我們發(fā)現(xiàn)有這樣一個問題可用來判斷IT部門的安全能力。這個問題并不是有關(guān)他們的認(rèn)證、預(yù)算、防火墻或者下一代行為分析工具，這些常見的信息安全做法都無法有效緩解簡單安全配置錯誤帶來的風(fēng)險。這個問題是：是否所有用戶都有對工作站的管理權(quán)限。那么，為什么這個問題可以判斷他們的信息安全能力呢?

我們聽到IT部門的借口通常包括這幾樣。他們解釋說他們的軟件需要管理訪問權(quán)限，如果沒有就無法運(yùn)行。其他人則解釋這樣可讓用戶更容易地對應(yīng)用進(jìn)行軟件更新，因?yàn)樽層脩艨勺约喊惭b軟件，IT部門就不會有太多工作要做。

放下借口

這些借口有一定的道理。有些應(yīng)用確實(shí)需要對工作站的管理權(quán)限訪問，這些應(yīng)用通常需要直接訪問硬件，它們不使用標(biāo)準(zhǔn)的Windows API。這些類型的應(yīng)用示例包括集成自定義CD/DVD刻錄工具或者硬件許可證加密狗。然而，這些應(yīng)用例外并不足以讓IT部門為所有用戶提供管理訪問權(quán)限;畢竟這樣做的風(fēng)險太高。

同時，大多數(shù)IT部門都缺乏人才資源，IT部門的員工都需要做各種各樣的事情。檢查每個應(yīng)用并確定適當(dāng)?shù)陌踩珯?quán)限已經(jīng)成為IT遙遠(yuǎn)的記憶。

新應(yīng)用經(jīng)濟(jì)和DevOps式管理讓系統(tǒng)管理技能黯然失色。不僅沒有人有時間來正確配置安全，當(dāng)他們試圖花時間來構(gòu)建安全的系統(tǒng)時，實(shí)際上還會被視為障礙。沒有人意識到花費(fèi)在安全配置系統(tǒng)的時間可確保企業(yè)的安全投資獲得最大的投資回報率。

那些允許所有用戶對Windows計算機(jī)具有管理訪問權(quán)限的企業(yè)更容易受到攻擊。攻擊者只需要讓受害者訪問帶有惡意有效載荷的網(wǎng)頁或者打開附件即可，隨后該有效載荷可通過受害者的登錄憑證安裝在所有用戶機(jī)器中。攻擊者還可禁用防病毒軟件允許他們使用更多工具進(jìn)行進(jìn)一步攻擊。他們甚至可清除事件日志來掩蓋攻擊者的蹤跡并防止被發(fā)現(xiàn)。

大多數(shù)企業(yè)沒有意識到的最大問題是，在這樣的攻擊情況中，攻擊者還可訪問存在于被攻擊機(jī)器中所有的憑證信息。Mimikatz等工具可用于直接從系統(tǒng)內(nèi)存獲取這些秘密。復(fù)雜的27個字符的密碼都會失去作用，即使是上世紀(jì)90年代的舊工具Cain&Abel都可用于從Windows電腦提取憑證信息。

最初配置系統(tǒng)的電腦技術(shù)人員已經(jīng)緩存本地存儲的憑證信息，這些都可以被訪問以及破解，電腦中運(yùn)行的服務(wù)賬號也容易受到攻擊。通過利用這些憑證信息，攻擊者可訪問網(wǎng)絡(luò)中所有計算機(jī)，并可通過有效的登錄信息輕松地橫向移動，讓檢測幾乎變得不可能。他們可利用這些技術(shù)訪問一臺電腦，最終獲取對網(wǎng)絡(luò)的域管理員權(quán)限，這樣的話，我們將看到嚴(yán)重的數(shù)據(jù)泄露事故。

保護(hù)您的企業(yè)

對于這種攻擊，最佳防御是嚴(yán)格限制管理權(quán)限以減少曝光。這樣，當(dāng)攻擊者試圖在工作站升級其權(quán)限，這樣您就有機(jī)會可抓到他們。

大多數(shù)需要管理權(quán)限的應(yīng)用只需要訪問“C:Program Files”目錄或者“C:Windows”下的系統(tǒng)目錄。它們還可能需要能夠?qū)懭氲接脩襞渲梦募庾员韰^(qū)域，例如“HKLM”。微軟Sysinternals中的Process Explorer和Process Monitor等免費(fèi)工具可有效識別注冊表及文件系統(tǒng)中的這些權(quán)限問題。

然而，如果沒有投入所需的時間來配置，這些工具將無法發(fā)揮作用。IT人員可與管理層合作，向他們說明妥善管理的機(jī)器可減少支持技術(shù)基礎(chǔ)設(shè)施的整體成本。這種成本降低而非風(fēng)險降低技術(shù)會讓大多數(shù)企業(yè)更好地理解以及作出響應(yīng)。如果所有這些都失效，則應(yīng)該考慮向管理層展示mimikatz或類似工具清除測試計算機(jī)中所有憑證的過程。如果這都不能吸引他們的注意力，那就沒有其他了。