中小企业安全策略：第五部分

Jordan Drysdale//

tl;dr
库存管理和人员管理对于实现这一目标至关重要。通常，您的公司是成为统计数字还是发现有人侵入网络的区别在于限制用户对系统的权限。如果我在感染您的系统后首先检查自己是否是本地管理员并成功，那么您很可能已经陷入困境。

如果您刚刚加入本系列，可以在此查看之前的文章：
第一部分：简介
第二部分：库存
第三部分：软件库存
第四部分：漏洞管理

CSC #4 – 控制管理员权限的使用

组装小型网络管理拼图需要一些外部资源、协助、帮助、指导、一点运气，甚至更多。我们已经讨论了托管IT提供商（MSP/MSSP）的角色以及它们如何提供帮助，我在这里仍然坚持这一点。一个可靠的MSSP可以大大减轻您的负担。

但是，对于这个检查项（控制管理员权限），我们需要限制网络上的管理权限。在许多大型网络中，控制流程、文档、用户验证和特权组成员监控只是日常操作的一部分。也就是说，作为小企业的所有者/运营者，限制用户权限必须是员工入职培训、持续教育和文化的一部分。您有责任告诉员工为什么他们实际上不需要对公司系统拥有管理权限。

让我们用洋葱类比来描述这一点。洋葱的每一层都是一个风险。有人坐在您办公室的桌边是外层，很容易剥离。一旦点击了电子邮件链接或将凭据提交到不该提交的地方，下一层洋葱就是您的终端控制。防病毒、应用程序白名单和监控是接下来需要剥离的洋葱层。正如一再证明的那样，这些只是像其他层一样需要剥离的层。下一层，即刚刚点击下载“折扣券”应用程序的用户是否是管理员，可能是域妥协的噩梦场景与孤立事件之间的区别。

下图从相反的角度展示了洋葱，每一层都是您的防御位置。

好的，没有用户是本地管理员组的成员。那么我们如何管理软件安装？希望您的MSSP有一个票务系统，并且可以远程完成这项工作。首先，这提供了一个制衡的机会。如果您的流程需要高管或经理批准，应该首先进行。其次，您的MSSP或内部IT管理员将安装软件。最后，请温和地提醒您的MSSP不要将他们的账户留在锁定的会话中。这些会话是黑客和渗透测试者的目标。如果有通往这些系统的路径，它们将被掠夺所有价值，可能包括高权限账户的凭据。

密码管理以某种方式与每个CSC / NIST标准相关联。管理特权账户密码、交换机、接入点、路由器、域管理员也需要一些思考。以下是一些密码管理器列表，可以帮助员工遵守密码政策，而无需依赖便签。许多允许创建和委派权限，也可以立即撤销。

• LastPass
• Keeper
• Zoho
• SecretServer

所有这些仍然需要某种形式的身份验证，因此在管理“一密码统治所有”时请格外小心，并启用双因素身份验证！

除了管理网络工作站上的用户权限外，请确保像“域管理员”、“企业管理员”和“架构管理员”这样的组得到良好管理，并且这些组的成员已经经过审查并属于那里。政策和程序实施的另一部分是年度审计和审查这些政策。

网络不会自行运作，虽然它们经常被忽视，但不应该如此。通过扮演治理角色，使您的网络、相关政策和程序以及您的业务更加安全。

一如既往，如果您想看到或听到更多，请给我们写信 – consulting@blackhillsinfosec.com。