系统管理员特权帐户3大威胁向量及7大最佳实践

系统管理员掌握着组织网络安全的关键。然而，他们的账户也可能成为公司网络安全风险的来源。网络罪犯和恶意管理员都可以利用提升的特权为自己谋利。

在本文中，我们将探讨来自管理帐户的主要风险，并就如何保护对组织关键系统和数据的管理访问提供七个有效的最佳实践。

       系统管理员账户的重要性

系统管理员是负责安装、维护和配置组织计算机系统、网络和服务器的雇员。他们需要同时使用硬件和软件，在此过程中，他们必须遵循严格的网络安全政策，以确保公司敏感数据和整个IT基础设施的安全。

系统管理员比其他员工拥有更多的访问权限。他们可以： 

访问公司网络中的所有文件和数据；

创建和删除帐户，包括普通帐户和特权帐户；

为用户帐户分配访问权限；

下载、升级和删除软件；

修改企业系统；

根据组织的类型和规模，系统管理员可分为以下几类：

数据库管理员负责数据的完整性以及数据库系统的效率、维护和性能；

网络管理员维护网络基础设施，如交换机和路由器，并发现网络中的问题；

安全管理员负责计算机和网络安全，并向组织的员工传达一般的安全措施；

Web管理员维护Web服务器服务，允许内部或外部访问网站，也可能管理软件；

计算机管理员对计算机设备进行日常维护和保养，例如更换备份磁带或更换冗余独立磁盘阵列中的故障驱动器；

电信管理员负责维护提供数据和语音通信系统的设备和网络，如电话、视频会议、计算机和语音邮件系统。

在一些组织中，系统管理员可能承担几个甚至所有这些角色。但是，由于系统管理员具有这种程度的访问权限，因此他们的帐户对系统安全构成了重大威胁。

       针对系统管理员帐户的3大威胁向量

由于系统管理员帐户具有更高的访问权限，因此会给组织的网络安全带来潜在风险。提升的特权如果落入坏人之手，可能会损害一个组织。

与系统管理员帐户相关的主要威胁向量包括：

1. 外部网络攻击

网络罪犯可以通过破坏系统管理员的帐户来窃取或破坏组织的敏感数据。虽然有许多方法可以做到这一点，但大多数方法都涉及获取帐户凭据。

例如，与内部相关的凭据盗窃在2020年至2022年间几乎翻了一番。根据《2022年全球内部威胁成本报告》，“每起事件平均花费804,997美元，其中凭据盗窃是修复成本最高的事件。”

受损的管理帐户的成本可能会高得多，因为提升的帐户特权授予访问更有价值的资产的权限。

要入侵系统管理员的帐户，网络罪犯可以使用以下方法：

键盘记录恶意软件

键盘记录恶意软件可以捕获用户的击键，从而获取登录名和密码。然后将信息发送给攻击者。这种恶意软件可以由恶意的内部人员或外部攻击者故意安装在计算机上。安装键盘记录恶意软件的常见技术包括drive-by 下载、受感染的USB设备和水坑攻击。

网络钓鱼技术

当社会工程介入时，即使是最复杂的防火墙也可能毫无用处。网络罪犯可以代表一个可信的来源给受害者发电子邮件，欺骗收件人泄露重要数据或账户凭证。钓鱼邮件也可能包含恶意文件。虽然看起来像普通文档，但附件可能含有病毒，一旦打开就会感染系统。

被入侵的用户数据库

有时，电子商务和社交媒体网站遭到黑客攻击，其数据库和用户凭证最终落入网络犯罪分子之手。问题在于，人们倾向于在个人和公司账户上重复使用密码。由于人们倾向于为多个帐户重复使用密码，攻击者可以成功地使用公开泄露的凭证来攻击公司帐户。

哈希传递攻击（pass the hash attack）

这种黑客技术允许攻击者在密码哈希留在内存中之后窃取密码，而不是窃取完整的密码。要执行哈希传递攻击，攻击者可以转储存储在内存中的经过身份验证的用户凭据或转储本地用户的帐户数据库。

凭证填充和密码喷洒

如果攻击者获得诸如密码之类的凭据列表的访问权限，并试图对多个帐户使用它们以查看是否存在匹配，就可能发生凭据填充攻击。当网络犯罪分子拥有用户名列表并根据最常用的密码列表测试每个用户名时，就会执行密码喷洒攻击。他们还可以尝试通过使用多个IP地址来绕过重复输入密码的限制。

漏洞利用

网络罪犯可能会利用系统漏洞或系统管理员的疏忽来控制系统管理员帐户。例如，如果系统管理员登录到被黑客入侵的计算机，他们的帐户可能会被泄露。

2. 系统管理员疏忽

系统管理员本身有时会在不知不觉中对帐户泄露负责。外部攻击之所以经常成功，大多是由系统管理员疏忽造成的。

管理员可能泄露其凭据的不安全实践：

登录到不安全的端点

使用管理员帐户登录到组织外围未受保护的计算机，可能会将这些帐户暴露给攻击者。在远程办公实践中，这一点尤为重要，因为即使是系统管理员也可能通过个人笔记本电脑在家工作。如果不安全的计算机感染了恶意软件或以其他方式被黑客攻击，特权帐户就很容易被破坏。

共享管理帐户

系统管理员可以共享一个超级管理员帐户来完成许多任务，而不必拥有多个身份。例如，有人可能使用它为新员工设置计算机，而另一个人正在配置公司的网络。当共享管理帐户被滥用时，识别肇事者可能很困难。如果这样的帐户在其中一个端点上受到损害，则整个系统都处于危险之中。此外，恢复或禁用这样一个高度特权的帐户要困难得多。

使用管理账户进行日常活动

类似的风险与使用系统管理员帐户执行日常任务有关，例如检查电子邮件、在社交媒体上聊天、下载内容或只是上网。虽然这些活动看似无辜，但却隐藏了许多破坏管理帐户的方法，从而给犯罪者执行恶意计划留下可乘之机。另外，如果受感染的帐户具有管理Active Directory权限，则整个域可能处于危险之中。

使用糟糕的密码管理方法

对于系统管理员来说，糟糕的密码管理实践是不可接受的，因为他们的工作是提高系统安全性，而不是将系统暴露于风险之中。尽管如此，一些系统管理员仍然保持不健康的密码习惯。例如，对不同的管理帐户使用相同的密码；没有定期更新密码；在浏览器缓存中存储密码；与同事共享证书等。 

系统中管理帐户过多

系统中管理帐户过多会扩大攻击面。组织网络中的管理帐户越多，其中一个帐户受到损害的风险就越高。此外，维护和管理大量帐户（定期轮换密码，删除帐户不再需要的访问权限，跟踪帐户活动等）也很困难。

3. 系统管理员的恶意活动

正如我们前面所讨论的，对组织系统的完全访问权限为系统管理员提供了几乎无限的机会。一旦落入坏人手中，这种权力会以各种方式损害你的组织：

操纵文件和敏感数据；

将机密信息转移给第三方；

用特权创建后门账户；

篡改企业系统和网络；

安装恶意软件或影子IT；

滥用企业网络中的安全漏洞；

不过，无论是受到个人利益的驱使，还是受到外部的操纵，恶意的内部人员都极其难以识别。因为系统管理员善于掩饰自己的行为。提升的访问权限允许他们通过使用其他员工的帐户、删除应用程序以及擦除或修改事件日志来掩盖网络犯罪的痕迹。

检测恶意系统管理员犯下的罪行可能需要数年时间。例如，布兰登·考夫林（Brandon Coughlin）在2017年才被判入狱，他在2013年结束在宾夕法尼亚州一家诊所集团的工作仅两天后，就创建了一个未公开的管理账户，可以完全访问和控制该公司的计算机系统。在此期间，他一直在进行欺诈性的技术购买，并删除计算机设置和数据，直到2015年年中，该诊所小组最终更改了系统管理员的凭据。他的行为给该集团造成了大约6万美元的经济损失。

       7条保护系统管理员帐户的最佳实践

有多种方式可以破坏管理帐户。幸运的是，对于管理员帐户，组织可以应用一些安全最佳实践来最大限度地减少特权用户和系统管理员带来的风险：

1. 评估系统管理员带来的风险

确定组织所有的关键资产和可以不受限制地使用它们的人。考虑一下您的组织有多少系统管理员。他们拥有什么访问权？如何确保系统管理员遵循组织的安全策略？通过了解这些信息有助于选择正确的安全控制，并实现有效的管理员特权帐户安全策略。

2. 建立强大的安全策略

确保您有与公司网络和系统有关的正式书面政策。清楚地描述组织内应用的所有网络安全措施。尽管管理员本身就是网络安全专业人员，但请确保他们了解并遵循您的所有安全需求。

3. 加强密码管理

强大的密码管理对于网络安全和合规性都至关重要。通过描述健康的密码习惯来丰富您的安全策略，例如创建复杂的密码、定期更新密码以及为不同的帐户使用不同的密码。

然而，这可能还不够。要保护组织内的root和管理员凭据，建议应用与您所在行业相关的网络安全法规和标准推荐的实践。另外，您也可以使用专业的密码管理解决方案，来帮助安全地存储、交付和管理凭据。

4. 明智地使用和管理账户

有关如何安全使用和管理系统管理员帐户，请参阅以下建议： 

限制管理员帐户的使用。请确保系统管理员仅在需要时使用其admin帐户，并使用常规帐户执行日常任务。此外，尽量保持管理员帐户注销。永久登录会增加账户被泄露的可能性。

为不同的管理职责创建单独的帐户。根据管理员需要执行的任务和所需的访问级别，为管理员创建单独的角色。您可以创建一个超级管理员帐户和多个基于角色（较低权限）的管理员帐户。这将帮助您限制每个管理员所拥有的权力，并最大限度地减少可能滥用特权的范围。

避免使用共享的管理帐户。与多个用户共享一个管理员帐户使得无法监视和审计特定用户的操作。如果您别无选择，只能使用共享帐户，请考虑应用辅助身份验证，因为它有助于识别共享帐户的各个用户的操作。

5. 限制对关键系统的访问

提升访问权限是系统管理员帐户吸引恶意用户的最大因素。为了最大限度地减少系统管理员帐户被泄露的可能性，请考虑实现“最低权限原则”，仅向管理员用户提供执行其直接职责所需的权限。如果您希望进一步保护您的关键资产，请考虑部署零信任模型，只有经过验证的用户才能访问受保护的数据和系统。

6. 监视系统管理员的活动

监控用户活动是增强网络安全的好方法。用户会话记录将为您提供有关谁在何时何地做了什么事情的信息。此外，这些记录可以在网络安全事件调查期间用作证据。

7. 创建一个可靠的事件响应计划

创建一个经过深思熟虑的计划，如果系统管理员的帐户被泄露，相关人员将采取什么措施。把程序写下来可以帮助员工在紧急情况下及时有效地做出反应。事件响应计划将有助于减少外部攻击者或内部人员造成的损害。此外，建议考虑在您的组织中优化和自动化安全事件处理，以便更高效地处理安全事件。

参考及来源：https://www.ekransystem.com/en/blog/system-server-administrators