管理員權限的憑證安全漏洞
問題點:網絡上的主機都存有管理權限的憑證。一旦非授權用戶獲取了其中某些憑證,會發生什么?答案:整個域的部分或全部管理權限都會陷落。
如果公司安全要求強制規定所有管理員口令必須定期更換,IT管理員恐怕會頭疼又無奈。僅僅定位所有本地管理員賬戶就是個耗盡精力的繁瑣活兒,更別說還要一個個更新了。而且這還不包括網絡上那些主機任務、服務和COM對象所用的賬戶。于是,很多應該做的更新從來就沒有完成過。
以下幾種憑證就是容易被黑客染指的:
1. 內置管理員賬戶
主機設立的時候都會創建一個本地登錄賬戶。很多公司里,每臺主機上的本地登錄賬戶名和口令都是一樣的。因此,想成為整個網絡的管理員,黑客需要做的,僅僅是破解1臺主機的本地管理員口令就好。利用彩虹表,可以在數秒內爆破出管理員口令。
2. 服務賬戶
很多主機都會使用本地或域管理員賬戶均能運行的服務。針對這些服務,有一個很不好的地方:每臺機器上都存儲有賬戶名和口令。一旦黑客獲取了某臺機器的管理員權限,然后呢?運行口令破解程序(比如彩虹表)瀏覽Windows系統秘密區域簡直不要太簡單。
3. 內嵌憑證
有時候,用戶名和口令以明文或很容易還原的密文存儲,然后被管理員/用戶很愉快地忘記掉了。由于缺乏可見性,這些憑證一旦被應用,幾乎是不會再改變的。基于賬戶可能被使用的方式,恐懼、不確定和懷疑在滋生,問題也隨之擴大,但卻從未被記錄。此類賬戶通常代表著對受限數據或個人可識別信息的訪問權限。
工作站安全最佳實踐
惡意內部人可以很輕易地滲透自己機器的本地安全,據此暴露出主機上存儲的憑證。應采取預防措施最小化該風險。首先,禁止黑客工具的引入。微軟活動目錄的組策略功能,可以禁用注冊表編輯工具和黑客工具。但若用戶可以從U盤或光盤啟動,在DOS下運行工具,那這些策略也就沒用了。
另一個選項是拆掉或禁用U盤和光盤驅動器。該方法應該會有效。至少除非特有心侵入的人士直接開箱或重設BIOS,重新啟用這些設備,否則用純軟件的辦法是沒轍了。最狡猾的攻擊,是復制信息或鏡像系統到一個你控制不了的地方。然后就可以輕松愜意地想怎么破解就怎么破解了。
似乎無論采取什么措施對抗惡意用戶的敏感信息抽取行為,他們總能找到變通方法。這意味著,唯一實用的解決方案,就是降低每臺工作站上的信息價值。確保所有服務、計劃任務和COM+類型對象都不涉及域管理員賬戶,工作站上存儲的信息價值也就相應降低了。
然后,本地管理員賬戶必須定期更改。更好的做法是,每臺機器都有自己獨特的口令。這樣一來,即便有人破解了其中一臺的口令,被盜憑證也無法在網絡上其他系統中使用。
服務器安全最佳實踐
離職IT管理員有可能把原公司的管理員口令也一并帶走。若所有管理員口令都是同一個,且極少改變,那情況就特別危險了。
大型企業可能保有數千臺服務器,上面無數域管理員賬戶作為服務、計劃任務、MTS/COM+/DCOM對象和本地登錄賬戶歡快地活躍著。對這些賬戶憑證的任何修改嘗試,都可能導致無數關鍵系統掉線。
鑒于找出管理員賬戶所用全部對象的巨大難度,很多公司選擇了不去更新這些信息。
常見管理憑證問題的解決方案
任何安全項目的目標,都是阻止或緩解威脅。為解決管理憑證安全威脅,公司必須定期修改管理員口令。保持每個口令各不相同也是必要的。
還必須實現一套方法,能夠搜索公司范圍內所有主機,查找本地和域管理員賬戶實例。這些賬戶的憑證必須經常更新。而且,是企業內每臺主機、設備和應用的特權口令都必須定期更新。
開銷最低的解決方案,需要自動化腳本、無限耐心和最新的主機列表。然而,不幸的是,腳本沒有任何數據庫或圖形用戶界面(GUI)前端可供用戶進行管理。對復雜服務、COM對象和計劃任務的管理能力,也是腳本所欠缺的。問題并非出自腳本編寫,真正的問題出在測試、故障診斷、記錄、支持和更新腳本上。
組策略是個缺乏內在智能的只寫解決方案。不僅沒有報告功能,還依賴工作站主動請求更新。這意味著,同樣的組策略,在主機系統上的應用,可能比在活動目錄中的應用,晚上數小時。而且,這還是組策略有效的情況下。
自動化特權身份管理
于是,如果以上選項都不適合企業環境,那我們還剩下什么?答案是商業特權身份管理。該解決方案可以在跨平臺企業環境中(企業內和云端)自動發現特權賬戶,將這些賬戶納入管理,并審計對這些賬戶的訪問。
用戶可以根據需要更新每個特權憑證。甚至幾個小時一變都可以。這就抵消了零日攻擊和其他高級網絡威脅的傷害——因為即便入侵者獲取了憑證,憑證生存周期有限,造成的傷害也就受限了。入侵者不能利用被盜憑證在系統間跳轉。
而且,有了自動化解決方案處理復雜問題,有限的IT資源便可以投入到其他項目上了。
