欢迎来到“每周科技花絮”的第二部分。. 本周我将回答一个非常普遍的问题, "APP客户端我们必须删除工作站的本地管理员权限??"
答案很简单.
几乎所有针对您网络的攻击都是从工作站开始的.
有人点击了某个东西. 无论你在修补和更新方面做得多么彻底,无论你有多少层安全措施,总有一天会出现漏洞. 总有一天我们会忘记的.
几年前, 美国国家安全局局长说,作为APP客户端专家,我们必须假设坏人已经进入了我们的网络,就在我们旁边的房间里. 知道我们必须在设计网络安全时考虑到这一点.
大多数基于工作站的攻击的工作方式是,坏人在您的工作站上站稳脚跟. 然后他们开始四处窥探,看看他们能看到什么,并探究他们有权看到什么.
如果用户是受限用户, 感染可能被困在机器上,已经安装在诸如%USERPROFILE% (i).e. C: \ \用户用户名\ TEMP). 即使有限的用户对其工作站的这一部分也有“所有”权限.
在之前的APP客户端会谈和网络研讨会中,我们已经讨论过,即使是有限的用户也可以探测和映射网络,并可能识别网络的域管理员. 这些域名管理员将成为未来网络钓鱼攻击的对象.
然而, 一旦我们开始授予本地管理员权限, 我们大大增强了坏人伤害我们的能力. 这样做的原因是一个简单的,但经常被遗忘的窗户。安全概念.
特权胜过权限.
我们都熟悉共享和NTFS权限. 我们知道,有效权限是Share和NTFS权限最严格的组合.
但是,特权会分解权限. 通过授予作为工作站本地管理员的特权,您创建了一个无法完全控制用户对工作站的访问的场景. 无论你施加什么限制,它们都与坏人完全无关. 他们可以撤销它们. 当你信任特殊教育老师的时候,即使他们拥有额外的权利,他们也会把自己的工作站弄得一团糟, 事实是,如果他们被感染了, 坏人会迅速“撤销”控制和限制终端用户体验的任何本地或组策略. 同样,这是因为特权胜过权限.
在上次会议上,我谈到了9月底的Microsoft Ignite演示,演示者演示了如何在您的网络上创建域管理员ID和密码,只需在本地工作站创建一个简单的计划任务,然后创建一个工作站问题,以保证APP客户端人员访问工作站. 他们指望这项APP客户端拥有额外的权利,并“解锁”对整个网络的访问. 在这个简单的场景中,坏人已经从一个本地工作站感染跳到不受限制地访问您的整个网络. 他们想要什么就有什么. 如果他们想要摧毁你,现在对他们来说毫不费力. 如果他们想窃取你的个人身份信息,他们可以拿走他们想要的东西.
我可以给出更多的理由和场景,但希望你能理解. 我们都必须在坏人将进入你的网络的前提下开始工作,因此设计安全限制他们可以看到和做什么-不管他们的权利. 我们要让他们不知道我们的网络中任何可能被利用的信息.
而不是分发本地管理员权限使用 ICACLS 和REGPERM来创建用户需要的显式额外权限,而无需放弃所有内容. 可以说,这比仅仅赠送工作站更具挑战性. 然而, 我们可以编写这些脚本,并通过KACE或SCCM或类似的工具将它们推出,以便更容易地管理这些特殊的本地权限需求.
如果你有问题, 或者在向本地工作站的有限用户过渡时遇到问题, 请给我打电话,让我们谈谈你的具体情况.
新闻官斯科特Quimby
最近的评论