永遠不授與本機管理者權限的 28 個理由

文／黃開印‧CyberArk 大中華區技術顧問

拿掉組織中每個使用者的本機管理者權限可能會引起強烈反彈。特別在對象若是系統管理者和資料庫管理者、IT 服務台、基礎架構維護團隊和備份操作員時尤其明顯。這些專業人員需要高權限才能完成工作，但資安團隊沒有如此的時間或資源能夠即時手動賦予額外權限。

[ 2023年企業IT投資重點為何？資安、人才、ESG如何部署？下載 CIO大調查報告立即揭曉！]

以上所述的確是真實狀況，但這並不意味著特權使用者必須是本機管理者等級。這裡有 28 個特別提醒的理由：

具有本機管理者權限的使用者或冒充使用者的攻擊者可以：

更改啟動和硬體設定（啟用/禁用設備、更改 CPU 和記憶體的電壓和頻率等）。
修改或刪除儲存磁區（storage volume）。
大幅簡化惡意軟體所需技巧，例如程式碼注入和 DLL 綁架等。
在可完全開啟 Registry 下，能夠分析和修改其內容，輕鬆可在電腦中長存。
禁用日誌記錄、更改或抹除事件紀錄。
禁用備份代理程式或修改備份設定…，並抹除任何本機備份副本。
修改 shadow copy 設定或複製 shadow copy（以擷取之前「刪除」的資料）。
從登錄選單修改使用者資料、增加使用者、新增管理者或隱藏管理者。
存取電腦上每個使用者的資料並更改文件和文件夾所有者。
加密硬碟主開機記錄（MBR），也稱為 15 秒全碟勒索加密。
禁用或重新設定現有端點安全解決方案。
更改網路設定、增加信任區域、設定通道或重導流量。
更改 DNS、挾持 DNS 或透過 DNS 請求取得資料。
修改瀏覽器設定或增加瀏覽器擴充功能。
存取儲存在機器上的每個秘密資訊：在 Windows 憑據提供器、瀏覽器、Putty、FileZilla 或任何其他儲存登入憑據的程式中。
存取和修改憑證儲存庫、更改信任鏈和解密任何安全通訊。
存取、分析和修改記憶體內容。
使用安全服務在 LSASS 中獲得程式碼執行權，該服務還可用於提取密碼雜湊和 Kerberos 票證。
安裝任意非惡意管理工具並部署看來無害的工具庫（在壞人手中成為「終極攻擊者工具包」）而不觸發防毒軟體。
安裝 cryptominer 惡意軟體以接管機器資源並將其用於非法加密貨幣挖。礦
啟用內建或第三方硬體追蹤器以定位該設備，不論是在世界的任何角落。
繞過和/或禁用使用者存取控制（UAC）。
降級驅動程式、版本和程式庫，或強制使用已知易受攻擊的協議和程式。
將韌體刷入已連接的設備（例如，禁用相機上的 LED 或將修改後的韌體載入到 PLC 上）。
存取安全令牌（token）和加密密鑰。
跨越實體隔離（air gap）以存取 OT 系統。
存取關鍵基礎設施的 SCADA 控制面板，然後修改硬體參數以禁用安全感測器或影響硬體運作。
最後但同樣重要的是，這已經不是公司的電腦了，使用者或攻擊者可以決定怎麼使用：包括安裝、刪除、存取、讀取、外流、攔截、解壓、分析、轉存（dump）、加密、重新設定、卸載、加載、啟用、禁用、執行或遠端執行、導致、強制、翻轉、抹除、搗亂和肆虐，同時可能加上隱藏、掩飾、潛伏、冒充、監看、監聽、窺探、學習和準備等。

[ 加入 CIO Taiwan 官方 LINE 與 Facebook ，與全球 CIO 同步獲取精華見解 ]

擁有完全的管理者權限，即使是最善意、盡職盡責的員工帳號也對組織的數位環境擁有過多的控制權，使得關鍵資料和系統暴露於風險之中。

將使用者限制在標準帳戶權限下工作對於資訊安全是有效且正面的措施。但一旦削減管理者權限而造成使用者反感，整體安全的工作將變得更具挑戰性（更不用說憤怒的使用者不可避免的強烈反彈）。

所有這些挑戰都可以透過一個全面的端點權限管理器來解決，該管理器可以刪除本機管理者權限，然後根據政策以公開透明的方式提升特定程式或任務的權限，這樣使用者就永遠不會看到提示或必須向 IT 尋求協助。如果他們有一些特殊情況，使用者可以請求提升權限，無需遠端存取機器即可獲得批准。在後端，有效的端點權限管理器甚至可以與 IT 服務系統（IT ticketing system）整合，以達到流暢的工作流程和快速的提權。

最優秀的端點權限管理器將使組織能夠做到：