如何通過“限制管理權限”來保護您的企業？

我們發現有這樣一個問題可用來判斷it部門的安全能力。這個問題并不是有關他們的認證、預算、防火牆或者下一代行為分析工具，這些常見的資訊安全做法都無法有效緩解簡單安全配置錯誤帶來的風險。這個問題是：是否所有使用者都有對工作站的管理權限。那麼，為什麼這個問題可判斷他們的資訊安全能力呢？

我們聽到it部門的借口通常包括這幾樣。他們解釋說他們的軟體需要管理通路權限，如果沒有就無法運作。其他人則解釋這樣可讓使用者更容易地對應用進行軟體更新，因為讓使用者可自己安裝軟體，it部門就不會有太多工作要做。

放下借口

這些借口有一定的道理。有些應用确實需要對工作站的管理權限通路，這些應用通常需要直接通路硬體，它們不使用标準的windows api。這些類型的應用示例包括內建自定義cd/dvd刻錄工具或者硬體許可證加密狗。然而，這些應用例外并不足以讓it部門為所有使用者提供管理通路權限；畢竟這樣做的風險太高。

同時，大多數it部門都缺乏人才資源，it部門的員工都需要做各種各樣的事情。檢查每個應用并确定适當的安全權限已經成為it遙遠的記憶。

新應用經濟和devops式管理讓系統管理技能黯然失色。不僅沒有人有時間來正确配置安全，當他們試圖花時間來建構安全的系統時，實際上還會被視為障礙。沒有人意識到花費在安全配置系統的時間可確定企業的安全投資獲得最大的投資回報率。

那些允許所有使用者對windows計算機具有管理通路權限的企業更容易受到攻擊。攻擊者隻需要讓受害者通路帶有惡意有效載荷的網頁或者打開附件即可，随後該有效載荷可通過受害者的登入憑證安裝在所有使用者機器中。攻擊者還可禁用防病毒軟體允許他們使用更多工具進行進一步攻擊。他們甚至可清除事件日志來掩蓋攻擊者的蹤迹并防止被發現。

大多數企業沒有意識到的最大問題是，在這樣的攻擊情況中，攻擊者還可通路存在于被攻擊機器中所有的憑證資訊。mimikatz等工具可用于直接從系統記憶體擷取這些秘密。複雜的27個字元的密碼都會失去作用，即使是上世紀90年代的舊工具cain&abel都可用于從windows電腦提取憑證資訊。

最初配置系統的電腦技術人員已經快取區域存儲的憑證資訊，這些都可以被通路以及破解，電腦中運作的服務賬号也容易受到攻擊。通過利用這些憑證資訊，攻擊者可通路網絡中所有計算機，并可通過有效的登入資訊輕松地橫向移動，讓檢測幾乎變得不可能。他們可利用這些技術通路一台電腦，最終擷取對網絡的域管理者權限，這樣的話，我們将看到嚴重的資料洩露事故。

保護您的企業

對于這種攻擊，最佳防禦是嚴格限制管理權限以減少曝光。這樣，當攻擊者試圖在工作站更新其權限，這樣您就有機會可抓到他們。

大多數需要管理權限的應用隻需要通路“c:program files”目錄或者“c:windows”下的系統目錄。它們還可能需要能夠寫入到使用者配置檔案外系統資料庫區域，例如“hklm”。微軟sysinternals中的process explorer和process monitor等免費工具可有效識别系統資料庫及檔案系統中的這些權限問題。

然而，如果沒有投入所需的時間來配置，這些工具将無法發揮作用。it人員可與管理層合作，向他們說明妥善管理的機器可減少支援技術基礎設施的整體成本。這種成本降低而非風險降低技術會讓大多數企業更好地了解以及作出響應。如果所有這些都失效，則應該考慮向管理層展示mimikatz或類似工具清除測試計算機中所有憑證的過程。如果這都不能吸引他們的注意力，那就沒有其他了。

本文轉自d1net（轉載）