Windows Server安全规则7:应用最低权限

2020年12月31日19:43:39 发表评论 105 次浏览
ms_logo_grey
ms_logo_grey
你可以从这份文件中得到什么:

本文档介绍了一些基本的安全性最佳实践, 这些最佳实践如果与其他安全性措施结合使用, 将有助于提高系统的整体安全性。

有什么威胁?

网络技术的最新进展, 例如与Internet的永久连接, 为各种规模的组织带来了巨大的机遇。不幸的是, 计算机与任何网络(尤其是Internet)之间的连接会增加与恶意软件(malware)和外部攻击者相关的风险。通过管理旧的和众所周知的风险, 可以发现或创建新的风险。

增加恶意软件风险的一个重要因素是倾向于赋予用户对其客户端计算机的管理权限。当用户或管理员以管理权限登录时, 他们运行的任何程序也将具有管理权限。如果这些程序激活了恶意软件, 则该恶意软件可以自行安装。此外, 它可以操纵诸如防病毒程序之类的服务, 甚至对用户隐藏。用户可以无意地, 不知不觉地运行恶意软件, 例如, 通过访问受感染的网站或单击电子邮件中的链接。

恶意软件给组织带来了无数威胁, 从使用击键记录器拦截用户的登录凭据到通过使用rootkit对计算机或整个网络进行完全控制。恶意软件可以使网站无法访问, 破坏或破坏数据并格式化硬盘。恶意软件感染可能会导致计算机消毒, 恢复文件或重新输入丢失的数据的额外费用。病毒攻击还可能导致项目团队错过最后期限, 从而导致违反合同或失去客户信心。受到法规遵从的组织可能会受到起诉和罚款。

最低特权用户帐户方法

具有重叠的安全层的纵深防御策略是应对这些威胁的最佳方法。特权最小的用户帐户(LUA)方法是此防御策略的重要组成部分。 LUA方法要求仅向用户授予对其工作必不可少的那些特权。此策略还旨在将管理凭据的使用限制为管理员。

LUA方法可以显着降低恶意软件风险以及与意外完成的错误配置相关的风险。另一方面, LUA方法可能会产生巨大的成本和挑战, 因为它要求你计划, 测试和支持有限的访问配置, 这些成本可能包括自定义程序的重新开发, 操作程序的更改以及其他部署的部署。工具。

为你提供的最低特权

仅使用完成特定任务所需的权限。

示例:创建一个日常任务权限受限的用户, 并且仅在真正需要时才使用管理帐户。

最低服务特权

服务控制管理器(SCM)组件根据服务的RequiredPrivileges注册表项中指定的特权信息分配服务特权。 SCM确保仅在托管服务的进程的访问令牌中启用在服务的RequiredPrivileges条目中指定的特权。 SCM还通过确保服务在运行时不会被赋予其他特权, 从而在系统启动之前强制执行RequiredPrivileges设置。所有服务的配置信息都存储在注册表的HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Services项中, 该项​​为系统上运行的每个服务都有一个子项。

示例:你创建了一个名为MyService的服务, 并将其设置为在本地系统帐户(即MyService的服务帐户)的安全上下文中执行。在Windows Server 2012上, 你可以通过在服务的RequiredPrivileges注册表项中包括此权限, 来指定MyService仅需要"备份文件和目录"用户权限。当SCM启动MyService时, 它将仅在承载MyService的进程的访问令牌中启用"备份文件和目录"用户权限。在早期的Windows版本中, 托管进程具有访问令牌, 该令牌启用了授予本地系统帐户的所有默认特权。本地系统帐户是服务控制管理器使用的预定义本地帐户。它具有对计算机的完全访问权限。如果服务在本地系统帐户下运行, 则它们可以完全不受限制地访问本地资源。

要设置服务的RequiredPrivileges注册表项并指定服务应具有的权限, 可以使用SC命令。要限制MyService的权限, 请输入以下命令:

sc privs MyService SeBackupPrivilege

要获得在服务的RequiredPrivileges注册表项中指定的必需权利的概述, 请输入以下命令:

sc qprivs service_name

注意:

service_name是你要查看其权限的服务的名称。

本示例说明了在IIS Web服务器(W3SVC)服务的注册表中指定的必需权限。

cmd_admin_prompt
cmd_admin_prompt

要观察过滤SCM权限的效果, 你可以使用Windows Sysinternals进程浏览器工具。

  • 启动进程资源管理器。
  • 右键单击一个进程。
  • 请点击属性.
  • 点击安全标签.

下一个示例显示了winlogon进程的安全属性, 它们出现在Process Explorer中。请注意, 尽管Winlogon在本地系统帐户(NTAuthority \ System)的安全上下文中运行, 但由于最小特权限制, 其访问令牌包含一些被禁用的权限。

winlogon_exe
winlogon_exe

其他建议:

为了对这个主题有扎实的理解, 强烈建议你阅读以下部分列出的文章。

更多的信息:

  • 最小特权原则:https://en.wikipedia.org/wiki/Principle_of_least_privilege
  • 保护Windows Server 2012R2:https://technet.microsoft.com/en-us/library/hh831360.aspx
  • Windows服务强化:https://blogs.technet.microsoft.com/askperf/2008/02/03/ws2008-windows-service-hardening/
  • 实施最小特权管理模型:https://technet.microsoft.com/en-us/library/dn487450.aspx
  • 流程浏览器:https://technet.microsoft.com/en-us/sysinternals/bb896653.aspx

Microsoft提供的内容旨在用于一般信息目的, 内容按原样提供, 对准确性, 正确性或可靠性不作任何明示或暗示的保证。所提供的信息不保证适用于特定目的。信息经过精心整理, 但是在此方面不承担任何责任, 特别是对于没有错误, 关于特定知识状态的时事性或用作用户负责任决策的基础。

一盏木

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: