以特权帐户安全来保护Windows环境

Windows机器无处不在——在许多组织中,大部分的服务器和终端都是Windows系统。强大的特权账户存在于每个系统中,为了简便和高生产效率,Windows管理员授予本地管理特权给用户,同时导致了更大的攻击面——使攻击者有机会在组织内获得立足点。

一旦攻击者进入到内部网络,他们能够横向移动和升级权限,通过本地存储的哈希值来利用Kerberos认证协议的固有弱点,如pass-the-hash。通常,攻击者的主要目的是到达域控制器——Windows环境的权威信任中心。一旦域控制器被攻占,攻击者可以在组织毫不察觉的情况下全权访问整个域。

为了保护Windows环境,组织必须实施分层的安全措施。为了大大减少攻击面和降低攻击者利用本地管理员权限来获得立足点的风险,建议组织删除本地管理权,以及通过白/黑名单解决方案控制Windows终端的应用程序。为了保护高价值的资产包括域控制器,组织应该保护,管理和轮换特权凭证。每个系统使用唯一的凭证并结合定期轮换的规则,有助于组织减少攻击者在整个网络中移动、升级特权和获得更敏感数据访问权的可能性。最后,为了获得可见性和减少攻击者的机会,组织应实施连续的监控和威胁检测,以识别和告警恶意活动,这就可以暴露正在进行的攻击。

为了帮助组织保护Windows环境,CyberArk提供端到端的特权帐户的安全解决方案,使组织能够:

  • 发现所有的Windows特权用户,包括本地管理员,域管理员和服务用户
  • 删除本地管理权和强制执行最小特权策略,同时允许用户运行可信的应用程序,并进行授权的任务
  • 控制和监控Windows终端的应用程序,以防止恶意应用程序进入环境
  • 限制未知的应用程序,以保持生产效率,使用户在不影响安全性的同时,能够安全地运行它们
  • 保护,管理,控制和轮换特权凭证,包括本地管理员,服务帐户,域管理员,服务器管理员
  • 保护特权会话以抵制终端的潜在恶意软件
  • 分析,侦查,告警和报告在Windows系统中出现的恶意行为,包括Kerberos协议的利用

这套独一无二的Windows安全功能被发布在一个单一的,集成的平台上,它被设计来保护所有的特权账户,包括无论是在本地或云端的Windows,Unix和ICS环境中。通过融合Windows系统和帐号到一个更广泛的特权帐户安全策略,组织可以获得许多好处,包括:

主要收益

  • 找出所有的特权Windows账户和凭证来了解哪里存在漏洞和制定计划以编程的方式管理和保护环境
  • 降低恶意软件进入组织的风险,并且在不影响用户生产效率或不增加办公成本的情况下,删除企业用户的日常本地管理权限
  • 提供组织中恶意应用程序的可视化和阻止恶意软件在Windows机器上的运行
  • 通过安全地管理和定期轮换共享的管理员帐户和消除多个单独的特权域帐户,来收缩攻击面
  • 通过实时的检测和告警 异常的特权帐户活动,来减少攻击者在Windows系统的机会
  • 通过一个公共的基础设施,CyberArk的共享技术平台,来实施、扩展和管理完整的特权帐号安全解决方案