最小权限：它是什么以及如何使用它

多年来，最小特权的概念在 Windows 网络中还是陌生的。供应商通常会要求管理员权限，或更糟糕的是，要求您成为域管理员才能安装和运行某些软件。但现在网络行业正在迎头赶上并强制实施最低特权。

什么是最小特权原则？

最小特权原则 (POLP) 是一种计算机安全概念，它限制用户对 IT 系统拥有的权限或访问权限的数量。就像它的名字一样，最小特权意味着拥有执行工作所需的最少权限或权利。无论您是域管理员还是网络中的普通用户，它都可以确保您只能访问执行您的角色所需的任务所绝对需要的内容。

如今，甚至网络保险公司也开始执行最低特权。最近，我自己的网络保险公司要求我确保“对所有网络管理员帐户和网络内具有更高权限的任何其他用户帐户进行多因素身份验证保护”。 ”

为什么最小特权原则如此重要？

攻击者一直在寻找将权限从普通用户提升为域管理员的方法。您应该检查您的网络以了解两个主要概念：

首先，您应该设计网络，使用户仅拥有完成其工作所需的权限和访问权限。不要让攻击者很容易在眨眼间在整个网络中进行横向移动。网络应该分段，以便隔离和遏制损害。

其次，该原则在可用性和安全保护之间取得平衡。我们曾经用坚硬的外壳构建了我们的网络，认为攻击者必须闯入才能造成损害。现在，您需要在构建网络时考虑到它们可能已经存在于您的网络中，从而限制攻击范围。简化审核和合规性将在违规调查阶段为您提供帮助。

管理访问的新方法

现在是重新考虑整个组织的管理员访问权限的时候了。从域服务器到云服务，再到工作站，管理员访问权限的使用只能根据需要提供。我们必须让攻击者更难在我们的网络中横向移动。

在我自己的网络中，我已经从部署工作站时使用通用本地管理员密码发展到确保使用本地管理员密码解决方案生成随机密码，然后将这些密码保存在 Active Directory 中。如果您仍然拥有通用的共享管理密码，攻击者所要做的就是网络钓鱼或诱骗用户交出凭据，然后攻击者就可以在网络中执行横向移动。

我经常看到应用程序供应商没有正确编码其应用程序的情况，并且为了使软件按预期运行，允许增加用户权限的临时解决方法以获得业务功能。很多时候，在进行这些调整后，用户会保留其提升的权利，并且永远不会被删除。通常，攻击者会在对网络进行秘密审查时“审核”组织的权限和访问权限，并专门针对那些执行高级功能或拥有高度可攻击资产权限的用户。

在某些情况下，您可能限制了用户权限，但攻击者仍然可以获得系统中的更多访问权限。攻击者经常使用网络钓鱼诱饵来获取对系统的访问权限，然后使用混合漏洞来提升他们对系统的权限。通常，较旧的未修补的 Office 安装是攻击者获取系统访问权限的来源和手段。未打补丁的软件可能会导致权限升级，这通常与从一开始就拥有提升的权限一样危险。这就是为什么补丁管理最佳实践对于实施如此重要。

保持领先一步

Microsoft 正在继续改进和推进解决方案，以确保我们领先攻击者一步。已经有一些已知的工具旨在追寻网络上的 LAPS 解决方案。

在最近的一篇博客文章中，微软表示他们也审查了有关管理访问的做法和想法。他们首先从一个安全的管理工作站开始——一台计算机，其唯一的观点是它将用于管理访问而不是其他目的。疫情期间，特别是“在家工作”和隔离的最初几个月，我们在办公室努力获得足够的硬件来让所有用户拥有专门的工作站。我们使用并重复使用我们能拿到的任何笔记本电脑，并允许员工使用他们的家用计算机远程访问组织。但这种“个人使用是可以的”理念意味着我们引入了攻击者可以针对没有保证工作站安全的开发人员和管理员的情况。

事实上，就在最近，一个主要的密码管理解决方案遭遇了安全漏洞，该漏洞是由于使用未受保护或未完全修补的个人工作站而引发的。使用个人设备和缺乏隔离意味着整个组织现在都处于危险之中。

关于如何增加最小权限安全措施的建议

Microsoft 建议您可以从四个方面入手来提高安全性。

1. 首先，确保实施技术和合规结构以鼓励和强制执行最低特权。首先检查用户在您的环境中拥有哪些角色和权限，以及他们为何拥有这些角色或访问权限。通常，
   “所有人，完全访问”的老式权限级别在当时不合适，现在也不合适。用户甚至管理员需要权限来完成他们的工作，但不允许攻击者完全控制网络。
2. 接下来，确保基于角色的访问控制到位，以确保用户和管理员隔离。销售团队不需要法律部门需要访问的相同信息，反之亦然。超出该职位正常范围的访问理由需要得到正式证明。
3. 研究推出即时提升。通常，用户仅需要针对特定任务或需求进行访问，而不是始终需要访问。通常，这意味着用户必须请求访问权限，然后由管理流程批准。任务完成后，访问权限将被删除。用户通常不需要永久访问数据库或某个位置的权限。根据项目的时间，访问通常会有时间限制。
4. 确保管理员帐户不用于日常使用。管理员级别越高、越敏感，他们就越不应该拥有与管理员帐户对应的电子邮件地址。攻击者会查看 LinkedIn 和其他社交媒体位置，以查找并专门针对高价值管理员。确保尽可能隔离担任这些角色的用户。

从容易实现的目标开始

您可能没有资源让制造商专门为您的组织构建计算机硬件。也没有立即实施所有这些流程的资源。但您可以首先检查网络中“容易实现的目标”，并确保最小的分母已被删除。如果您仍在使用通用本地管理员帐户来部署工作站，请确保您使用 LAPS 工具包或其他供应商解决方案来提供随机密码。更好的是，考虑检查将工作站直接部署到 Azure Active Directory 的选项，而不是使用管理员密码安装工作站。

检查您在网络中部署的全局管理员数量，并将其限制为不超过 5 个。所有管理员都应该具有多重身份验证，并且您应该考虑各种类型的多重部署。微软本身正在推出一项数字匹配授权，因为攻击者滥用了单纯的两因素批准。考虑更强大的多因素技术，从号码匹配到钥匙扣和令牌，以确保管理帐户受到保护。

不要认为新的意味着更好

在开始新的云部署模型时，我们常常以类似于本地部署的方式构建基础设施。因此，我们转向云并认为用户或管理员需要完全相同的权利和权限。虽然几年前在 Exchange 组织中提供 SharePoint 管理员权限可能很有意义，但现在可能不再有同样的意义。

此外，多年前我们通常并没有采用即时管理的理念来构建用户权限模型。现在，当我们转向从 Azure 到 Google 云再到 AWS 等任何云供应商的任何云应用程序时，我们需要使用这种即时模型来构建访问。 Azure AD 特权身份管理 (PIM) 允许你将用户设置为在有限的时间内拥有特定的 Azure AD 角色。您可以设置网络，以便用户必须请求许可并且您会收到通知才能获得这些更高权限的角色。

确保供应商参与

您应该审查并确保您的供应商和顾问也尽一切努力保护您的网络和系统并使其免受攻击。具体来说，有权访问您的系统和网络的顾问和托管服务提供商 (MSP) 应确保他们在客户群中实践最小特权的概念。每个客户的域管理员权限应该隔离。确保它们受到多重身份验证的保护。并确保密码不应跨网络共享。顾问和客户网络之间的连接应受到限制以实现信任。审查您与 MSP 的合同以及网络保险保单运营商的指导，以确保 MSP 识别高风险设备、服务和用户角色并限制其使用和访问。 CISA 关于使用托管服务提供商的指南特别指出，当任何人（从本地信息技术人员到外部顾问）易手时，应根据管理角色的变化更新权限。

管理员的职责应该受到限制，并且管理员应该只被授予他们履行其工作所需的特定职责所需的权利。从本地网络到云资源，任何人都不应以全局管理员身份进行日志记录，除非存在特定且潜在的紧急需要。理想情况下，应针对任何违规或安全事件制定记录的剧本，以便管理员不会无意中以高于修复或限制攻击所需的权限登录到资源。

在情绪激动和承受压力的情况下，IT 人员可能会无意中违反最低权限并将凭据暴露给攻击者，从而使情况变得更糟，而不是更好。即使对于 Azure Active Directory，所有管理员也应始终使用多重身份验证，并且应对未设置多重身份验证的帐户进行限制。这些帐户的设置方式应使其不登录，如果登录（如在紧急情况下），则会向其他管理员发出帐户已被访问的警报。这些未经多因素身份验证而设置的“紧急帐户”只能用于紧急情况。管理员帐户不应长期使用。每个登录的人都应该先登录来完成自己的工作，然后再注销。

结束时

确保组织的管理员使用安全的工作站或不与个人活动分担职责的工作站，尤其是那些因缺少软件补丁而未进行管理和维护的工作站。应强调物理安全和固件更新，以确保用于敏感访问的设备在其角色和功能范围内尽可能安全。组织可以将虚拟机和云资产视为更安全的管理工具，确保管理员根据他们所执行的角色和职责使用适当的资产和权限。

对于您的组织来说，最小特权不应该是不寻常的事情。它应该是管理访问和角色的完全采用的最佳实践。从工作站开始，一直到全局管理员，除了少数例外，任何时候都应强调最小权限。