中小企业安全策略：第五部分

作者：Jordan Drysdale

tl;dr
库存管理和人员管理对实现安全至关重要。通常，公司沦为统计数字与发现网络入侵者之间的区别在于限制系统用户权限。如果我在感染系统后首次检查是否拥有本地管理员权限成功，那么你的系统很可能已经沦陷。

如果你是刚加入本系列，可以查看之前的文章：
第一部分：简介
第二部分：库存
第三部分：软件库存
第四部分：漏洞管理

CSC #4 – 受控的管理员权限使用

构建小型网络管理拼图需要外部资源、协助、指导、一点运气以及更多要素。我们已经讨论过托管IT服务提供商（MSP/MSSP）的角色及其帮助方式，此处我仍坚持这一观点。一个优秀的MSSP可以为你分担重担。

但对于这一检查项（受控管理员权限），我们需要限制网络上的管理权限。在许多大型网络中，控制流程、文档、用户验证和特权组成员监控只是日常操作的一部分。然而，作为小企业的所有者/运营者，限制用户权限必须是员工入职培训、持续教育和文化的一部分。你有责任告诉员工为什么他们不需要公司系统的管理权限。

让我们用洋葱类比来描述风险。洋葱的每一层都是一个风险。坐在办公室桌前的员工是最外层，容易剥离。一旦点击电子邮件链接或在不该提交凭据的地方提交了凭据，下一层就是你的终端控制。防病毒、应用程序白名单和监控是接下来需要剥离的层次。正如反复证明的那样，这些只是像其他层一样需要剥离的层次。下一层，即刚刚点击下载“折扣券”应用程序的用户是否是管理员，可能是域沦陷的噩梦场景与孤立事件之间的区别。

下图从相反的角度展示了洋葱，每一层都是你的可防御位置。

好的，没有用户是本地管理员组的成员。那么我们如何管理软件安装？希望你的MSSP有一个票务系统，并且可以远程完成这项工作。首先，这提供了制衡的机会。如果你的流程需要高管或经理批准，应该先进行批准。其次，你的MSSP或内部IT管理员将安装软件。最后，请温和地提醒你的MSSP不要将他们的账户留在锁定会话中。这些会话是黑客和渗透测试者的目标。如果有通往这些系统的路径，它们将被掠夺一空，可能包括高特权账户的凭据。

密码管理以某种方式与每个CSC/NIST标准相关联。管理特权账户密码、交换机、接入点、路由器、域管理员也需要一些思考。以下是一些密码管理器，可以帮助员工遵守密码政策，而无需依赖便签。许多管理器允许创建和委派权限，这些权限也可以立即撤销。

• LastPass
• Keeper
• Zoho
• SecretServer

所有这些仍然需要某种形式的身份验证，因此在管理“统御一切的唯一密码”时请极其谨慎，并启用双因素认证！

除了管理网络工作站上的用户权限外，请确保像“域管理员”、“企业管理员”和“架构管理员”这样的组得到良好管理，并且这些组的成员已经过审查并属于该组。策略和程序实施的另一部分是年度审计和策略审查。

网络不会自行运营，虽然它们经常被忽视，但不应该如此。通过扮演治理角色，使你的网络、相关策略和程序以及你的业务更加安全。

一如既往，如果你想看到或听到更多，请给我们留言 – [email protected]。

想要从本文作者那里学习更多技能？
查看Jordan和Kent的课程：

• 防御企业
• 假设妥协 – 带有检测和Microsoft Sentinel的方法论

提供实时/虚拟和点播选项！

播客：神圣现金牛 tipping 2019 我用InSpy v3.0进行间谍活动

[返回顶部]