一家IT安全专家公司已在Contoso工作。他们刚刚为主板制作了一份报告。该报告指出,最近在Contoso发生的大多数安全漏洞或数据丢失事件是人为错误和/或恶意活动的结果。

该报告提供了许多示例,包括使用管理特权登录和执行标准用户任务。在一个引用的示例中,用户使用Enterprise Admins权限登录并打开了运行恶意代码的电子邮件附件。然后,该代码对整个Contoso企业具有完全的管理权限,因为运行它的用户具有完全的管理权限。

总览

最低特权是将访问权限限制为仅执行特定任务或工作角色所需的那些权限的概念。您可以将此原则应用于:

  • 用户帐户。
  • 服务帐户。
  • 计算过程。

尽管此原理易于理解,但实现起来可能很复杂。结果,在许多情况下,不遵守最小特权。

该原则指出,所有用户都应使用具有完成当前任务所需的最低权限的用户帐户登录,仅此而已。除了其他攻击外,该原理还可以防止恶意代码。它适用于计算机以及这些计算机的用户。

当然,问题在于管理员通常不希望使用标准用户帐户登录其日常任务,而是在需要重设用户密码时以管理员身份退出并重新登录。这很耗时,很麻烦。要解决此问题,您必须找到一种方法来识别典型的安全风险。然后,您必须计划一种不太麻烦的最小特权原则。

识别安全主体

在本地环境中,您应该确定哪些安全主体(用户和组)属于管理组。在Active Directory域服务(AD DS)中,有许多敏感的管理组。下表对此进行了描述。

识别安全主体
描述
企业管理员 此通用安全组位于AD DS林根域的“用户”文件夹中。成员可以在森林中的任何地方执行任何管理任务。很少有需要企业管理员身份的管理任务。默认情况下,只有林根域中的Administrator用户帐户才属于Enterprise Admins。
域管理员 此全局安全组位于AD DS林中每个域的“用户”文件夹中。成员可以在本地域中的任何地方执行任何管理任务。默认情况下,只有本地域中的Administrator用户帐户才属于Domain Admins。
架构管理员 此通用安全组位于目录林根域的“用户”文件夹中。成员可以修改AD DS架构的属性。模式更改很少见,但影响很大。默认情况下,只有林根域中的Administrator用户帐户才属于Schema Admins。
管理员 此域本地安全组位于AD DS的“内置”文件夹中。Administrators本地组也存在于AD DS林中的所有计算机中。管理员具有对域(或计算机)的完整且不受限制的访问权限。通常,将Enterprise Admins和Domain Admins组添加到林中所有计算机上的Administrators组中。

 备注

AD DS架构是对象及其属性(有时也称为类和属性)的集合。

具有安全特权的其他内置组包括:

  • 帐户操作员。
  • 服务器操作员。
  • 关键管理员。
  • 企业密钥管理员。

Active Directory管理中心的屏幕快照。 管理员已在Contoso(本地)\ Users中选择了Enterprise Admins组。 还显示“用户”文件夹中的其他组。

修改组成员

确定哪些用户和组属于管理组之后,可以进行任何必要的更改。您可以在AD DS环境中使用组策略对象(GPO)来加快此过程。使用“受限制的组”功能可以控制受GPO影响的所有计算机上组的成员资格。使用以下过程:

  1. 打开“组策略管理”,然后创建一个GPO并将其链接到域对象。
  2. 打开GPO进行编辑。
  3. 找到“计算机配置”,“策略”,“ Windows设置”,“ 安全设置”,“受限制的组”
  4. 右键单击或激活受限组的上下文菜单,然后选择添加组
  5. 在“添加组”对话框中,添加所需的组。
  6. 将成员添加到组或将组添加为另一个组的成员。
  7. 选择确定以完成该过程。

组策略管理编辑器的屏幕快照。 管理员已导航至“计算机配置”,“策略”,“ Windows设置”,“安全设置”,“受限制的组”。 管理员添加了一个名为Administrators的组,并将其添加为Domain Admins,Enterprise Admins和ContosoAdmin的成员。

确定当前分配的权限

修改环境中的安全主体后,必须确定这些主体已经拥有的权限。显然,如果用户属于敏感的管理组(例如管理员),则该用户可以在该组所在的计算机或域上执行任何任务并行使任何权利。

 备注

权利是执行管理任务的能力。权限是访问文件系统,AD DS或其他地方的对象的能力。

但是,用户可能属于已分配了权限或特权的其他组。直接为用户分配权限也可能是这种情况。

您可以使用本地安全策略控制台来确定分配的权限。使用以下过程:

  1. 选择“开始”,然后选择“ Windows管理工具”
  2. 选择本地安全策略
  3. 在“本地安全策略”中,展开“本地策略”,然后展开“用户权限分配”
  4. 查看并根据需要编辑列出的每个策略的“安全设置”值。

本地安全策略控制台的屏幕截图。 管理员已选择“用户权限分配”节点,并且在详细信息窗格中显示的是策略和安全设置。

 提示

始终将策略分配给组,而不是直接分配给用户。这有助于进行持续管理。当某人的工作角色更改时,您只需要更改其组成员身份,而无需重新访问分配给其用户帐户的所有用户权限分配。

实施用户帐户控制

用户帐户控制(UAC)是一项安全功能,它为用户提供了一种将其管理帐户的状态限制为标准用户帐户的状态的方法。但是,当用户要执行需要管理功能的任务(称为海拔)时,系统会提示用户确认该海拔。默认情况下,UAC会在用户尝试提升时提示用户,如下所示:

  • 如果用户是管理员,则提示他们确认海拔。
  • 如果用户是标准用户,则会提示他们输入管理凭据。

您可以使用GPO控制UAC提示和行为。

  1. 打开适当链接的GPO进行编辑,然后导航到“计算机配置”,“策略”,“ Windows设置”,“ 安全设置”,“本地策略”,“安全选项”
  2. 对于管理帐户,在“管理员批准模式”设置中打开“用户帐户控制:管理员提升权限的行为”设置,选择“定义此策略设置”,然后选择所需的设置。
  3. 对于标准用户,请打开“用户帐户控制:标准用户的提升提示行为”设置,选择“定义此策略设置”,然后选择所需的设置。

组策略管理编辑器中“安全性选项”节点的屏幕快照。 显示用户帐户控制值。

实施适当的管理

Just Enough Administration(JEA)是一项管理技术,使您可以通过Windows PowerShell远程会话应用基于角色的访问控制(RBAC)原则。通过使用JEA,您可以配置特殊的Windows PowerShell终结点,以提供执行特定任务所需的功能,而不是让用户通常具有使他们执行与他们的工作要求没有直接关系的任务的一般角色。

JEA允许您锁定管理会话,以便只能通过远程Windows PowerShell会话执行一组特定的任务。JEA通过限制可以执行的任务来提高安全性。通过创建和修改角色能力文件和会话配置文件来配置JEA。

 重要

JEA仅支持Windows PowerShell远程处理。

发表评论

您的电子邮箱地址不会被公开。 必填项已用*标注