管理员权限的凭证安全漏洞
问题点:网络上的主机都存有管理权限的凭证。一旦非授权用户获取了其中某些凭证,会发生什么?答案:整个域的部分或全部管理权限都会陷落。
如果公司安全要求强制规定所有管理员口令必须定期更换,IT管理员恐怕会头疼又无奈。仅仅定位所有本地管理员账户就是个耗尽精力的繁琐活儿,更别说还要一个个更新了。而且这还不包括网络上那些主机任务、服务和COM对象所用的账户。于是,很多应该做的更新从来就没有完成过。
以下几种凭证就是容易被黑客染指的:
1. 内置管理员账户
主机设立的时候都会创建一个本地登录账户。很多公司里,每台主机上的本地登录账户名和口令都是一样的。因此,想成为整个网络的管理员,黑客需要做的,仅仅是破解1台主机的本地管理员口令就好。利用彩虹表,可以在数秒内爆破出管理员口令。
2. 服务账户
很多主机都会使用本地或域管理员账户均能运行的服务。针对这些服务,有一个很不好的地方:每台机器上都存储有账户名和口令。一旦黑客获取了某台机器的管理员权限,然后呢?运行口令破解程序(比如彩虹表)浏览Windows系统秘密区域简直不要太简单。
3. 内嵌凭证
有时候,用户名和口令以明文或很容易还原的密文存储,然后被管理员/用户很愉快地忘记掉了。由于缺乏可见性,这些凭证一旦被应用,几乎是不会再改变的。基于账户可能被使用的方式,恐惧、不确定和怀疑在滋生,问题也随之扩大,但却从未被记录。此类账户通常代表着对受限数据或个人可识别信息的访问权限。
工作站安全最佳实践
恶意内部人可以很轻易地渗透自己机器的本地安全,据此暴露出主机上存储的凭证。应采取预防措施最小化该风险。首先,禁止黑客工具的引入。微软活动目录的组策略功能,可以禁用注册表编辑工具和黑客工具。但若用户可以从U盘或光盘启动,在DOS下运行工具,那这些策略也就没用了。
另一个选项是拆掉或禁用U盘和光盘驱动器。该方法应该会有效。至少除非特有心侵入的人士直接开箱或重设BIOS,重新启用这些设备,否则用纯软件的办法是没辙了。最狡猾的攻击,是复制信息或镜像系统到一个你控制不了的地方。然后就可以轻松惬意地想怎么破解就怎么破解了。
似乎无论采取什么措施对抗恶意用户的敏感信息抽取行为,他们总能找到变通方法。这意味着,唯一实用的解决方案,就是降低每台工作站上的信息价值。确保所有服务、计划任务和COM+类型对象都不涉及域管理员账户,工作站上存储的信息价值也就相应降低了。
然后,本地管理员账户必须定期更改。更好的做法是,每台机器都有自己独特的口令。这样一来,即便有人破解了其中一台的口令,被盗凭证也无法在网络上其他系统中使用。
服务器安全最佳实践
离职IT管理员有可能把原公司的管理员口令也一并带走。若所有管理员口令都是同一个,且极少改变,那情况就特别危险了。
大型企业可能保有数千台服务器,上面无数域管理员账户作为服务、计划任务、MTS/COM+/DCOM对象和本地登录账户欢快地活跃着。对这些账户凭证的任何修改尝试,都可能导致无数关键系统掉线。
鉴于找出管理员账户所用全部对象的巨大难度,很多公司选择了不去更新这些信息。
常见管理凭证问题的解决方案
任何安全项目的目标,都是阻止或缓解威胁。为解决管理凭证安全威胁,公司必须定期修改管理员口令。保持每个口令各不相同也是必要的。
还必须实现一套方法,能够搜索公司范围内所有主机,查找本地和域管理员账户实例。这些账户的凭证必须经常更新。而且,是企业内每台主机、设备和应用的特权口令都必须定期更新。
开销最低的解决方案,需要自动化脚本、无限耐心和最新的主机列表。然而,不幸的是,脚本没有任何数据库或图形用户界面(GUI)前端可供用户进行管理。对复杂服务、COM对象和计划任务的管理能力,也是脚本所欠缺的。问题并非出自脚本编写,真正的问题出在测试、故障诊断、记录、支持和更新脚本上。
组策略是个缺乏内在智能的只写解决方案。不仅没有报告功能,还依赖工作站主动请求更新。这意味着,同样的组策略,在主机系统上的应用,可能比在活动目录中的应用,晚上数小时。而且,这还是组策略有效的情况下。
自动化特权身份管理
于是,如果以上选项都不适合企业环境,那我们还剩下什么?答案是商业特权身份管理。该解决方案可以在跨平台企业环境中(企业内和云端)自动发现特权账户,将这些账户纳入管理,并审计对这些账户的访问。
用户可以根据需要更新每个特权凭证。甚至几个小时一变都可以。这就抵消了零日攻击和其他高级网络威胁的伤害——因为即便入侵者获取了凭证,凭证生存周期有限,造成的伤害也就受限了。入侵者不能利用被盗凭证在系统间跳转。
而且,有了自动化解决方案处理复杂问题,有限的IT资源便可以投入到其他项目上了。