在医学领域有一个叫做“零号病人”的概念，这是指第一个得传染病并开始扩散病毒的患者。而今天我们的故事就从IT安防领域的“零号病人”开始。

潜伏的威胁，你了解多少？

有经验的IT管理员通常会贯彻“最小特权”原则，一种常见做法是：给公司大部分普通员工创建只包含完成工作所必需最小特权的帐号，这样不仅可以保证普通员工只能执行工作需要的程序，访问工作需要用到的资源，借此顺利完成自己的工作；同时也保证了万一这样的帐号被攻陷，可以尽可能将风险限制在最小范围内，不至于扩散到其他重要地方。

所以很多员工可能经常会遇到一些限制，例如无法自行安装某些需要高权限的软件，不能修改电脑上的某些设置选项，无法访问某些高敏感度的业务系统等，但完成自己的本职工作通常都是没问题的。这是为了安全，大家都理解一下吧。

然而攻击手段也在进化，这样的“最小特权”原则在某些情况下可能依然会失效。当攻击者在攻破企业环境中某台机器后，可能会长时间潜伏起来，并在这一过程中对域内情况进行摸排，了解并等待特权帐号。此外攻击者还可以通过暴力破解的方式尝试获取特权凭据，为之后的横向移动和域控制进行准备。

例如典型的这类攻击可能是按照如下时间线的描述来发展的，从成功入侵到长期潜伏再到最终达成目标，这期间可能会间隔上百天甚至更久！

Azure安全中心，帮你找出潜藏的隐患

• 加强安全态势：安全中心会评估环境，并使我们了解资源的状态以及它们是否安全。
• 防范威胁：安全中心会对工作负荷进行评估并提出威胁防护建议和威胁检测警报。
• 更快地实现安全性：在安全中心中，一切操作都以云速度完成。由于它以本机方式集成，因此可以轻松部署安全中心，从而通过Azure服务为我们提供自动预配和保护。

范例场景简介

• Tool1：在内网渗透中非常有用的一个工具。它可能让攻击者从内存中抓到明文密码。一般情况下，只要有本地管理员权限就能从内存中抓出密码。通常抓到密码之后就可以进行横向移动和提权。
• Tool2：轻型Telnet替代工具，它可以在无需手动安装客户端软件即可执行其他系统上的进程，并且可以获得与控制台应用程序相当的完全交互性。Tool2最强大的功能之一是在远程系统和远程支持工具（如IpConfig）中启动交互式命令提示窗口，以便显示无法通过其他方式显示的有关远程系统的信息。

潜伏和攻击过程演练