管理員權(quán)限的憑證安全漏洞
問(wèn)題點(diǎn):網(wǎng)絡(luò)上的主機(jī)都存有管理權(quán)限的憑證。一旦非授權(quán)用戶獲取了其中某些憑證,會(huì)發(fā)生什么?答案:整個(gè)域的部分或全部管理權(quán)限都會(huì)陷落。
如果公司安全要求強(qiáng)制規(guī)定所有管理員口令必須定期更換,IT管理員恐怕會(huì)頭疼又無(wú)奈。僅僅定位所有本地管理員賬戶就是個(gè)耗盡精力的繁瑣活兒,更別說(shuō)還要一個(gè)個(gè)更新了。而且這還不包括網(wǎng)絡(luò)上那些主機(jī)任務(wù)、服務(wù)和COM對(duì)象所用的賬戶。于是,很多應(yīng)該做的更新從來(lái)就沒(méi)有完成過(guò)。
以下幾種憑證就是容易被黑客染指的:
1. 內(nèi)置管理員賬戶
主機(jī)設(shè)立的時(shí)候都會(huì)創(chuàng)建一個(gè)本地登錄賬戶。很多公司里,每臺(tái)主機(jī)上的本地登錄賬戶名和口令都是一樣的。因此,想成為整個(gè)網(wǎng)絡(luò)的管理員,黑客需要做的,僅僅是破解1臺(tái)主機(jī)的本地管理員口令就好。利用彩虹表,可以在數(shù)秒內(nèi)爆破出管理員口令。
2. 服務(wù)賬戶
很多主機(jī)都會(huì)使用本地或域管理員賬戶均能運(yùn)行的服務(wù)。針對(duì)這些服務(wù),有一個(gè)很不好的地方:每臺(tái)機(jī)器上都存儲(chǔ)有賬戶名和口令。一旦黑客獲取了某臺(tái)機(jī)器的管理員權(quán)限,然后呢?運(yùn)行口令破解程序(比如彩虹表)瀏覽Windows系統(tǒng)秘密區(qū)域簡(jiǎn)直不要太簡(jiǎn)單。
3. 內(nèi)嵌憑證
有時(shí)候,用戶名和口令以明文或很容易還原的密文存儲(chǔ),然后被管理員/用戶很愉快地忘記掉了。由于缺乏可見(jiàn)性,這些憑證一旦被應(yīng)用,幾乎是不會(huì)再改變的。基于賬戶可能被使用的方式,恐懼、不確定和懷疑在滋生,問(wèn)題也隨之?dāng)U大,但卻從未被記錄。此類賬戶通常代表著對(duì)受限數(shù)據(jù)或個(gè)人可識(shí)別信息的訪問(wèn)權(quán)限。
工作站安全最佳實(shí)踐
惡意內(nèi)部人可以很輕易地滲透自己機(jī)器的本地安全,據(jù)此暴露出主機(jī)上存儲(chǔ)的憑證。應(yīng)采取預(yù)防措施最小化該風(fēng)險(xiǎn)。首先,禁止黑客工具的引入。微軟活動(dòng)目錄的組策略功能,可以禁用注冊(cè)表編輯工具和黑客工具。但若用戶可以從U盤或光盤啟動(dòng),在DOS下運(yùn)行工具,那這些策略也就沒(méi)用了。
另一個(gè)選項(xiàng)是拆掉或禁用U盤和光盤驅(qū)動(dòng)器。該方法應(yīng)該會(huì)有效。至少除非特有心侵入的人士直接開(kāi)箱或重設(shè)BIOS,重新啟用這些設(shè)備,否則用純軟件的辦法是沒(méi)轍了。最狡猾的攻擊,是復(fù)制信息或鏡像系統(tǒng)到一個(gè)你控制不了的地方。然后就可以輕松愜意地想怎么破解就怎么破解了。
似乎無(wú)論采取什么措施對(duì)抗惡意用戶的敏感信息抽取行為,他們總能找到變通方法。這意味著,唯一實(shí)用的解決方案,就是降低每臺(tái)工作站上的信息價(jià)值。確保所有服務(wù)、計(jì)劃任務(wù)和COM+類型對(duì)象都不涉及域管理員賬戶,工作站上存儲(chǔ)的信息價(jià)值也就相應(yīng)降低了。
然后,本地管理員賬戶必須定期更改。更好的做法是,每臺(tái)機(jī)器都有自己獨(dú)特的口令。這樣一來(lái),即便有人破解了其中一臺(tái)的口令,被盜憑證也無(wú)法在網(wǎng)絡(luò)上其他系統(tǒng)中使用。
服務(wù)器安全最佳實(shí)踐
離職IT管理員有可能把原公司的管理員口令也一并帶走。若所有管理員口令都是同一個(gè),且極少改變,那情況就特別危險(xiǎn)了。
大型企業(yè)可能保有數(shù)千臺(tái)服務(wù)器,上面無(wú)數(shù)域管理員賬戶作為服務(wù)、計(jì)劃任務(wù)、MTS/COM+/DCOM對(duì)象和本地登錄賬戶歡快地活躍著。對(duì)這些賬戶憑證的任何修改嘗試,都可能導(dǎo)致無(wú)數(shù)關(guān)鍵系統(tǒng)掉線。
鑒于找出管理員賬戶所用全部對(duì)象的巨大難度,很多公司選擇了不去更新這些信息。
常見(jiàn)管理憑證問(wèn)題的解決方案
任何安全項(xiàng)目的目標(biāo),都是阻止或緩解威脅。為解決管理憑證安全威脅,公司必須定期修改管理員口令。保持每個(gè)口令各不相同也是必要的。
還必須實(shí)現(xiàn)一套方法,能夠搜索公司范圍內(nèi)所有主機(jī),查找本地和域管理員賬戶實(shí)例。這些賬戶的憑證必須經(jīng)常更新。而且,是企業(yè)內(nèi)每臺(tái)主機(jī)、設(shè)備和應(yīng)用的特權(quán)口令都必須定期更新。
開(kāi)銷最低的解決方案,需要自動(dòng)化腳本、無(wú)限耐心和最新的主機(jī)列表。然而,不幸的是,腳本沒(méi)有任何數(shù)據(jù)庫(kù)或圖形用戶界面(GUI)前端可供用戶進(jìn)行管理。對(duì)復(fù)雜服務(wù)、COM對(duì)象和計(jì)劃任務(wù)的管理能力,也是腳本所欠缺的。問(wèn)題并非出自腳本編寫,真正的問(wèn)題出在測(cè)試、故障診斷、記錄、支持和更新腳本上。
組策略是個(gè)缺乏內(nèi)在智能的只寫解決方案。不僅沒(méi)有報(bào)告功能,還依賴工作站主動(dòng)請(qǐng)求更新。這意味著,同樣的組策略,在主機(jī)系統(tǒng)上的應(yīng)用,可能比在活動(dòng)目錄中的應(yīng)用,晚上數(shù)小時(shí)。而且,這還是組策略有效的情況下。
自動(dòng)化特權(quán)身份管理
于是,如果以上選項(xiàng)都不適合企業(yè)環(huán)境,那我們還剩下什么?答案是商業(yè)特權(quán)身份管理。該解決方案可以在跨平臺(tái)企業(yè)環(huán)境中(企業(yè)內(nèi)和云端)自動(dòng)發(fā)現(xiàn)特權(quán)賬戶,將這些賬戶納入管理,并審計(jì)對(duì)這些賬戶的訪問(wèn)。
用戶可以根據(jù)需要更新每個(gè)特權(quán)憑證。甚至幾個(gè)小時(shí)一變都可以。這就抵消了零日攻擊和其他高級(jí)網(wǎng)絡(luò)威脅的傷害——因?yàn)榧幢闳肭终攉@取了憑證,憑證生存周期有限,造成的傷害也就受限了。入侵者不能利用被盜憑證在系統(tǒng)間跳轉(zhuǎn)。
而且,有了自動(dòng)化解決方案處理復(fù)雜問(wèn)題,有限的IT資源便可以投入到其他項(xiàng)目上了。
