Haben Sie schon einmal darüber nachgedacht, wie viele Konten in Ihrer Umgebung außerhalb Ihrer Sichtbarkeit und Kontrolle operieren? Eines der größten Identity-Security-Lücken blinde Flecken, die von Organisationen oft ignoriert, aber von Angreifern häufig genutzt werden – ist Lokale Konten.
Im Gegensatz zu domänenbasierten Konten, die Sicherheitsteams leicht erkennen und überwachen können, bleiben lokale Konten im Dunkeln und haben nur begrenzte oder gar keine Einsicht in ihre Aktivitäten und Berechtigungen. Diese Lücke ist zu einem so kritischen Problem geworden, dass die Das FBI warnte kürzlichund forderte Organisationen dazu auf, lokale Administratorkonten zu deaktivieren, um das Risiko von Cyberangriffen zu verringern.
In diesem Blog untersuchen wir die verschiedenen Sicherheitsrisiken, die von lokalen Konten ausgehen, und wie SilverfortDie neue Funktion zur Sichtbarkeit lokaler Authentifizierungen hilft Unternehmen, den blinden Fleck zu schließen.
Lokale Konten verstehen: Was sie sind und wie sie funktionieren
Lokale Konten gibt es in 2 Haupttypen: lokale Benutzerkonten und lokale Administratorkonten. Lassen Sie uns jeden Typ genauer beschreiben:
- Lokale Benutzerkonten
Es handelt sich um Standardkonten mit eingeschränkte Zugriffsberechtigungen, normalerweise für den Basiszugriff auf einen Endpunkt verwendet. Lokale Benutzer können sich anmelden und ein System bedienen, aber fehlende Administratorrechte um systemweite Änderungen vorzunehmen.
- Lokale Administratorkonten
Diese Konten haben volle Kontrolle über einen Endpunkt, sodass Benutzer Software installieren, Systemeinstellungen ändern und neue Konten erstellen können. Integrierte lokale Administratorkonten (z. B. das standardmäßige Microsoft Windows-Administratorkonto) sind häufig einem hohen Risiko ausgesetzt, da sie von Angreifern für Kompromisse ausgenutzt werden können und Privilege-Escalation-Angriffe.
Während Domänenkonten zentral verwaltet werden über Active Directory (AD) oder ein Identity Provider (IdP), lokale Konten existieren nur auf einzelnen Endpunkten. Von einer Identity Management Der Hauptunterschied zwischen lokalen und Domänenkonten besteht aus Sicht der Person, die sie verwaltet:
- Lokale Konten existieren und werden kontrolliert auf dem einzelnen Endpunkt. Der Benutzer hat die volle Kontrolle über das System, einschließlich privilegiertem Zugriff auf kritische Einstellungen, ohne Einblick seitens der Sicherheitsteams.
- Domänenkonten, auf der anderen Seite, werden zentral von Domänenadministratoren verwaltet . Active Directory (AD) oder ein Identitätsanbieter (IdP). Sicherheitsteams haben mehr Einblick in Domänenkonten und können mit der Konfiguration spezifischer Richtlinien und Einschränkungen Sicherheitskontrollen für jeden Benutzer durchsetzen.
Lokale Konten werden häufig für Verwaltungsaufgaben oder Legacy-Systeme verwendet, um Zugriff auf einen bestimmten Computer oder ein bestimmtes Gerät zu gewähren. Es fehlen jedoch die Überwachungs- und erweiterten Sicherheitskontrollen, die domänenbasierte Konten bieten.
Die versteckten Risiken lokaler Konten
Aus Sicherheitssicht stellen lokale Konten an sich keine großen Sicherheitsrisiken dar. Wenn sie jedoch nicht ordnungsgemäß verwaltet werden, kann dies schwerwiegende Auswirkungen auf die Organisation haben. Die wichtigsten dieser Risiken sind mangelnde Sichtbarkeit, begrenztes zentrales Managementund schwächere Sicherheitskontrollen. Diese Herausforderungen machen lokale Konten zu einem bevorzugten Ziel für Angreifer, die seitlich bewegen und unentdeckt Privilegien zu erhöhen.
Lassen Sie uns genauer auf die Identitätssicherheitsrisiken lokaler Konten eingehen:
- Mangelnde Sichtbarkeit: ein blinder Fleck in AD-Authentifizierung Überwachung
Eines der größten Risiken bei lokalen Konten besteht darin, dass Sicherheitsteams nicht sehen können, was sie nicht verfolgen können. Im Gegensatz zu domänenbasierten Authentifizierungen, die zentral protokolliert und gespeichert werden, sind die Aktivitäten lokaler Konten auf einzelne Endpunkte beschränkt und werden nicht in AD- oder IdP-Protokollen aufgezeichnet. Dies bedeutet, dass alle böswilligen Aktivitäten, einschließlich fehlgeschlagener Anmeldungen, ungewöhnlicher Zugriffsmuster oder kompromittierte Zugangsdaten, macht es nahezu unmöglich, es zu erkennen, bevor es zu spät ist.
- Eingeschränkte zentrale Verwaltung: ein Albtraum für Sicherheit und Betrieb
Lokale Konten werden außerhalb des verzeichnisbasierten Identitätsmanagements gespeichert. Sicherheitsteams haben nicht nur Schwierigkeiten, Richtlinien durchzusetzen, sondern auch nachzuverfolgen, wer worauf Zugriff hat. Viele Unternehmen verwenden Standardkennwörter oder statische Anmeldeinformationen für lokale Konten ohne ordnungsgemäße Rotation der Anmeldeinformationen. Dies erhöht das Risiko unbefugten Zugriffs. Ohne zentrales Authentifizierungsmanagement verfügen Unternehmen über fragmentierte Sicherheitskontrollen, die Angreifer leicht ausnutzen können.
- Schwächere Sicherheitskontrollen: eine offene Tür für Angreifer
Lokale Konten sind selten durch strenge Sicherheitskontrollen wie die Multi-Faktor-Authentifizierung (MFA) oder andere Sicherheitskontrollen, was Angreifern ein leichtes Ziel macht. Sobald ein lokales Konto kompromittiert ist, kann es zur Rechteerweiterung oder zur lateralen Bewegung in der Umgebung verwendet werden, ohne Sicherheitswarnungen auszulösen. Dies macht lokale Konten zu einem kritischen blinden Fleck in der Identitätssicherheit eines Unternehmens.
Wie Silverfort ermöglicht die Sichtbarkeit lokaler Konten
Mit Silverfort Sie können jetzt Ihre Transparenz bei lokalen Kontoauthentifizierungen verbessern, beginnend bei Silverfort für Windows-Anmeldung, Version 2.1.3.
Wenn ein lokaler Benutzer auf einen Windows-Rechner zugreift mit Silverfort für Windows-Anmeldung installiert ist, wird die Authentifizierung mit dem Auth-Typ „Lokal“ aufgezeichnet, und Sie erhalten vollständige Transparenz dieser Zugriffsversuche ab Silverfort Protokollbildschirm durch Filtern nach Authentifizierungstyp = „Lokal“.
Mit dieser neuen Produktfunktion können Sie lokale Anmeldungen verfolgen für Windows. Durch das Filtern lokaler Kontozugriffsversuche können Sie böswillige Aktivitäten, einschließlich des potenziellen Missbrauchs von Anmeldeinformationen, schnell identifizieren.
Lokale Konten unter die Lupe nehmen: der erste Schritt zum Schutz
Lokale Konten wurden schon immer als blinder Fleck in der Sicherheit angesehen, den Angreifer ausnutzen können, um sich unbemerkt einen einfachen Zugang zu verschaffen und eine Umgebung zu kompromittieren. Ohne Einblick in die Authentifizierungsaktivitäten der Konten können Sie diese bösartigen Aktivitäten nicht erkennen oder darauf reagieren, bevor sie eskalieren.
Mit SilverfortDank der Echtzeit-Einsicht in die Authentifizierungen lokaler Konten können Sie endlich eine neue Ebene der Identitätssicherheit erschließen, ohne diese völlig unsichtbar zu machen und diese Identitäten zu überwachen, zu verfolgen und zu untersuchen. Dies ist eine solide Grundlage für die vollständige Sicherheit und den Schutz lokaler Konten.
Sind Sie bereit, versteckte lokale Konten in Ihrer Umgebung zu erkunden? Wenn Sie bereits Kunde sind, wenden Sie sich bitte an Ihren Customer Success Manager oder einen Anruf planen mit einem unserer Experten
