og体育app官网必须取消本地管理员权限

2017年11月10日,
og体育app官网必须取消本地管理员权限

欢迎收看“每周科技趣闻”的第二部分.    本周,我将回答一个非常常见的问题, “og体育app官网我们必须删除工作站的本地管理员权限??"

答案很简单.

几乎对网络的每一次攻击都是从工作站开始的.

有人点击某物.  无论你的补丁和更新有多彻底,无论你有多少层的安全,总是会有一天零漏洞.  迟早会有什么事瞒过我们的.

几年前, 美国国家安全局的负责人说,我们作为专业og体育app官网人员,必须假设坏人已经进入了我们的网络,并坐在我们旁边的房间里.   知道我们必须在设计网络安全时考虑到这一点.

大多数基于工作站的攻击的工作方式是,坏人在您的工作站获得一个立足点.  然后他们开始四处探索,看看他们能看到什么,并探索他们有权利看什么.

如果用户是受限用户, 感染可能被困在已经被安装在诸如%USERPROFILE% (i.e. C: \ \用户用户名\ TEMP).  即使是有限的用户也对他们工作站的这一部分拥有“全部”权利.

在之前的og体育app官网讨论s和网络研讨会中,我们已经讨论过,即使是一个有限的用户也可以探测和映射网络,并可能识别网络的域管理员.   这些域名管理员将成为未来网络钓鱼攻击的对象.

然而, 一旦我们开始授予本地管理员权限, 我们极大地增强了坏人伤害我们的能力.   原因很简单,但经常被遗忘的窗户安全概念.

特权胜过权限.

我们都熟悉共享和NTFS权限.  我们知道有效权限是Share和NTFS权限最具限制性的组合.

但是,特权分解权限.   通过授予工作站上的本地管理员权限,您已经创建了一个无法完全控制用户对工作站上访问的场景.   无论你强加了什么限制,它们与坏人完全无关.  他们可以撤销.   而你信任特殊教育老师,即使他们拥有额外的权利而贬低自己的工作,你也可以给他们找借口, 现实是,如果他们被感染了, 这些坏人将迅速“撤销”用于控制和限制最终用户体验的任何本地或组策略.   同样,这是因为特权高于权限.

在上次会议上我谈到了微软点燃表示在9月底的主持人演示了如何创建一个域管理员ID和密码在您的网络只是在本地工作站上通过创建一个简单的计划任务,然后创建一个工作站问题,保证og体育app官网访问工作站.   他们指望这项og体育app官网拥有额外的权利,并“解锁”整个网络的访问权限.   在这个简单的场景中,坏人只是从本地工作站感染跳转到对整个网络的无限制访问.  他们想要什么就有什么.  如果他们想要摧毁你,现在他们可以毫不费力地做到这一点.  如果他们想窃取你的个人身份信息,他们可以拿走他们想要的东西.

我还可以给出更多的理由和场景,但希望你能明白我的意思.  我们都必须在这样的前提下开始工作,即坏人将会进入你的网络,因此设计安全措施,限制他们所能看到的和所做的事情——不管他们的权利如何.  我们得让他们对任何可能被利用的网络信息视而不见.

而不是分发本地管理员权限使用 ICACLS 和REGPERM来创建用户需要的显式额外权限,而不会泄露任何信息.   这比仅仅赠送工作站更具挑战性.  然而, 我们可以编写这些脚本,并通过KACE或SCCM或类似的工具将它们推出,以便更容易地管理这些特殊的本地权限需求.

如果你有问题, 或者在过渡到本地工作站的有限用户时遇到问题, 请给我打电话,我们来谈谈你的具体情况.

新闻官斯科特Quimby