Security+ 学习笔记23 帐户管理

一、了解账户和权限管理

账户管理是信息安全专业人士的基本职责之一。这包括设计强大的流程，实施最小特权和职责分离的原则，实施工作轮换计划，并管理整个账户生命周期。

1. 最小特权原则指出，一个人应该只拥有履行其工作职能所需的最低限度的必要权限；
2. 职责分离原则指出，执行敏感行动应该需要两个人的合作；
3. 工作轮换(Job Rotation)计划，目的在定期将人们从一个工作岗位转移到另一个工作岗位。这种方式有明显的人事方面的好处，为团队提供多样化的经验，使他们能够体验到组织运作的许多不同方面。它也有安全方面的好处，即减少欺诈的可能性。如果我们知道在工作轮换期间会有其他人看我们的工作，就不太可能进行可能被该人发现的非法活动；
4. 强制性休假(Mandatory Vacation)政策试图实现同样的目标，要求关键岗位的员工每年至少连续休假几天，并且在这段时间内不能访问公司系统。这种强制休假为欺诈活动提供了机会，当员工没有必要的权限来掩盖它时，欺诈活动就会暴露出来。

账户管理团队应该为其组织中的账户采用一个标准的命名惯例。这使得识别用户和将用户账户名称与真实身份联系起来更加容易。例如，许多组织选择使用一个标准的命名惯例，即采用用户的首字母，并将其与最多七个字符的姓氏相结合。如果这样做会产生一个重复的账户，他们就会用一个独特的数字取代最后一个字符。按照这个惯例，Mike Chapple的用户名将是mchapple，前提是组织中没有任何其他人拥有其的姓氏和首字母。如果其他人已经有了这个账户名，就会是mchappl2。以此类推。

安全专业人员还负责管理账户和凭证的生命周期。这需要一系列的账户维护活动。他们管理授予新用户访问系统的过程，并确保他们拥有与其工作角色相对应的正确权利，当用户改变工作或用户的工作需要新的访问时，修改这些权利，定期审查访问，并删除任何不必要的访问，遵循一个被称为重新认证的过程，最后，删除终止用户的访问，完成生命周期。用户账户的管理是网络安全专业人员的一项重要职责。

二、账户类型(Account types)

访问控制系统包含几种不同类型的账户，每一类都需要不同类型的控制。

1. 标准用户账户(Standard Account)： 我们所管理的大多数用户账户都是标准用户账户。它们被分配给个人用户，并授予对资源的常规访问。在一个组织中，从接待员到首席执行官的每个人通常都有一个标准的用户账户，尽管这些账户可能有极大的不同权限。用户账户应该受到例行的监控，以防止泄露，并应遵循生命周期管理流程进行配置和删除；
2. 特权账户(Privileged Account)： 一些账户属于系统管理员，拥有修改系统配置的广泛权限。这些账户是高度敏感的，应该使用一个被称为特权账户管理的程序来仔细保护它们。一般来说，我们应该记录由特权账户执行的每一个动作，并把发生在特权账户上的任何可疑活动作为一个高度优先的调查对象；
3. 访客账户(Guest Account)： 为用户提供了对资源的临时访问。例如，我们可以使用访客账户来授权访客访问的无线网络。访客账户应该与独特的个人联系在一起，并在一定的时间后过期；
4. 共享或通用账户(Shared and Generic Account)： 是指不止一个人可以使用该账户的账户。一般来说，共享和通用账户是一个坏方式。它使人很难追踪谁执行了某项行动，而且当几个人都能访问一个账户时，每个用户都有合理的推诿责任；
5. 服务账户(Service Account)： 是一种特殊类型的账户，由系统内部使用，用于运行一个进程或执行其他动作。这些账户通常具有特权访问权，应该被仔细控制。我们应该对服务账户进行配置，使它们不能被用来以交互方式登录系统，其密码也不应被任何人知道。

三、账户策略(Account policy)

安全专家可以利用账户策略在整个域中应用安全要求和其他配置设置。Windows活动目录(Active Directory)提供了组策略功能以允许这种类型的配置。管理员可以创建组策略对象(Group policy objects)或GPO，这只是一组配置设置，然后将这些GPO应用于整个域，或被称为组织单位的较小的用户和计算机组。这是一个简单的方法，可以为所有用户执行一个一致的策略。

四、密码策略(Password policy)

密码是最常见的认证机制之一，确保密码的安全很重要。管理员可以使用组策略对象(GPO)来安全地配置密码，要求终端用户有良好的密码复杂度。具体的要求是：

1. 密码长度要求。最佳做法是，密码应该至少有8个字符，尽管有些组织要求密码更长；
2. 使密码复杂和难以猜测的第二个要求是要求密码包括不同类型的字符，如大写字母、小写字母、数字和符号。来自NIST的最新指导建议，应该允许用户在他们的密码中使用各种复杂的字符，但只要组织使用多因素认证，就可以再要求这样做；
3. 一些组织还选择实施密码过期策略(Password expiration policies)，要求每90天更换一次密码，而其他组织则选择更长的时间段。用户有时会试图绕过密码更改要求，在密码过期时更改密码，然后立即将其改回以前的值。密码历史和重复使用要求可以防止用户从事这种活动。他们通过跟踪旧密码并防止其重复使用来做到这一点；
4. 强有力的密码做法还可以防止暴力猜测密码的攻击。企业应该制定政策，在错误的登录尝试达到一定数量后锁定账户，并且禁用未使用的账户；
5. 提供自动密码恢复服务，允许用户使用替代的认证过程（如回答安全问题）来重置他们的密码。这种方法减轻了服务台和其他IT工作人员的负担，让用户对最常见的IT请求之一有了自我服务的选择。在自助服务的基础上快速回答这些请求，也提高了用户对IT服务的满意度。

如上的这些特性，在Windows系统中，可以在组策略对象GPO中进行设置：

五、管理角色(Managing roles)

角色为管理员提供了一种管理安全权限的简单方法。

管理员可以创建角色，将权限分组，使其可以同时分配给多个用户。在Windows中，我们可以使用安全组(Security Group)来管理角色和它们的权限。

角色的主要好处是它们简化了账户管理。当一个新用户加入一个团队时，管理员可以简单地将他们分配到该团队的角色。然后，用户就会得到与他们的新工作相关的所有权限。当他们离开时，管理员可以删除该角色，这些权限就会消失。角色也消除了使用共享通用账户的需要。在一些组织中，管理员创建通用账户，例如为人力资源部门创建一个账户，或为所有接待人员创建一个账户。这样，他们就不需要为每个用户创建新的账户并管理这些账户的权限。这种方法的危险在于，很难跟踪谁在系统上进行了操作。而且，它还需要在任何人离开组织时改变账户密码。

六、账户监控(Account monitoring)

安全管理员必须仔细注意终端用户账户的权限和使用，以防止安全事故的发生。如果是企业可能遇到的一些账户监控问题:

1. 分配给账户的不准确的权限。这些权限要么妨碍了用户的工作，要么违反了最小特权原则。这些权限往往是特权蠕动(privileged creep)的结果，这种情况发生在用户转换工作并获得新的权限，但从未撤销他们的旧权限。为了防止不准确的权限，管理员应该与组织内的管理人员合作，定期进行用户账户审计。在每一次人工审核中，管理员应该调出分配给每个账户的所有权限清单，然后与管理人员一起审查该清单，以确保权限适合于用户的角色，并作出任何必要的调整。管理员应该仔细注意自上次账户审查后换了工作的用户。一些组织可能会使用一个正式的证明程序，由审计人员审查文件，以确保管理人员已正式批准每个用户的账户，和访问权限。
2. 合法用户以外的人在未经授权的情况下使用该账户的权限，或者用户自己执行一些非法的行动。防止未经授权使用权限是很棘手的，因为它可能很难被发现。这就需要使用持续的账户监控系统来观察可疑的活动，并提醒管理员注意奇怪的行为。例如，持续账户监控系统可以标记出违反访问策略的行为，如从奇怪的地理位置登录，如一个用户同时从他们的家庭办公室和东欧的一个远程位置连接。像这样的情况被称为不可能的旅行时间登录(Impossible travel time logins)，应该被视为有风险的登录。我们还应该注意从不寻常的网络位置登录，例如一个总是从人力资源部门网络登录的用户，突然出现在访客网络上。我们也应该注意在一天中不寻常的时间登录，例如一个邮件员在半夜登录系统。我们还应该观察是否有偏离正常行为的情况，例如用户访问他们通常不访问的文件。最后，我们还需要注意大量的活动(high volumes of activity)，这些活动可能代表敏感信息的大量下载。

值得关注的具体情形因组织而异，但执行这种基于行为的持续账户监控是一个重要的安全控制。当我们继续加强自己的监控实践时，可能会发现额外的信息将有助于实施账户策略。例如，如果想在监控实践中使用地理位置，我们应该启用登录的地理标签(Geotagging)。地理标签记录了地理位置，用相关信息对每次登录进行标记。地理围栏(Geofencing)更进一步，在地理位置周围画出边界框，当用户或设备离开定义的边界时，就会通知管理员。

七、特权访问管理(Privilege access management)

特权账户，属于系统工程师、应用管理员和其他敏感规则的用户，需要被特别的保护。特权访问管理解决方案将特殊的控制措施落实到位，以确保这些账户的安全并监控特权用户的活动。特权访问管理解决方案中的几个常见组件如下：

1. 密码保险库(Password Vaulting)。密码库是安全的、加密的存储库，用于存储访问敏感账户的密码。密码库的理念是，没有人知道这些特权账户的实际密码。密码由密码库自动创建，当用户需要登录特权账户时，他们会登录到密码库，然后密码库会登录到目标系统。这维护了特权账户密码的安全性，并保持了问责制，即使多个用户需要访问同一个特权账户；
2. 命令的代理(Command Proxying)。用户不需要直接登录远程系统，特权账户管理器可以接收用户希望以高权限执行的命令，验证用户是否被授权执行该命令，然后代表用户向目标系统发布该命令；
3. 增强的监控能力。它们应该记录用户在特权会话中采取的每一个行动，并存储这些日志供以后审查。这使得调查人员和审计人员能够回溯使用管理权限的确切步骤；
4. 执行账户管理的一些繁重工作。例如，创建符合组织密码政策的新的强密码；
   
5. 提供一个紧急访问工作流程。在某些情况下，用户可能需要绕过特权账户管理器，以管理权限直接访问一个系统。账户管理器应该允许这种类型的行动，也许需要经理的批准。然后，也应该记录紧急访问，并确保在紧急披露后更改密码。

八、账户的提供和撤消(Provisioning and Deprovisioning)

账户管理员负责管理用户账户的提供和撤销。需要注意点如下：

当一个新用户加入组织时，管理员确保他们通过适当的入职流程，然后为该人提供一个用户账户。这包括创建认证凭证，并根据用户的工作职能授予其适当的授权。然后，当用户离开组织时，管理员确保他们通过一个离职流程，包括深度配置账户，在适当的时候删除他们的凭证和授权。现在，当一个用户离开一个组织时，管理员必须迅速采取行动，从计算机系统中删除他们的访问。这可以防止用户在离开后访问敏感信息或资源，当用户在不利的情况下离开组织时，这一点尤其重要。安全专业人员应确保组织有一个强大的流程，旨在删除访问权限，最好是以自动或半自动的方式。流程分类如下：

1. 当主管通知人力资源部门有员工辞职或退休时，我们计划离职的常规工作流程应自动开始。账户管理团队应该将用户的账户配置为在他们离开组织的日期自动过期。
2. 第二个工作流程是针对紧急情况的。当一个用户被意外终止时，这可能发生在用户被解雇的不利情况下。在这些情况下，IT部门应该仔细地与人力资源部门协调，精确地确定账户终止的时间。如果账户管理员没能准确把握撤销访问权的时间，可能会出现两种不理想的情况。首先，如果账户在雇员被告知终止之前就被终止，雇员可能会提前获得即将被终止的通知并对雇主采取报复行动。第二，如果账户在用户被告知解雇后没有立即终止，用户可能在被解雇后还能访问系统并采取报复行动。

在Windows系统上，打开活动目录用户和计算机工具(active directory users and computers tool)菜单，可以对账户的提供和撤消等操作进行管理，需要注意的是，禁用账户提供了一种暂时中止用户的方法，它可以通过重新启用账户来逆转。通常情况下，即使我们知道一个用户将被永久终止，也要先禁用一个账户，可以防止错误删除用户。当我们准备真正删除账户时，再可以返回这个菜单并删除它。

最后总结一下，及时暂停和终止账户，通过减少未授权访问的风险来提高企业安全。

整理资料来源：
https://www.linkedin.com/learning/paths/become-a-comptia-security-plus-certified-security-professional-sy0-601