管理员权限的凭证安全漏洞

问题点：网络上的主机都存有管理权限的凭证。一旦非授权用户获取了其中某些凭证，会发生什么?答案：整个域的部分或全部管理权限都会陷落。

如果公司安全要求强制规定所有管理员口令必须定期更换，IT管理员恐怕会头疼又无奈。仅仅定位所有本地管理员账户就是个耗尽精力的繁琐活儿，更别说还要一个个更新了。而且这还不包括网络上那些主机任务、服务和COM对象所用的账户。于是，很多应该做的更新从来就没有完成过。

[[194055]]

以下几种凭证就是容易被黑客染指的：

1. 内置管理员账户

主机设立的时候都会创建一个本地登录账户。很多公司里，每台主机上的本地登录账户名和口令都是一样的。因此，想成为整个网络的管理员，黑客需要做的，仅仅是破解1台主机的本地管理员口令就好。利用彩虹表，可以在数秒内爆破出管理员口令。

2. 服务账户

很多主机都会使用本地或域管理员账户均能运行的服务。针对这些服务，有一个很不好的地方：每台机器上都存储有账户名和口令。一旦黑客获取了某台机器的管理员权限，然后呢?运行口令破解程序(比如彩虹表)浏览Windows系统秘密区域简直不要太简单。

3. 内嵌凭证

有时候，用户名和口令以明文或很容易还原的密文存储，然后被管理员/用户很愉快地忘记掉了。由于缺乏可见性，这些凭证一旦被应用，几乎是不会再改变的。基于账户可能被使用的方式，恐惧、不确定和怀疑在滋生，问题也随之扩大，但却从未被记录。此类账户通常代表着对受限数据或个人可识别信息的访问权限。

工作站安全最佳实践

恶意内部人可以很轻易地渗透自己机器的本地安全，据此暴露出主机上存储的凭证。应采取预防措施最小化该风险。首先，禁止黑客工具的引入。微软活动目录的组策略功能，可以禁用注册表编辑工具和黑客工具。但若用户可以从U盘或光盘启动，在DOS下运行工具，那这些策略也就没用了。

另一个选项是拆掉或禁用U盘和光盘驱动器。该方法应该会有效。至少除非特有心侵入的人士直接开箱或重设BIOS，重新启用这些设备，否则用纯软件的办法是没辙了。最狡猾的攻击，是复制信息或镜像系统到一个你控制不了的地方。然后就可以轻松惬意地想怎么破解就怎么破解了。

似乎无论采取什么措施对抗恶意用户的敏感信息抽取行为，他们总能找到变通方法。这意味着，唯一实用的解决方案，就是降低每台工作站上的信息价值。确保所有服务、计划任务和COM+类型对象都不涉及域管理员账户，工作站上存储的信息价值也就相应降低了。

然后，本地管理员账户必须定期更改。更好的做法是，每台机器都有自己独特的口令。这样一来，即便有人破解了其中一台的口令，被盗凭证也无法在网络上其他系统中使用。

服务器安全最佳实践

离职IT管理员有可能把原公司的管理员口令也一并带走。若所有管理员口令都是同一个，且极少改变，那情况就特别危险了。

大型企业可能保有数千台服务器，上面无数域管理员账户作为服务、计划任务、MTS/COM+/DCOM对象和本地登录账户欢快地活跃着。对这些账户凭证的任何修改尝试，都可能导致无数关键系统掉线。

鉴于找出管理员账户所用全部对象的巨大难度，很多公司选择了不去更新这些信息。

常见管理凭证问题的解决方案

任何安全项目的目标，都是阻止或缓解威胁。为解决管理凭证安全威胁，公司必须定期修改管理员口令。保持每个口令各不相同也是必要的。

还必须实现一套方法，能够搜索公司范围内所有主机，查找本地和域管理员账户实例。这些账户的凭证必须经常更新。而且，是企业内每台主机、设备和应用的特权口令都必须定期更新。

开销最低的解决方案，需要自动化脚本、无限耐心和最新的主机列表。然而，不幸的是，脚本没有任何数据库或图形用户界面(GUI)前端可供用户进行管理。对复杂服务、COM对象和计划任务的管理能力，也是脚本所欠缺的。问题并非出自脚本编写，真正的问题出在测试、故障诊断、记录、支持和更新脚本上。

组策略是个缺乏内在智能的只写解决方案。不仅没有报告功能，还依赖工作站主动请求更新。这意味着，同样的组策略，在主机系统上的应用，可能比在活动目录中的应用，晚上数小时。而且，这还是组策略有效的情况下。

自动化特权身份管理

于是，如果以上选项都不适合企业环境，那我们还剩下什么?答案是商业特权身份管理。该解决方案可以在跨平台企业环境中(企业内和云端)自动发现特权账户，将这些账户纳入管理，并审计对这些账户的访问。

用户可以根据需要更新每个特权凭证。甚至几个小时一变都可以。这就抵消了零日攻击和其他高级网络威胁的伤害——因为即便入侵者获取了凭证，凭证生存周期有限，造成的伤害也就受限了。入侵者不能利用被盗凭证在系统间跳转。

而且，有了自动化解决方案处理复杂问题，有限的IT资源便可以投入到其他项目上了。