• 最小特权原则 (POLP)

    为了构建强大而安全的 IT 环境,必须建立基于基本安全原则的基础。根据Forrester的说法,80%的安全漏洞涉及特权帐户的凭据。由于风险如此之高,防止这些攻击的安全原则已成为当务之急。最小特权原则 (POLP)就是这样一个概念,如果实施得当,可以大大减少攻击面。
    在这里插入图片描述

    什么是最小特权原则 (POLP)

    最小特权原则是指将企业范围的特权降低到执行实体工作所需的最低权限的概念。它不仅与用户有关,还与系统、进程、应用程序、服务和其他设备有关。

    为什么需要最小特权原则

    通常,权限是根据用户的角色、部门、层次结构职位等分配给用户的。尽管这是常见的做法,但它造成的伤害可能比我们意识到的要大。根据研究,99%的用户权限未使用,并给网络带来潜在风险。除了严格分配特权外,当局还需要在分配特权访问权限之前彻底了解企业、员工及其工作要求。

    如何在组织中实施最小特权原则 (POLP)

    在量化和限定每个员工的需求后,POLP 建议将大多数用户帐户设置为“标准”或“最低特权用户”帐户。这些最低特权用户帐户将仅具有执行日常业务关键型活动所需的权限,而无权管理其他网络资源。以下是组织如何实施 POLP:

    • 建立最小特权原则的第一步是确定特权在哪些地方分配过多。
    • 必须发现网络中存在的所有本地和域管理员帐户。组织必须通过仔细分析处理它们的用户的需求来验证它们的存在。必须立即删除不必要的管理员帐户,以确保用户没有超出要求的权限。
    • 域管理员帐户拥有域中所有终结点的管理员权限。组织在将用户添加到此组时必须保持警惕,并且必须严格删除不需要完全控制的任何人。
    • 本地管理员帐户对其所在的计算机具有完全权限。作为最受利用的特权类型,组织在处理它们时必须强制执行审查。删除所有不必要的本地管理员帐户是建立 POLP 的最关键部分。
    • 在计算机中创建并添加到管理员组的本地用户帐户被视为本地管理员帐户。他们可以通过手动将其转移到标准用户组或通过为其部署脚本来剥夺这些权限。

    要手动删除不必要的管理员帐户,请执行以下操作:

    • 编辑本地用户和组

    在这里插入图片描述

    • 从管理员组中识别并删除不必要的帐户,并将其添加到标准用户组中。

    在这里插入图片描述

    但是,查找和管理本地管理员帐户可能很费力,因为可以在每台计算机中创建和隐藏多个此类帐户。相反,组织可以使用工具,通过单个控制台从整个网络中发现和删除这些帐户。

    通过删除这些管理员帐户,所有员工将只剩下执行其职能所需的最低权限。然而,事情并没有那么简单。虽然最小特权原则对组织的安全态势非常有利,但也有其挫折。

    在不影响工作效率的情况下实施最小权限控制

    许多企业都在努力建立 POLP,因为它可能对生产力产生影响。只有有限的管理员帐户可以提高安全性,但是当标准用户帐户需要管理员级别的权限才能执行最后一刻的关键任务时,会发生什么情况?需要向他们提供特权管理员凭据,或者需要将其添加回管理员组。

    除了不方便和耗时之外,这些重新提升的特权帐户还可能构成重大安全威胁,因为一旦满足这些要求,它们很少被撤销。为了在不影响安全性的情况下确保生产力,可以在启用权限包围的情况下建立 POLP。

    在此方法中,标准用户将仅按需获得所需的提升权限,而不是提升整个用户帐户。必须正确监控授予的权限和关联的用户行为。满足要求后,特权将自动解除。

    什么是特权蠕变

    如果在满足需求后没有撤销权限,用户可以储备日常活动所需的权限。这种不必要的权限积累称为权限蠕变,必须完全消除,因为针对这些帐户的恶意软件攻击可能会使整个企业瘫痪。

    最小特权福利原则

    • 应用程序中的漏洞几乎与应用程序本身一样无处不在。即使有补丁软件,漏洞仍然继续发生。但是,由于操作系统中超过 80%的补丁漏洞需要管理员权限才能成功利用漏洞,因此减少管理员帐户的存在可以降低此类漏洞利用的可能性。
    • 即使发生攻击,在实施最小权限原则的情况下,也不允许恶意软件以管理员权限执行。这可以大大减少可能发生的损害,并防止其进一步扩散到网络中的其他资源。
    • 此外,91%的网络攻击是由于鱼叉式网络钓鱼而发生的,而且通常情况下,非技术低级员工是他们的牺牲品。为这些用户保留最低权限有助于减少此类攻击的影响。
    • 强制实施最小特权还可以帮助企业遵守多种法规遵从性。即使企业不需要实现这些任务,建立最小特权原则也肯定会加强网络的安全环境。

    Application Control Plus 帮助实现最小特权原则

    Application Control Plus 在应用程序及其特权访问方面执行特权包围的重要组成部分,这使企业能够建立 POLP,而不必担心生产力下降。

    控制应用程序访问

    还可以利用应用程序白名单和黑名单功能来创建面向信任的列表,这些列表控制谁有权运行哪个应用程序。

    在这里插入图片描述

    应用程序级特权访问管理

    一旦通过将所有员工转移到标准用户组来建立 POLP,Application Control Plus 将确保任何业务关键型进展都不会受到阻碍。使用端点权限管理,可以在需要时提升特定于应用程序的权限,而不是提升用户。这使授权用户能够从其标准用户帐户以管理员身份运行基本应用程序。借助Application Control Plus 还可以:

    • 允许自行提升对所有列入白名单的应用程序的权限
    • 允许自行提升特定应用程序的权限
    • 启用特权访问

    特权撤销

    删除在满足要求后创建的策略可以防止存在权限蠕变。

    在这里插入图片描述

  • 相关阅读:
    植物大战僵尸杂交版全平台 PC MAC 安卓手机下载安装详细图文教程
    【优化调度】遗传算法求解公交车调度排班优化问题【含Matlab源码 2212期】
    springboot集成hystrix和feign,解决fallback,fallbackFactory不生效问题
    【Spring系列】- Spring循环依赖
    Modbus通信协议介绍以及Modbus Poll、Slave软件使用介绍
    [项目管理-20]:流水线pipeline与项目管理
    借助reCAPTCHA实现JavaScript验证码功能
    告别EXCEL,易点易动库存管理系统帮助企业提升固定资产管理效率
    Ubuntu22.04下安装Spark2.4.0(Local模式)
    JS加密/解密之逻辑运算符加密进阶篇
  • 原文地址:https://blog.csdn.net/ITmoster/article/details/128116485