IG1 IG2 IG3

إدارة الحسابات الافتراضية على أصول المؤسسة والبرمجيات

مجموعة الضابط: 4. التكوين الآمن لأصول المؤسسة والبرمجيات

نوع الأصل: المستخدمون

وظيفة الأمان: حماية

الوصف

إدارة الحسابات الافتراضية على أصول المؤسسة والبرمجيات مثل الجذر والمسؤول وحسابات المورد الافتراضية المكونة مسبقًا. تتضمن تطبيقات المثال تعطيل الحسابات الافتراضية أو جعلها غير قابلة للاستخدام.

قائمة التحقق من التطبيق

1

مراجعة متطلبات الضمانة مقارنة بالوضع الحالي

2

تطوير خطة تنفيذ بجدول زمني ومراحل رئيسية

3

تنفيذ الضوابط والإجراءات المطلوبة

4

التحقق من التنفيذ من خلال الاختبار والتدقيق

5

توثيق التنفيذ وتحديث الإجراءات التشغيلية

توصيات الأدوات

Microsoft Intune Gartner MQ Leader, UEM 2024

منصة إدارة نقاط النهاية الموحدة لتسجيل الأجهزة ونشر البرمجيات والتكوين والامتثال عبر أنظمة التشغيل المختلفة

Microsoft · اشتراك لكل مستخدم أو لكل جهاز

VMware Workspace ONE Gartner MQ Leader, UEM 2024

منصة مساحة العمل الرقمية تجمع بين إدارة نقاط النهاية الموحدة وتسليم التطبيقات الافتراضية والوصول بنموذج انعدام الثقة لإدارة نقاط النهاية

Broadcom (VMware) · اشتراك لكل جهاز

Jamf Pro Gartner MQ Leader, UEM 2024

منصة إدارة أجهزة آبل لتكوين نقاط النهاية والأمان ونشر البرمجيات على أنظمة ماك وآي أو إس

Jamf · اشتراك لكل جهاز

التهديدات والثغرات (CIS RAM)

سيناريوهات التهديد

استغلال بيانات اعتماد المسؤول الافتراضية

السرية

يستخدم المهاجمون بيانات اعتماد افتراضية معروفة على نطاق واسع (admin/admin وroot/root وsa/فارغ) للحصول على وصول إداري إلى الأنظمة والتطبيقات وأجهزة الشبكة.

هجمات شبكات الروبوت الآلية على الحسابات الافتراضية

التوفر

يتم اختراق الأنظمة المواجهة للإنترنت ذات الحسابات الافتراضية النشطة بواسطة شبكات روبوت آلية تحاول بشكل منهجي تركيبات بيانات الاعتماد الافتراضية عبر المنصات الشائعة.

تصعيد الصلاحيات عبر حسابات المورد الخلفية

السلامة

يكتشف المهاجمون حسابات المورد غير الموثقة أو غير المُدارة المكونة مسبقاً بصلاحيات مرتفعة، مما يوفر مساراً خلفياً مستمراً للوصول الإداري.

الثغرات (عند غياب الإجراء الوقائي)

حسابات افتراضية نشطة ببيانات اعتماد معروفة

تبقى الحسابات الافتراضية المشحونة من الموردين نشطة وغير معدلة، مما يوفر بيانات اعتماد موثقة علنياً يمكن لأي مهاجم استخدامها للوصول الفوري إلى النظام.

عدم وجود عملية لتحديد وإدارة الحسابات المكونة مسبقاً

بدون عملية لاكتشاف وإدارة الحسابات الافتراضية أثناء النشر، تستمر الحسابات المقدمة من المورد دون ملاحظة طوال دورة حياة النظام.

متطلبات الأدلة

النوع	عنصر الدليل	تكرار الجمع
وثيقة	وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة)	يُراجع سنوياً

قوالب السياسات ذات الصلة

سياسة إدارة التكوين الآمن

Control 4, Control 9, Control 12

الإجراءات الوقائية ذات الصلة في الضابط 4

4.1 إنشاء وصيانة عملية التكوين الآمن

4.2 إنشاء وصيانة عملية التكوين الآمن للبنية التحتية للشبكة

4.3 تكوين قفل الجلسة التلقائي على أصول المؤسسة

4.4 تنفيذ وإدارة جدار حماية على الخوادم

4.5 تنفيذ وإدارة جدار حماية على أجهزة المستخدم النهائي

4.6 الإدارة الآمنة لأصول المؤسسة والبرمجيات

4.8 إلغاء تثبيت أو تعطيل الخدمات غير الضرورية على أصول المؤسسة والبرمجيات

4.9 تكوين خوادم DNS موثوقة على أصول المؤسسة

4.10 فرض قفل الجهاز التلقائي على أجهزة المستخدم النهائي المحمولة

4.11 فرض قدرة المسح عن بُعد على أجهزة المستخدم النهائي المحمولة

4.12 فصل مساحات عمل المؤسسة على أجهزة المستخدم النهائي المحمولة