和應用的特權口令都必須定期更新。

開銷最低的解決方案，需要自動化指令碼、無限耐心和最新的主機列表。然而，不幸的是，指令碼沒有任何資料庫或圖形使用者介面(gui)前端可供使用者進行管理。對複雜服務、com物件和計畫任務的管理能力，也是指令碼所欠缺的。問題並非出自指令碼編寫，真正的問題出在測試、故障診斷、記錄、支援和更新指令碼上。

組策略是個缺乏內在智慧型的只寫解決方案。不僅沒有報告功能，還依賴工作站主動請求更新。這意味著，同樣的組策略，在主機系統上的應用，可能比在活動目錄中的應用，晚上數小時。而且，這還是組策略有效的情況下。

自動化特權身份管理

於是，如果以上選項都不適合企業環境，那我們還剩下什麼?答案是商業特權身份管理。該解決方案可以在跨平台企業環境中(企業內和雲端)自動發現特權賬戶，將這些賬戶納入管理，並審計對這些賬戶的訪問。

使用者可以根據需要更新每個特權憑證。甚至幾個小時一變都可以。這就抵消了零日攻擊和其他高階網路威脅的傷害——因為即便入侵者獲取了憑證，憑證生存週期有限，造成的傷害也就受限了。入侵者不能利用被盜憑證在系統間跳轉。

而且，有了自動化解決方案處理複雜問題，有限的it資源便可以投入到其他專案上了。