缓解权限升级的三步指南

去年过去了，分析师们梳理了微软的漏洞列表。任何人都不会感到惊讶的是，94% 的具有严重评级的安全公告本可以通过删除管理权限来缓解。通过删除管理权限，100% 的 Internet Explorer/Microsoft Edge 关键公告得到缓解。在任何 Microsoft 环境中交互使用特权凭据的合法情况很少。考虑到自 Windows Server 2012 以来所做的许多改进，这一点尤其正确。

问自己这个问题 - 是否有任何用户（包括 IT 或管理人员）使用管理帐户执行日常任务？如果您回答“是”（或不是 100% 确定），那么您就有风险。与许多环境一样，您可能已经保护了标准用户，但提升了重要的人员帐户。您环境中的 IT 帐户可能会定期使用提升的凭据。这可能包括登录日常使用的计算机以及使用关键应用程序和琐碎程序（例如网络浏览器或电子邮件）。其他风险可能包括跨帐户共享帐户和通用密码。

在本文中，我们为您提供了防止特权帐户升级的三步指南。

第 1 步：承认 IT 可能成为一种负担

如果您的员工已经使用标准帐户，则您的管理帐户可能是您域中最大的漏洞。你多么勤奋、多么聪明、多么有意识并不重要。一个错误，例如在受感染的工作站上使用域管理员凭据，就可能导致您的失败。 IT使用的账号是王国的钥匙；他们是攻击者的主要目标。

如果您遵循三个规则，则可以轻松降低此风险：

1. 假设您的环境已经受到损害。您部署的解决方案应该得到强化，以防止进一步的危害
2. 域管理员（或具有广泛委派权限的用户）应该很少交互使用

3. 当心隐藏的管理员。这些包括：

   • 工作站和服务器上的本地管理员帐户
4. 密码较弱或未更改的服务帐户
5. 共享提升帐户（注意您的部门使用的帐户）

了解这些规则会有帮助。您必须拥有实际的解决方案来巩固您的地位并关闭特权升级门户。

第 2 步：防止权限帐户升级

Microsoft 为上面列出的每条规则提供了一个工具。第一个工具（包含相关概念）称为特权访问管理 (PAM)。 PAM 提供了一种安全地委派和管理目录服务的方法。 PAM 的基础技术包括 AD 和 Microsoft Identity Manager (MIM) 的改进。配置 PAM 时，您将创建一个受信任的林。由于 MIM 实施此森林的方式，它是经过强化的并且不会受到影响。

通用帐户/组SID允许您安全地升级权限并与对象交互。该概念类似于 MDOP 工具，即高级组策略管理。 MIM 处理包括时间敏感的安全组成员身份在内的基础工作流。虽然这种方法听起来有些极端，但它非常容易维护。它也是唯一一个经过 100% 验证的解决方案，可防止先前的攻击绕过任何新的安全层。 PAM 解决上一节中列出的第一条规则。

第二个可用的工具是特权访问工作站(PAW)模型。 PAW 提供了一个干净的管理渠道。这是通过使用高度安全的专用管理机器来实现的。在下图中，单个管理员有两个渠道来履行其工作职责。顶级通道通过 PAW，仅允许通过专用用户凭证访问目录服务。该凭据访问应通过 PAM 进行管理。第二个通道用于其他日常任务，例如涉及 Office 应用程序的任务。

通过将管理员的物理机指定为 PAW 通道并在其上运行虚拟机来执行其他日常任务，可以节省资源。如果您选择将 VM 合并到 PAW 基础结构中，Microsoft 会指定确切的顺序。

AD（包括 Azure AD）管理员可以实现 PAW 的最大好处。实施 PAW 时，首先针对这些帐户，因为它们是攻击者的最终奖品。帐户位于 PAW 模型上后，应迁移其他全局服务管理员。留意应加入 PAW 的非 IT 员工。 Microsoft 将以下员工列为潜在目标：

• 机密或预先公布的数据
• 管理高可见度服务的员工（例如公司的社交媒体帐户）
• 有权访问商业秘密或即将受到保护的数据的工人

如果您认为某个帐户可能会从 PAW 模型中受益，那么可以肯定的是，它们应该迁移到该模型上。

防止帐户升级的最后一个工具还解决了我们的第三条规则——隐藏的管理员。最明显的例子是默认的本地管理员。根据特权帐户管理最佳实践，应禁用该帐户。许多组织遵循该指南，但在整个域中将本地管理员密码设置为相同的值。就工作站访问而言，这相当于域管理员帐户。一台受到损害的机器会损害每台机器。

本地管理员密码解决方案 (LAPS) 是 Microsoft 针对本地用户帐户的免费密码管理工具。它是不安全的本地用户组策略首选项扩展的替代（和增强）。

LAPS 通过新的组策略客户端扩展 (CSE) 工作。此 CSE 应安装在每个工作站和服务器上。 Active Directory 或组策略管理员通过 LAPS 管理模板配置最低密码安全设置。在客户端上处理组策略时，LAPS 扩展将执行以下操作：

• 通过查询 AD 计算机帐户属性来检查托管本地帐户的密码是否过期
• 生成并验证帐户密码（如果密码已过期）
• 将该密码存储在 Active Directory 计算机帐户的机密属性中。新密码到期日期被写入单独的属性中。
• 将本地用户密码更改为生成的值

根据PAM，可以安全地委派读取本地用户密码的权限。甚至还提供了用于密码查找的 UI 工具。

虽然 LAPS 为本地用户提供了一个优雅的解决方案，但您仍然应该留意其他隐藏的管理员。不要听起来偏执，但始终假设环境受到损害。如果过去环境管理不当，这一点应该引起更多关注。

第 3 步：监控漏洞和漏洞

使用受损帐户的方法有很多种。就其本质而言，特权帐户将始终成为使用和升级的目标。上述三种解决方案可以阻止许多攻击媒介，但恶意行为者只需成功一次即可。

数据收集和分析是您的第一道也是最后一道防线。 Azure 或 Office 365 中的安全性和合规性工具等服务提供事件聚合和警报。这些相同的技术应该应用于其他关键服务。特权帐户的任何帐户操作或登录尝试都应经过审核和检查是否存在异常。应监视受保护组的组成员身份更改。最后，为了方便而进行的更改应根据潜在的妥协进行审查。如果非 IT 人员注册了 PAW 模型等附加安全服务，则尤其如此。组策略和所需状态配置使配置和实施安全策略变得更加容易。

通过遵循本文中的指导，您的环境可以免受特权升级的威胁。如果您为所有帐户（包括 IT）集成了这些安全措施，遵循上述三个规则，并持续监控，您可以放心，任何攻击网关都会小得多。

尝试使用我们的免费工具来掌握谁对 Active Directory 和文件共享中的内容拥有权限。