《跨机房漏洞扫描挑战、设备使用人管理优化及审计账号权限分配策略解析》｜总第288周

原创 群秘 君哥的体历 2025-05-07 23:02

0x1本周话题

---

话题一：请教下，大家跨机房的漏扫都是怎么做的？我们之前尝试过在IDC和阿里云互相做漏扫，IDC的扫描流量会时不时的招来网安的询问，阿里云的漏扫也会触发平台的机制被封禁，尝试找阿里云加白也不行，感觉做个漏扫好难啊…

A1：
那你们网安做得真不错，提前报备就行了吧
。

A2：
我们现在分支机构比较多，基本上就是各区域的技术负责人在本区域内进行漏扫。你这样直接扫，你IDC的出口会不会被标记为恶意IP，一些安全设备会不会自动封了啥的，导致业务中断
。

A3：
确实会可能会存在类似问题，所以一直倾向是买个云服务器漏扫，但是阿里云腾讯云啥的，一言不合就封号，如果是提漏扫需求，可能还要证明哪些IP是我们公司的资产啥啥的。但是为了覆盖面足够全，我的扫描范围都是动态更新的，所以就很难。

A4：
我们遇到过IDC被某IOC平台给标记成恶意IP了，然后就导致安全设备自动封禁了。现在我们不敢这么操作了，都是通过在本地扫的
。

A5：
打个vpn隧道进来做内部扫描
。

https://github.com/slackhq/nebula 这个可以用来打隧道，两个内网机器通过一个公网服务器组成overlay的内网
。

A6：
在各个区域独立部署扫描器，集中后台管理不就可以了吗？某盟、TB都支持这种操作。

A7：
也可以多云接专线连起来，组大内网
。

A8：
因为也有直接扫描公网入口IP的需求，因为从内网扫，和从外面扫，其实还是有差异的…本意是想模拟外部扫描，对生产环境进行真实的流量检测，从而发现配置失效、资产意外暴漏的情况。

A9：
公网的可以买攻击面检测服务
。
外部扫描提前报备应该就可以了
。

A10：
加白名单，只有在白名单的才能扫
。

A11：
我们是基于主机安全和应用安全每天晚上自动扫漏洞扫描器都省了。

A12：
第三方渗透还是要的，自己扫不代表第三方吧
。

A13：
是的
，
我们采用第三方内网和外网渗透方式
，
先外网搞一轮
，
再
内网搞一轮
。

A14：
内网对公网资产扫描要考虑出口ip 信誉污染、出口 nat 设备并发、内网安全设备阻断影响，通常建议还是内对内公对公
。

Q：
你们这种云上的扫描是买的扫描服务，还是自己搭建的扫描器？

A15：
自己搭建啊，买服务那不就省事儿了，问题抛给乙方，搞不定不给钱
。

话题二：在没上域控的情况下，员工岗位调整后，出现桌管登记的设备使用人与实际使用人不一致的问题（科技部门无法从人力部门获取人员调岗信息），大家有什么好的管理措施或者技术措施来应对这个问题吗？

A1：
你是设备没有变，但是人变了是吧？

A2：
是的。

A3：
那问一下你们内网会登录相关的系统吗？如果登录系统的话，后端是不是有login关联的表，关联了，那么登录的ip地址或者mac地址发生了变化，不就得知了，人员变化了么？我这里搞了个这个来解决账户相关登录的关联问题。

A4：
有域控就能解决这个问题吗？就是设备的人换了。新人用原来的人的账号登录桌管。或者没有主动去切换吗？

A5：
域账户随人走，设备换人了，肯定是登录自己的域账户。AD里如果设置了策略，domain user只允许登录指定的mac地址设备，那么换人了就无法登录设备，会走ticket类流程，就可以得知变化。

而且AD里我记得可以拉去domain user的login log的，domain user登录到了那个计算机host 是有对应记录的。

A6：
domain user可以跟计算机名绑定，domain user登录到指定的计算机上。

A7：
你可以在桌管上面，用户名跟计算机名绑定。每次开机重新登录桌管。如果换人了，用了新的用户名，那就绑定失败。倒逼更新绑定关系。

A8：
设备换人要初始化先，这样换人都是新信息。

A9：
都没有AD，说明是基础的一些东西，估计也不会让保存个人相关的东西，应该都是一些共用的东西，无非就是换谁来的问题。所以每次重启就强制重新输入桌管账号密码。

A10：
三分技术，七分管理，得考虑维护工作量、解释成本、公司安全重视程度与领导层支持力度，技术上没问题，主要是安全与便利、重管控和重审计的平衡关系。

A11：
技术不够管理来凑。

话题三：各类设备的审计账号大家一般分配给谁呀？it部门的合规岗？安全岗？还是合规部门的人呢？

A1：
谁使用就分配给谁吧。审计账号，一般没人会用。

A2：
合规岗或者合规部门，反正不是安全岗。安全岗是一线防线，不能还当裁判员。

A3：
公司内部审计部门提的问题，是不是可以把账号分配给他们。

A4：
一般内审或者合规，审计部门吧。

A5：
关键他不会用还提个审计问题，他要就给他们呗，他能看得懂日志哇。

A6：
还让写整改报告，审计部门就提了个审计账号没有部门负责，没有定期审计。

A7：
账号长期不用需要回收的，否则就是审计发现。

A8：
这个是有的，就算没回收，也会禁用了。

A9：
不能不管，审计账号不能禁的吧。

A10：
建议禁用，三权分立。用的时候再激活。

A11：
有的产品可以锁定，很多产品估计都没有设计审计账号，虽然等保好像有要求。

A12：
应该先定谁负责审计职责吧。

A13：
现在不是这个账号是否禁用的问题，而是这个账号该谁管？谁来做审计的这个操作。

A14：
内审、内控团队？

A15：
我们以前是这样做的：安全管，安全自查自审，审计部是审你有没有（使用审计账号）定期自查的，比如查违规操作，查过期账号，发现问题是你该干的，或者内控团队干的，人家审计是三道防线，最后的防线，是斗人的。

现在这家公司是这样的：领导定了审计账号由审计负责，审计自己独立查，运维部门不能干涉要全力支持，审计也有发现问题。如果按全球最佳实践，其实应该是第一种，但你肯定想第二种，那需要说服领导的职责。

A16：
其实审计账号安全自己管也没问题，全行这么多系统，审计账号审计管不过来吧。

A17：
对技术而言，尤其是人不够的情况下，你告诉我要查什么问题，我就做监控了，几乎不可能用到这个审计账号，真以为有几杆枪啊，还三权分立。

A18：
第一种不一定能算最佳实践吧，只是目前的常规实践，审计部都这么干。第一种明显增加企业的用工成本，一堆人光干审计了。

A19：
那换个表述，跨国企业最后都会变成这样，这是合规成熟的必要代价。

A20：
审计账号和审计不划等号的哈。

A21：
安全管，直接用管理员账号也能审计。审计账号的存在就是记录各种操作。

A22：
如果能借此机会要人要岗，也不失为一种好事，如果只有一个人，那就确实是脱裤子放气了。

A23：
没有人，所以公司审计部就在那瞎提问题，降本增效裁人的时候不提问题。

0x2 群友分享

【安全资讯】

《公网安[2025]1846号文关于对网络安全等级保护有关工作事项进一步说明的函原文》

《谭晓生：RSAC 2025见闻与思考》

由于微信修改了推送规则，需读者经常留言或点“在看”“点赞”，否则会逐渐收不到推送！如果你还想看到我们的推送，请点赞收藏周报，将
【君哥的体历】
加为星标或每次看完后点击一下页面下端的“在看”“点赞”。

【金融业企业安全建设实践群】和【企业安全建设实践群】每周讨论的精华话题会同步在本公众号推送（每周）。根据话题整理的群周报完整版——每个话题甲方朋友们的展开讨论内容——每周会上传知识星球
，方便大家查阅。

往期群周报：

《技术分析与管理实践 —— 从亚冬会NSA网络攻击事件看企业网络安全预警与防护策略》｜总第287周

《存量线上系统安全漏洞管理：从渗透测试到全面收敛》｜总第286周

金融专网安全双维防御：蜜罐溯源技术与敏感信息合规传输策略解析。｜总第285周

****## 如何进群？

如何下载群周报完整版？

请见下图：

‍

‍

‍

‍

‍

‍