تقييد امتيازات المسؤول على حسابات المسؤولين المخصصة
الوصف
تقييد امتيازات المسؤول على حسابات المسؤولين المخصصة على أصول المؤسسة. إجراء الأنشطة الحوسبية العامة مثل تصفح الإنترنت والبريد الإلكتروني واستخدام مجموعة الإنتاجية من الحساب الأساسي غير ذي الامتيازات للمستخدم.
قائمة التحقق من التطبيق
توصيات الأدوات
منصة إدارة الوصول المميز لتأمين وإدارة وتدقيق بيانات الاعتماد والجلسات المميزة
CyberArk · اشتراك لكل مستخدم
إدارة الوصول المميز مع إدارة صلاحيات نقاط النهاية والوصول الآمن عن بُعد وتخزين كلمات المرور
BeyondTrust · اشتراك لكل مستخدم
إدارة الوصول المميز مع تخزين كلمات المرور وتسجيل الجلسات ورفع الصلاحيات في الوقت المناسب
Delinea · اشتراك لكل مستخدم
التهديدات والثغرات (CIS RAM)
سيناريوهات التهديد
اختراق حساب مسؤول عبر التصيد يؤدي إلى الاستيلاء الكامل على النطاق
السريةيتم تصيد مسؤول يستخدم حسابه المميز للبريد الإلكتروني وتصفح الويب اليومي، وتمنح بيانات الاعتماد المخترقة المهاجم وصولاً فورياً كمسؤول نطاق.
تنزيل عابر ينفذ بصلاحيات المسؤول
السلامةيواجه مستخدم يتصفح الويب بحساب ذي صلاحيات إدارية استغلال تنزيل عابر ينفذ البرمجيات الخبيثة بصلاحيات مسؤول كاملة على النظام.
سرقة بيانات الاعتماد عبر جلسة متصفح حساب المسؤول
السريةيسرق المهاجمون بيانات الاعتماد المخزنة مؤقتاً في المتصفح من جلسة تعمل تحت حساب إداري، مما يحصل على رموز أو كلمات مرور محفوظة تمنح وصولاً مرتفعاً عبر المؤسسة.
الثغرات (عند غياب الإجراء الوقائي)
استخدام الصلاحيات الإدارية للأنشطة اليومية
يعرض المسؤولون الذين يستخدمون حساباتهم المميزة للبريد الإلكتروني والتصفح والعمل العام بيانات اعتمادهم المرتفعة لهجمات التصيد والبرمجيات الخبيثة وسرقة بيانات الاعتماد.
عدم الفصل بين حسابات المسؤول والمستخدم القياسي
بدون حسابات مسؤول مخصصة منفصلة عن حسابات الاستخدام اليومي، يمنح اختراق جلسة أي مستخدم مسؤول المهاجم فوراً وصولاً إدارياً كاملاً.
متطلبات الأدلة
| النوع | عنصر الدليل | تكرار الجمع |
|---|---|---|
| وثيقة | وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة) | يُراجع سنوياً |