概述
用户 ID 服务的启用映射的 IP 地址给用户,并启用时使网络管理员对各种用户可做时由帕洛阿尔托网络下一代防火墙过滤颗粒控制。 与启用任何网络服务,以下最佳做法和配置指导原则,当部署用户 ID 可以有助于减少和消除潜在的风险暴露。 这篇文章旨在帮助网络和安全管理员避免错误配置和安全启用网络环境中的用户 ID 服务。
详细
只允许受信任的区域上的用户 ID
通过仅启用内部和受信任的区域上的用户 ID,那里是没有这些服务暴露在互联网上,这有助于保持此服务,保护它们免受任何潜在的攻击。 如果在外部信任的区域 (如 Internet) 上启用了用户 ID 和 WMI 探测,探头可以发送外部受保护的网络,从而导致用户 ID 代理服务帐户名称、域名和加密的密码哈希信息披露。 此信息有可能被破解和攻击者未经授权访问受保护的资源利用。 这重要的原因,从来没有一个不受信任的区域启用用户 ID。
.
配置用户 ID 时指定包括和排除网络
包括和排除列表可用的用户 ID 代理以及无代理用户 ID 平底锅上防火墙可以用于限制范围的用户 id。 通常情况下,管理员只是关心他们的组织中使用的 IP 地址空间的一部分。 通过显式指定要包含或排除用户 ID 网络,我们可以帮助确保,只有信任和公司拥有的资产进行了探讨,并确保没有不必要的映射将意外地创建。
.
禁用 WMI 探测在高安全网络
WMI 或 Windows 管理规范,是一种机制,可以用来积极探索管理 Windows 系统学会 IP 用户映射。 因为 WMI 探测信托数据汇报从终结点,它不是推荐的高安全性网络中的用户 ID 信息获取方法。 它也通常是不必要。 在环境中包含相对静态的 IP 用户映射,例如那些常用的办公环境与固定的工作站,不需要主动 WMI 探测。 即使之间移动地址通过集成用户 ID 时,可以容易地确定漫游和其他的移动客户端使用 Syslog 或 XML 的 API,并且可以捕获从非 Windows 平台以及 IP 用户映射。 在敏感和高安全性的网络,WMI 探测增加整体的受攻击面和管理员建议禁用 WMI 探测和转而依靠从更加孤立和受信任的来源,如域控制器获得的用户 ID 映射。如果您使用用户 ID 代理解析广告安全事件日志、系统日志消息或 XML API 来获得用户 ID 映射,则应禁用 WMI 探测。 圈养的门户网站可用于作为一种回退机制重新进行身份验证的用户在安全事件日志数据可能是陈旧。
如果使用 WMI 探测,则它不应启用在不受信任的外部接口,因为这会导致 WMI 探针在您的网络发送包含敏感信息,如用户名、域名和用户 ID 代理配置为使用服务帐户的密码哈希。 然后可以穿透网络,进一步获得的攻击可能可以利用此信息。
.
使用专用的服务帐户所必需的最低权限用户 ID 服务
用户 ID 部署可以硬化由只包括最小的为服务无法正确运行所必需的权限集。 这包括 DCOM 用户、事件日志读取器和服务器操作员。 如果用户 ID 服务帐户受到攻击,有行政和其他不必要的特权将使企业对额外的风险的破坏或盗窃的敏感数据。 域管理员和企业管理员权限不需要读取安全事件日志, 因此不应授予.
.
否认交互式登录用户 ID 服务帐户
虽然用户 ID 服务帐户并需要一定的权限,以便读取和解析 Active Directory 安全事件日志,它不需要以交互方式登录到服务器或域系统的能力。 这种特权可以限制使用组策略或通过使用托管服务帐户与用户 ID (见微软 Technet 上配置组策略和托管服务帐户的详细信息。) 如果受到恶意用户的用户 ID 的服务帐户,将通过拒绝交互式登录大大降低潜在的受攻击面。
.
拒绝用户 ID 服务帐户的远程访问
通常,服务帐户不应用来授予远程访问任何安全组的成员。如果用户 ID 服务帐户凭据就会受到影响,这会阻止攻击者使用的帐户,以从外部访问您的网络使用 VPN。
.
配置人员外出筛选出站内部通讯
阻止任何不需要的流量 (包括潜在有害的用户 ID 代理交通) 离开你受保护的网络到互联网通过实施出口筛选在外围防火墙上。 在敏感的环境中,白色上市信任和业务基本的应用程序会减少允许不需要的交通的可能性,还有助于减少可能可以习惯偷偷数据的载体。
.
请参见
有关设置和配置用户 ID 的详细信息请参阅以下内容:
.
所有者: ggarrison