假设我有一个 Active Directory。
我正在 Active Directory 中设置规则,为帐户提供只读的受限访问权限。
假设现在一个 wannacry 勒索软件通过电子邮件发送到用户的电脑上,它是否能够传播到我的网络,因为我的所有用户的读取权限有限并且无法写入任何内容?
据我了解,答案是否定的,但据我所知,wannacry 不需要读取权限即可传播。
非常感谢您能提供的任何建议。
谢谢。
答案1
看来你的问题可以归结为“访问控制是否可以防止蠕虫传播?”
一般情况下的答案是“可能”。拥有访问控制是一种纵深防御,这意味着,它是恶意软件为了执行其试图执行的任何事情(传播到其他系统、加密您的服务器、窃取您的数据)必须突破的另一道屏障。
通常,大多数访问控制系统都具有允许访问控制的机制配置(即访问控制是什么;允许/阻止哪些用户/IP/对象;等等)进行修改。因此,许多安全研究(黑帽和白帽)的目标是访问控制系统的配置机制,以及如何获得未经授权的访问权限以更改访问控制。
所以这是一种方法:找到一个漏洞,让攻击者合法地改变允许/禁止哪些行为有利于他们的攻击媒介。例如,获得域控制管理员的权限提升可能会使攻击者能够更改 AD 设置,从而允许其蠕虫在网络驱动器上传播。
另一种方法是找到可以绕过的访问控制机制,即使正在执行。这相当于在软件中你以可怕的速度从警察身边驶过,即使警察看到了你,他的车也追不上你,你以某种方式完全逃脱了法律的制裁,尽管他在路上呼叫了支援。
因此,如果你发现类似的漏洞,你可以更改设置,没关系——让攻击者关心的只是将其“阻止”或“禁用”;他可以有效地发送数据负载,以某种方式说服您的系统将攻击者的数据视为被允许或启用的数据。
如果您的联网软件存在未修补的漏洞,而有人知道该漏洞,那么您就永远不会安全。由于“零日”漏洞随时都会出现,因此,您实际上永远不会安全;明天可能会出现新的零日漏洞,利用新的漏洞。
没有任何访问控制可以完全阻止所有形式的此类攻击。防止加密恶意软件等破坏您一天生活的最可靠方法是进行离线备份,这些备份不以任何方式连接到网络。很少有攻击媒介能够成功利用物理安全漏洞,而那些能够成功利用漏洞的攻击媒介必须非常明确地针对单个设施(例如,窃取授权员工的徽章并使用它通过无人看守的入口进入)。
除了访问控制之外,还有其他纵深防御机制可以提供帮助(但也不是万能药)。网络入侵检测系统 (NIDS)(如 Snort)也可以为您提供帮助,它通过检测网络上的攻击负载并在它们到达易受攻击的系统之前阻止它们。它们使用启发式和有针对性的模式匹配来识别已知或潜在的漏洞攻击尝试并阻止它们。许多此类系统都带有某种实时更新服务,一旦检测到已知攻击媒介,就会应用阻止规则来抵御它们,而这通常需要几天或几周的时间,您才能使用软件补丁免疫所有系统。因此,它们可以减少您的漏洞窗口。
但事实并非如此,所有最佳安全实践加起来对利用未修补漏洞的正确目标攻击套件都完全无效。如果这让你彻夜难眠,那就去写或买一本EAL7确保操作系统没有经过认证(并确保不要在其上运行任何认证级别不同的附加软件)。这是唯一能够 100.0% 肯定不存在漏洞的方法。(但即便如此,用户错误也可能导致配置错误,从而导致系统出现漏洞。配置被利用——相当于有一个非常安全的门锁,然后保持解锁状态——哎呀。它永远不会结束。)