如何通过“限制管理权限”来保护您的企业?

日期:2017-1-9作者:Joseph Granneman翻译:邹铮来源:TechTarget中国 英文

【TechTarget中国原创】

我们发现有这样一个问题可用来判断IT部门的安全能力。这个问题并不是有关他们的认证、预算、防火墙或者下一代行为分析工具,这些常见的信息安全做法都无法有效缓解简单安全配置错误带来的风险。这个问题是:是否所有用户都有对工作站的管理权限。那么,为什么这个问题可判断他们的信息安全能力呢?

我们听到IT部门的借口通常包括这几样。他们解释说他们的软件需要管理访问权限,如果没有就无法运行。其他人则解释这样可让用户更容易地对应用进行软件更新,因为让用户可自己安装软件,IT部门就不会有太多工作要做。

放下借口

这些借口有一定的道理。有些应用确实需要对工作站的管理权限访问,这些应用通常需要直接访问硬件,它们不使用标准的Windows API。这些类型的应用示例包括集成自定义CD/DVD刻录工具或者硬件许可证加密狗。然而,这些应用例外并不足以让IT部门为所有用户提供管理访问权限;毕竟这样做的风险太高。

同时,大多数IT部门都缺乏人才资源,IT部门的员工都需要做各种各样的事情。检查每个应用并确定适当的安全权限已经成为IT遥远的记忆。

新应用经济和DevOps式管理让系统管理技能黯然失色。不仅没有人有时间来正确配置安全,当他们试图花时间来构建安全的系统时,实际上还会被视为障碍。没有人意识到花费在安全配置系统的时间可确保企业的安全投资获得最大的投资回报率。

那些允许所有用户对Windows计算机具有管理访问权限的企业更容易受到攻击。攻击者只需要让受害者访问带有恶意有效载荷的网页或者打开附件即可,随后该有效载荷可通过受害者的登录凭证安装在所有用户机器中。攻击者还可禁用防病毒软件允许他们使用更多工具进行进一步攻击。他们甚至可清除事件日志来掩盖攻击者的踪迹并防止被发现。

大多数企业没有意识到的最大问题是,在这样的攻击情况中,攻击者还可访问存在于被攻击机器中所有的凭证信息。Mimikatz等工具可用于直接从系统内存获取这些秘密。复杂的27个字符的密码都会失去作用,即使是上世纪90年代的旧工具Cain&Abel都可用于从Windows电脑提取凭证信息。

最初配置系统的电脑技术人员已经缓存本地存储的凭证信息,这些都可以被访问以及破解,电脑中运行的服务账号也容易受到攻击。通过利用这些凭证信息,攻击者可访问网络中所有计算机,并可通过有效的登录信息轻松地横向移动,让检测几乎变得不可能。他们可利用这些技术访问一台电脑,最终获取对网络的域管理员权限,这样的话,我们将看到严重的数据泄露事故。

保护您的企业

对于这种攻击,最佳防御是严格限制管理权限以减少曝光。这样,当攻击者试图在工作站升级其权限,这样您就有机会可抓到他们。

大多数需要管理权限的应用只需要访问“C:\Program Files”目录或者“C:\Windows”下的系统目录。它们还可能需要能够写入到用户配置文件外注册表区域,例如“HKLM”。微软Sysinternals中的Process Explorer和Process Monitor等免费工具可有效识别注册表及文件系统中的这些权限问题。

然而,如果没有投入所需的时间来配置,这些工具将无法发挥作用。IT人员可与管理层合作,向他们说明妥善管理的机器可减少支持技术基础设施的整体成本。这种成本降低而非风险降低技术会让大多数企业更好地理解以及作出响应。如果所有这些都失效,则应该考虑向管理层展示mimikatz或类似工具清除测试计算机中所有凭证的过程。如果这都不能吸引他们的注意力,那就没有其他了。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

评论
查看更多评论

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

企业安全风险管理>更多

  • 专访志翔科技伍桑海:“懂业务才能做安全”

    志翔的安全产品服务如今服务于从大型能源、银行部门到中小企业不等规模的用户。且对于安全方案,不同行业有不同的需求,在共性的方面志翔通过提供一个通用的方案满足用户在数据保护方面的需求。对于业务安全问题,会提供体制化的安全方案以贴合用户的业务……

  • 云隐私:基础功能和值得关注的新兴技术

    为了实现云隐私保护,您需要了解当前可用的选项和功能,以及了解正在开发的未来的新技术……

  • 抵御WannaCry等攻击?这里有一波资源来袭……

    连续几天勒索蠕虫WannaCry都作为霸屏一般的存在,且该勒索病毒源头软件背后的黑客黑客组织放话还要在6月持续放大招,不免令人担心。那么为了应对潜在的恶意攻击,企业该怎么做呢?

  • 将新的FDA医疗器械指南纳入企业信息安全计划

    在预防和防止数据泄露方面,以及确保复杂业务和医疗系统和设备方面,医疗行业面临巨大压力。在本文中,我们将讨论FDA医疗器械网络安全指南以及企业应如何将其纳入信息安全计划……

相关推荐

  • 2015黑帽大会:网络灾难后 重建IT安全

    在遭遇重大网络攻击后,重建IT安全的过程很艰难,在本文中,Christina Kubecka分享了一些经验技巧,这些经验来自2012年她在Saudi Aramco工作时经历的重大攻击事件。

  • H3C领跑国内IT安全市场

    IDC最新发布的《2013-2017中国IT安全市场预测与分析》研究报告显示,H3C涉足整个IT安全硬件市场6个细分市场中的5个,整体安全产品销售规模在各厂商中居于领先位置。

  • 不能相信的13个安全神话

    在IT安全领域,存在一些“安全神话”,它们经常被提到,普遍被接受,然而,其实都是不正确的观念,换句话说,它们只是神话。

  • 扼杀Coreflood:微软更新恶意软件清除工具

    微软发布一次带外更新,针对其恶意软件清除工具(Malicious Software Removal Tool,MSRT),提供了检测Coreflood僵尸网络感染的能力,加强对Coreflood的清除。

技术手册>更多

  • Web服务器安全设置

    本专题将介绍如何策划并进行Web服务器操作系统和服务的安装,并列出了在Web服务器的安装和使用的过程中,所面临的主要的威胁和攻击类型。此外本专题还将详细解释了加固步骤以及如何保护其他的诸如SMTP之类的网络服务。

  • 走进单点登录

    SSO,也就是单点登录(single sign-on),它是是一种认证方法,要求用户只登录一次,使用一个用户ID和密码,登录多个应用、系统或Web网站。企业的单点登录(SSO)为终端用户提供了改善用户经验,帮助IT员工减少管理大量应用上的密码的成本。在本技术专题指南中,将主要通过专家回答用户问题的方式,解密单点登录,带领大家走进单点登录。

  • IT安全最佳实践集(更新版)

    “最佳实践”来自英文Best Practice。维基百科对最佳实践的定义是一个管理学概念,认为存在某种技术、方法、过程、活动或机制可以使生产或者管理实践的结果达到最优,并减少出错的可能性。学习应用IT企业安全的最佳实践,其实就是借鉴别人成功的经验,让自己在保护企业安全方面少走弯路。在本手册中,将集合IT业内关于企业安全的最佳实践,并不断更新,以期在企业安全防护方面提供帮助。

  • Linux服务器安全技巧及工具总结

    Linux的安全性是企业构筑安全应用的重中之重,本技术手册介绍了Linux服务器安全的技巧和工具。

TechTarget

最新资源
  • 存储
  • CIO
  • 数据库
  • 网络
  • 数据中心
  • 云计算