竊取特權帳號密碼是駭客入侵、APT 先進持續攻擊成功的指標，特權帳號管理是 Gartner 2019 年十大安全專案項目排名的第一的。

可是因為要管理的 電腦、網路設備、資料庫特權帳號數量龐大、費用驚人，所以大部分的客戶而僅針對少數外包商、IT 系統管理員的少數特權號密碼加以管理，而成資安管理的重大漏洞。

許多公司建置 SSL VPN 遠端連線並開放 RDP 遠端桌面協定讓員工可以在家裡或異地連線到公司內部作業，但是沒有想因此為駭客開啟了入侵的大門，因為駭客可以掃描 Internet 上 RDP Port 3389 的電腦並使用 Masscan.exe 之類的工具從受感染的電腦中進行 RDP 暴力攻擊，該工具可以在六分鐘內在整個 Internet 上找到易受攻擊的電腦。

ForestSafe/SessionSafe/LAPSafe：特權帳號密碼管理/VPN 遠端連線、連線側錄與畫面 OCR 光學辨識搜尋軟體市場上少數能提供完整功能而且僅需要較少費用的產品。

一、ForestSafe 遠端連線控管與側錄、特權帳號密碼管理、連線畫面 OCR 光學字元辨識搜尋軟體

• 不需要在主機上安裝代理程式的 Agent-less 特權帳號管理軟體。

• 遠端連線電腦不需要啟用啟動 RDP/SSH/VNC 程式，只需要使用 HTML5 Web 應用程式。

• 清查所有電腦上所有帳號，管理特權帳號。自動定期更改管理的特權帳號密碼。

• 當 新增特權帳號與 更改特權帳號密碼時自動偵測並通知。

• 支援 Google 認證、E-Mail、Radius、SMS 簡訊等多種雙因子認證確認登入者的身份。

• 每次連線後自動更改密碼 (一次性密碼)，縮短密碼有效時間防止密碼被竊取機會。

• 提供中英文的申請/批核操作 Web 操作介面 (Approval Layer)。

• 透過 ForestSafe Web 操作介面提供 RDP/SSH/VNC 連線時不需要輸入密碼的 Single Sign-On 登入功能，防止密碼被竊取。

• 選購支援 AS400、MS SQL、Juniper SSL、IBM DB2、SAP、Oracle、Lotus Notes 與 SharePoint 特權帳號密碼管理功能。

• 選購 OCR 光學字元辨識與搜尋模組，可搜尋連線畫面中出現的關鍵字 (機密、confidential 等) 或正規表示式 Regular Expression (身分證、信用卡號等)，並以快照 Snapshot 顯示，了解特權帳號查詢了那些機密？

二、 SessionSafe 居家辦公、VPN 連線側錄與連線畫面 OCR 光學字元辨識搜尋軟體

• 不需要在電腦上安裝代理程式的 Agent-less 的居家辦公、VPN 連線側錄軟體。

• 遠端用戶的設備 (電腦、手機與平板電腦) 不需安裝軟體，不需啟用 RDP 程式，只需要透過 Web (HTML5) 即可連線至公司個人電腦作業，可快速啟動居家辦公。

• 不需要 Windows Terminal Server 跳板機，可節省大量 RDP 授權。

• 遠端用戶無法將公司電腦內資料拷貝至外部，避免資料外洩的風險。

• 支援 網路喚醒 (Wake On Lan) 可喚醒下班後關機之個人電腦 #1。

• 遠端連線的電腦不需要開啟 RDP (port 3389)、SSH (port 22) 與 FTP (port 21)，減少被駭客攻擊機會。

• 可選購 DMZ Proxy Server ，避免內部SessionSafe Web Portal 直接對外，檢被外部連線攻擊的機會

• 可透過手機 Google Authentication APP、E-Mail、Radius、SMS 簡訊等多種雙因子認證 2FA 機制確認用戶身分。

• 提供 中英文的 遠端連線管控操作 Web 操作介面。

• 支援 OCR 光學字元辨識與搜尋模組，可搜尋連線畫面中出現的關鍵字 (機密、confidential 等) 或正規表示式 Regular Expression (身分證、信用卡號等)，並以快照 Snapshot 顯示，了解遠端連線者查詢了那些機密？

許多客戶因為常在個人電腦上安裝軟體或修修改設定而保留了大量的 Local Administrator 本地管理員帳號網域中的任何電腦上大多使用完全相同密碼本地管理員帳號本地管理員帳號採用 NTLM 驗證通訊協定，微軟 Windows 作業系統的 NTLM 驗證通訊協定存在允許攻擊者透過重送攻擊進而取得整個網域控制權之漏 (CVE-2017-8563) https://www.nccst.nat.gov.tw/VulnerabilityDetail?seq=1065

一旦駭客透過社交工程、釣魚信件與 RDP 暴力攻擊入侵後，如果被入侵的是個人電腦上具有本地管理員權限帳號，那駭客就可透過本地管理員的權限執行各種入侵工具，輕易竊取網域管理者的密碼進而控制客戶的整個網域。

三、 LAPSafe：個人電腦帳號清查、本地管理員帳號回收或關閉與特權提權申請軟體

• EESM LAPSafe 是不需要在 Windows 個人電腦上安裝 Agent 的本地特權帳號管理軟體。

• 自動盤點數量龐大的 Windows 個人電腦上的帳號。

• 當新增本地特權帳號與 更改本地特權帳號密碼時自動偵測並通知。

• 關閉或刪除或管理具有 local administrator 本地管理員權限帳號。

• 解決因為經常要在個人電腦上安裝軟體或修改設定而保留了 local administrator 本地管理員等特權權限的資安問題。

• 解決在網域中的任何電腦上使用完全相同密碼的 local administrator 本地管理員帳號成為駭客攻擊目標問題。

• 可透過手機 Google Authentication APP、E-Mail、Radius、SMS 簡訊等多種雙因子認證 2FA 機制確認身分。

• 提供特權提權的申請批准申請流程，可不必輸入密碼自動升級權限為本地管理員或提取本地管理員密碼功能。

• 提供必須兩人核准的 Dual Administrator Approval 功能。