如何通過「限制管理許可權」來保護您的企業?

2021-09-23 07:10:49 字數 1645 閱讀 5489

我們發現有這樣乙個問題可用來判斷it部門的安全能力。這個問題並不是有關他們的認證、預算、防火牆或者下一代行為分析工具,這些常見的資訊保安做法都無法有效緩解簡單安全配置錯誤帶來的風險。這個問題是:是否所有使用者都有對工作站的管理許可權。那麼,為什麼這個問題可以判斷他們的資訊保安能力呢?

我們聽到it部門的藉口通常包括這幾樣。他們解釋說他們的軟體需要管理訪問許可權,如果沒有就無法執行。其他人則解釋這樣可讓使用者更容易地對應用進行軟體更新,因為讓使用者可自己安裝軟體,it部門就不會有太多工作要做。

放下藉口

這些藉口有一定的道理。有些應用確實需要對工作站的管理許可權訪問,這些應用通常需要直接訪問硬體,它們不使用標準的windows api。這些型別的應用示例包括整合自定義cd/***燒錄工具或者硬體許可證加密狗。然而,這些應用例外並不足以讓it部門為所有使用者提供管理訪問許可權;畢竟這樣做的風險太高。

同時,大多數it部門都缺乏人才資源,it部門的員工都需要做各種各樣的事情。檢查每個應用並確定適當的安全許可權已經成為it遙遠的記憶。

新應用經濟和devops式管理讓系統管理技能黯然失色。不僅沒有人有時間來正確配置安全,當他們試圖花時間來構建安全的系統時,實際上還會被視為障礙。沒有人意識到花費在安全配置系統的時間可確保企業的安全投資獲得最大的投資回報率。

那些允許所有使用者對windows計算機具有管理訪問許可權的企業更容易受到攻擊。攻擊者只需要讓受害者訪問帶有惡意有效載荷的網頁或者開啟附件即可,隨後該有效載荷可通過受害者的登入憑證安裝在所有使用者機器中。攻擊者還可禁用防病毒軟體允許他們使用更多工具進行進一步攻擊。他們甚至可清除事件日誌來掩蓋攻擊者的蹤跡並防止被發現。

大多數企業沒有意識到的最大問題是,在這樣的攻擊情況中,攻擊者還可訪問存在於被攻擊機器中所有的憑證資訊。mimikatz等工具可用於直接從系統記憶體獲取這些秘密。複雜的27個字元的密碼都會失去作用,即使是上世紀90年代的舊工具cain&abel都可用於從windows電腦提取憑證資訊。

最初配置系統的電腦技術人員已經快取本地儲存的憑證資訊,這些都可以被訪問以及破解,電腦中執行的服務賬號也容易受到攻擊。通過利用這些憑證資訊,攻擊者可訪問網路中所有計算機,並可通過有效的登入資訊輕鬆地橫向移動,讓檢測幾乎變得不可能。他們可利用這些技術訪問一台電腦,最終獲取對網路的域管理員許可權,這樣的話,我們將看到嚴重的資料洩露事故。

保護您的企業

對於這種攻擊,最佳防禦是嚴格限制管理許可權以減少**。這樣,當攻擊者試圖在工作站公升級其許可權,這樣您就有機會可抓到他們。

大多數需要管理許可權的應用只需要訪問「c:program files」目錄或者「c:windows」下的系統目錄。它們還可能需要能夠寫入到使用者配置檔案外登錄檔區域,例如「hklm」。微軟sysinternals中的process explorer和process monitor等免費工具可有效識別登錄檔及檔案系統中的這些許可權問題。

然而,如果沒有投入所需的時間來配置,這些工具將無法發揮作用。it人員可與管理層合作,向他們說明妥善管理的機器可減少支援技術基礎設施的整體成本。這種成本降低而非風險降低技術會讓大多數企業更好地理解以及作出響應。如果所有這些都失效,則應該考慮向管理層展示mimikatz或類似工具清除測試計算機中所有憑證的過程。如果這都不能吸引他們的注意力,那就沒有其他了。

如何通過「限制管理許可權」來保護您的企業?

我們發現有這樣乙個問題可用來判斷it部門的安全能力。這個問題並不是有關他們的認證 預算 防火牆或者下一代行為分析工具,這些常見的資訊保安做法都無法有效緩解簡單安全配置錯誤帶來的風險。這個問題是 是否所有使用者都有對工作站的管理許可權。那麼,為什麼這個問題可判斷他們的資訊保安能力呢?我們聽到it部門的...

如何使用Defender優雅的管理許可權?

許可權管理已經不知不覺深入到了我們生活的每乙個角落,例如地鐵進站的閘機,高速公路上的過路費,停車場的槓桿等等等等。作為一名開發人員,許可權二字對我們的映像更加深刻,無論任何系統,都多多少少與許可權管理會沾上關係!什麼?你的系統和許可權不沾邊.好吧,你的 拉取許可權總得有吧!如果還沒有的話,你登上掘金...

Oracle(17)如何管理許可權和角色

系統許可權主要指對資料庫管理的操作以及對資料物件的操作 建立 刪除 修改 物件許可權主要指對資料物件的操作 curd 角色本質就是多個許可權的集合,用於簡化對許可權的管理,分為預定義角色和自定義角色。剛剛建立的使用者,沒有任何許可權,也不能執行任何操作。如果要執行某種特定的資料庫操作,必須為其授予系...