L

最小特权和管理所有用户登录的价值

如今,与任何类型的数据泄露相关的风险是如此之大(就法律,财务和声誉影响而言),以至于像您这样的组织都非常重视泄露的威胁。用 81%的数据泄露涉及滥用凭据访问敏感和有价值的数据1, 确保这些凭据(阅读:用户帐户)仅具有所需的基本权限 完成与工作相关的任务很有意义。

这就是 最小特权原则 都是关于 –将用户(以及服务,应用程序和其他计算过程)限制为仅完成合法工作活动绝对需要的那组数据,应用程序和系统的做法。

该原则已经存在多年了。 微软在1999年写下了以下内容:

“大多数与安全相关的培训课程和文档都讨论了最小特权原则的实施,但是组织很少遵循它。原理很简单,正确应用它的影响会大大提高安全性并降低风险。该原则指出,所有用户都应使用具有完成当前任务所需的绝对最低权限的用户帐户登录,仅此而已。这样做可以防止恶意代码以及其他攻击。该原则适用于计算机以及这些计算机的用户。”2

而且,由于今天的攻击威胁(包括内部和外部攻击者)都更大,因此,该原则与组织的安全策略更加相关:

  • 外部攻击利用用户帐户来控制端点,在网络内横向移动并最终获得对有价值数据的定向访问。
  • 内部人员利用其自己授予的访问权限或其他受到破坏的帐户,将数据和应用程序用于恶意目的。

如果您认为您的组织不需要最低特权,请考虑以下两个行业统计数据。

  1. 近四分之三的用户享有特权,无法访问与他们的工作无关的信息3.
  2. 一半的用户共享其凭据 4.

将这两个概念放在一起,您很快就会意识到,没有最低特权,您拥有的特权比以往任何时候都要多。

因此,您应该如何实现“最小特权”以减少违规和内部威胁?

设置最低权限

实施最低权限并不只是让每个人都不是管理员那样简单。尽管这是一个难题,但您首先需要考虑最低特权的总体目标:

  • 减少攻击面 –鉴于您组织中的多数用户可能已经拥有过多特权,因此要实现最低特权以消除任何特权 unnecessary access.
  • 减少恶意软件感染的可能性 –要安装,恶意软件需要本地管理员权限。通过限制对端点和服务器上管理员级别特权的访问,恶意软件不太可能具有感染给定计算机的能力。
  • 减少攻击者的横向运动 –威胁参与者对访问单个端点不满意;他们希望在网络中发挥更多作用,从端点跳到端点,直到到达具有有价值数据的系统。必须有特权帐户才能促进此访问。通过将用户尽可能地限制为非特权级别的访问,攻击者在网络内移动的能力将降低。
  • 减少潜在的内部威胁 –内部人员将使用您授予他们的所有访问权限,以访问所有可访问的数据,以进行渗透,破坏或 destruction.

这些目标需要从保持业务运作所需的角度(和特权级别)的角度来审视。

那么,您应该采取哪些基本步骤?

第1步:分别设置特权帐户和非特权帐户

这适用于端点工作站,服务器,应用程序和其他关键资源。将所有用户(甚至IT用户)默认为具有标准特权级别。考虑两条路线 在需要时提供特权。

首先,为需要特权的用户创建单独的帐户 –一种执行其非管理员作业功能(Web浏览,电子邮件,在Office文档中工作等)及其管理功能的工具。

如果双帐户系统在您的组织中不起作用,请考虑删除对端点的root和管理员访问权限,从头开始,为用户提供访问权限,以管理端点的那些必需部分。 例如,需要具有管理DHCP的能力,使用户成为DHCP Admins组的成员并赋予他们“本地登录”权限,但不能再有其他功能.

第2步:限制权限

此步骤涉及大量工作。为了做到这一点, 需要识别用户个人资料 (例如,销售人员,工资核算用户,工资核算管理员等),以及每个权限需要具备哪些权限的定义。然后,必须执行审核以使每个用户帐户都处于最小特权状态。

这适用于对数据,打印机,应用程序,系统和本地端点的访问。如果用户确实需要管理员权限才能执行特定任务,请寻找方法来提供 特定于应用程序的权利提升,而不是仅仅让他们成为管理员。存在第三方解决方案来促进这一点。

步骤3:将权限限制为管理员

无论我们是在谈论工作站上的本地Admin帐户,还是Active Directory中的THE Administrator帐户-以及两者之间的所有内容- 最小化有权访问这些类型的帐户的用户数量.

指某东西的用途 特权账户管理 (PAM)解决方案可以通过受策略保护的保管库提供对管理员帐户和其他特权帐户的安全访问。

步骤4:监控(不只是)特权帐户的使用

前面3个步骤中的每个步骤都围绕着主动创建仅向用户授予(并且可以行使)所需权限的环境。这些步骤将 当然,可以减少当今组织中大多数的过度许可。

但是即使所有这些都存在,组织仍然冒着以下风险: 帐户滥用 (即使是仅限于裸机基本权限的帐户)也将提供足够的访问权限,以进行威胁操作。

例如,如果您要进行限制用户帐户的操作并确定应付帐款主管需要对AP系统的完全访问权限,那么仍然存在潜在的可能性,即该帐户可能被盗用并且可以进行欺诈性付款来窃取该帐户。组织的钱。

这是关键问题–最低特权实际上与特权无关。

实际上,最不特权实际上是关于 妥协使用 (无论是内部人员还是外部威胁因素)“特权”帐户。因此,最低特权策略的关键方面之一必须是监视特权帐户的使用。

但是,您应该考虑什么“特权”帐户? 鉴于滥用凭据作为外部和内部攻击的一部分的猖ramp做法,您的组织不能只专注于“管理员”级别的帐户。 AP Director的上一个示例是用户肯定不被视为任何管理员的示例;只是比组织中的其他用户对给定系统具有更多访问权限的用户。

因此,我们需要有一种方法来监控每个帐户的使用情况,以确保实现最低特权的基本目标。

前面提到的PAM解决方案的使用对于部分真正特权帐户(例如AD中的管理员)是可行的,但不适用于监视组织中每个用户的使用。

有一个关键的访问点可为组织提供领先的指标,表明帐户已被正确使用或已被盗用: 登录.

利用登录监视

无论访问方法或特权级别如何,登录都是必需的步骤,以便使帐户能够访问资源。 这是必不可少的步骤,可以使您了解权限的使用情况-无论级别如何。内部和外部威胁活动都包括在登录时出现的明显滥用迹象:

  • 下班后使用 –用户倾向于使用类似的日期/时间模式登录。在工作时间以外异常使用帐户可能表明存在潜在的滥用情况。
  • 用户/端点不匹配 –来自异常位置或端点的登录应该引起关注。
  • 多次失败的登录尝试 –外部攻击者试图在尽可能多的系统上利用凭据,以提高其横向移动能力。这种活动清楚地表明了潜在的滥用。
  • 多个并发登录 –继续最后一种情况,外部攻击者可能 成功地 利用一个帐户并同时获得进入多个系统的权限-任何帐户都存在异常情况。

通过登录监视帐户使用情况所面临的挑战是,尽管它们在强调不当活动方面具有明显的价值, Microsoft环境没有本机手段 通过它可以集中所有登录活动–更不用说提供有关异常登录行为的分析了。

您可以通过以下方式获得其中的一部分 活动订阅 (具有事件日志的功能,可以将某些日志转发到中央Windows计算机),但这是为少数系统设计的解决方案。 第三方登录管理解决方案 可以提供跨所有端点的全面登录监视,分析登录活动并提供有关任何异常的通知。

登录监视是帮助限制与任何类型的特权访问相关的风险的第一步 –最低特权计划的初衷。在可以实施威胁措施之前,监视登录可以提高IT对帐户使用的可见性。

登录管理解决方案还提供 基于策略的登录执行。通过按计算机,时间和并发限制登录,以及在批准的时间后强制注销,这进一步确保了特权帐户不会被滥用。

两种功能的结合有助于将最少特权控制保留在适当的位置,从而进一步保护环境免受凭据滥用。

将登录管理作为最低权限的关键部分

最小特权原则旨在创建一个环境,该环境在提供更高的访问权限的同时仍可限制风险。根据需要隔离特权并仅向用户提供其所需访问权限的行为是关键的第一步。但是,一旦创建了帐户并建立了特权,便存在差距。即使特权有限,仍然可以共享密码,并且恶意软件可能破坏帐户。鉴于限制性更强的最低特权环境无法管理自身以检测不当使用,因此需要某种程度的监视和执行。

通过将“登录管理”作为“最小特权”策略的一部分,您的环境将始终处于强制执行和审查的状态,以实现提高安全性和降低风险的目标。

1 Verizon,数据泄露调查报告(2017)
2 Microsoft,《管理员帐户安全性计划指南》(1999)
3 Ponemon,公司数据:受保护的资产还是滴答定时炸弹? (2014年)
4 IS决策,内幕威胁角色研究(2017)

关于UserLock

全球有3,000多家客户依靠UserLock来防止安全漏洞。与Active Directory一起使用以扩展而不是取代其安全性时,UserLock为所有Windows Active Directory域登录提供了强大的保护,即使凭据被泄露也是如此。

  • 使用用户登录周围的上下文信息,UserLock可以对身份验证后用户的操作施加进一步的限制
  • 用户锁提供实时可见性,风险检测工具和集中式审核,以帮助快速检测和响应可疑活动。

发现并尝试UserLock

仪表板用户锁