作家
登录
17滚动

管理员权限的凭证安全漏洞

作者: 来源: 2017-06-15 09:06:10 阅读 我要评论

很多主机都邑应用本地或域治理员账户均能运行的办事。针对这些办事,有一个很不好的处所:每台机械上都存储有账户名和口令。一旦黑客获取了某台机械的治理员权限,然后呢?运行口令破解法度榜样(比如彩虹表)浏览Windows体系机密区域的确不要太简单。

并且,有了主动化解决筹划处理复杂问题,有限的IT资本便可以投入到其他项目上了。

问题点:收集上的主机都存有治理权限的凭证。一旦非授权用户获取了个中某些凭证,会产生什么?谜底:全部域的部分或全部治理权限都邑沦陷。

如不雅公司安然请求强迫规定所有治理员口令必须按期改换,IT治理员生怕会头疼又无奈。仅决定位所有本地治理员账户就是个耗尽精力的繁琐活儿,更别说还要一个个更新了。并且这还不包含收集上那些主机义务、办事和COM对象所用的┞匪户。于是,很多应当做的更新大年夜来就没有完成过。

治理员权限的凭证安然马脚

以下几种凭证就是轻易被黑客染指的:

办事器安然最佳实践

1. 内置治理员账户

主机设立的时刻都邑创建一个本地登录账户。很多公司里,每台主机上的本地登录账户名和口令都是一样的。是以,想成为全部收集的治理员,黑客须要做的,仅仅是破解1台主机的本地治理员口令就好。应用彩虹表,可以在数秒内爆破出治理员口令。

3. 内嵌凭证

有时刻,用户名和口令以明文或很轻易还原的密文存储,然后被治理员/用户很高兴地忘记掉落了。因为缺乏可见性,这些凭证一旦被应用,几乎是不会再改变的。基于账户可能被应用的方法,恐怖、不肯定和困惑在滋长,问题也随之扩大年夜,但却大年夜未被记录。词攀类账户平日代表着对受限数据或小我可辨认信息的拜访权限。

工作站安然最佳实践

恶意内部人可以很随便马虎地渗入渗出本身机械的本地安然,据此裸露出主机上存储的凭证。应采取预防办法最小化该风险。起首,禁止黑客对象的惹人。微软晃荡目次的组策略功能,可以禁用注册表编辑对象和黑客对象。但若用户可以大年夜U盘或光盘启动,在DOS下运行对象,那这些策略也就没用了。

另一个选项是拆掉落或禁用U盘和光盘驱动器。该办法应当话苄效。至少除非特有心侵入的人士直接开箱或重设BIOS,从新启用这些设备,不然用纯软件的办法是没辙了。最狡猾的进击,是复制信息或镜像体系到一个你控制不了的处所。然后就可以轻松舒畅地想怎么破解就怎么破解了。

似乎无论采取什么办法对抗恶意用户的敏感信息采取行动,他们总能找到变通办法。这意味着,独一实用的解决筹划,就是降低每台工作站上的信息价值。确保所有办事、筹划义务和COM+类型对象都不涉及域治理员账户,工作站上存储的信息价值也就响应降低了。

然后,本地治理员账户必须按期更改。更好的做法是,每台机械都有本身独特的口令。如许一来,即便有人破解了个一一台的口令,被盗凭证也无法在收集上其他体系中应用。

离职IT治理员有可能把原公司的治理员口令也一并带走。若所有治理员口令都是同一个,且极少改变,那情况就特别危险了。

大年夜型企业可能保稀有千台办事器,膳绫擎无数域治理员账户作为办事、筹划义务、MTS/COM+/DCOM对象和本地登录账户欢快地活泼着。对这些账户凭证的任何修改测验测验,都可能导致无数关键体系掉落线。

鉴于找出治理员账户所用全部对象的巨大年夜难度,很多公司选择了不去更新这些信息。

常见治理凭证问题的解决筹划

任何安然项目标目标,都是阻拦或缓解威逼。为解决治理凭证安然威逼,公司必须按期修改治理员口令。保持每个口令各不雷同也是须要的。

还必须实现一套办法,可以或许搜刮公司范围内所有主机,查找本地和域治理员账户实例。这些账户的凭证必须经常更新。并且,是企业内每台主机、设备和应用的特权口令都必须按期更新。

开销最低的解决筹划,须要主动化脚本、无穷耐烦和最新的主机列表。然而,不幸的是,脚本没有任何数据库或图形用户界面(GUI)前端可供用户进行治理。对复杂办事、COM对象和筹划义务的治理才能,也是脚本所欠缺的。问题并非出自脚本编写,真正的问题出在测试、故障诊断、记录、支撑和更新脚本上。

组策略是个缺乏内涵智能的只写解决筹划。不仅没有申报功能,还依附工作站主动请求更新。这意味着,同样的组策略,在主机体系上的应用,可能比在晃荡目次中的应用,晚上数小时。并且,这照样组策略有效的情况下。

主动化特权身份治理

于是,如不雅以上选项都不合适企业情况,那我们还剩下什么?谜底是贸易特权身份治理。该解决筹划可以在跨平台企业情况中(企业内和云端)主动发明特权账户,将这些账户纳入治理,并审计对这些账户的拜访。

2. 办事账户

用户可以根据须要更新每个特权凭证。甚至几个小时一变都可以。这就抵消了零日进击和其他高等收集威逼的伤害——因为即便入侵者获取了凭证,凭证生计周期有限,造成的伤害也就受限了。入侵者不克不及应用被盗凭证在体系间跳转。

【编辑推荐】

  1. 堪忧!物联网体系安然马脚百出
  2. 2017 OWASP Top 10十大年夜安然马脚候选出炉,你怎么看?
  3. 基于BLE的IoT智能灯胆的安然马脚应用
  4. 被忽视的Web安然马脚:若何辨认和解决?
  5. 预警即预防:6大年夜常见数据库安然马脚
【义务编辑:IT疯 TEL:(010)68476606】

  推荐阅读

  路由器LED闪灯泄露数据

马脚固件激发的逝世亡闪灯【编辑推荐】恶意网站可应用这个新马脚拖垮Windows 7和Windows 8电脑Chrome马脚可致恶意站点在用户在不知情的情况下录制音频和视频被忽视的Web安>>>详细阅读


本文标题:管理员权限的凭证安全漏洞

地址:http://www.17bianji.com/lsqh/35773.html

 1/2    1 

关键词: 探索发现

乐购科技部分新闻及文章转载自互联网,供读者交流和学习,若有涉及作者版权等问题请及时与我们联系,以便更正、删除或按规定办理。感谢所有提供资讯的网站,欢迎各类媒体与乐购科技进行文章共享合作。

网友点评
自媒体专栏

评论

热度

进入专栏
精彩导读
栏目ID=71的表不存在(操作类型=0)
科技快报
© 2013-2016 IT技术  京ICP备11016124号-4   

京公网安备 11011202000261号
网站介绍 合作联系 寻求报道 投稿指南 网站地图 XML地图