什么是特权账户管理

特权帐户管理是一组安全控制和管理原则，专门处理企业中特权帐户的保护，包括操作系统、数据库、服务器、应用程序、虚拟机和网络设备的特权帐户。

什么是特权帐户

特权帐户是具有比其他帐户更高权限的帐户，这些帐户可以由组织员工、第三方协作者（如供应商和审计师）等人拥有， 或者这些标识可以是设备身份标识，例如服务帐户、工作负载或应用程序。

特权帐户的类型

• 本地/内置管理员帐户
• 域管理员帐户
• 管理服务帐户
• Root 帐户
• 应用程序帐户
• 嵌入式应用程序帐户

本地/内置管理员帐户

本地/内置管理员帐户是成员服务器和客户端上授予对其主机的绝对控制权的帐户，这还包括操作系统、应用软件和服务内置的默认登录帐户。如果本地管理员密码很弱、保持不变或在跨主机的多个帐户上重复使用，恶意用户很容易获得对工作站的未经授权访问。在最坏的情况下，攻击者可以访问本地管理员帐户或被遗忘的内置系统帐户，可以在网络中导航，甚至可以将其权限提升到域管理员的权限。

域管理员帐户

域管理员帐户是功能强大的帐户，对域中的每个对象具有最广泛的控制范围。这些帐户提供对所有工作站、服务器和域控制器的管理权限，只有少数受信任的管理员应该使用域管理员帐户。此外，他们应该只使用该帐户登录到与域控制器本身一样安全的域控制器系统，特别是在Windows生态系统中。

管理服务帐户

管理服务帐户是系统程序用来运行应用程序软件服务或进程的特权帐户。有时，当某个依赖的服务需要这些帐户时，这些帐户可能拥有很高甚至过多的特权，这也适用于用于运行计划任务的本地或域Windows帐户。通常，此类服务帐户密码被设置为“永不更改”，因为很难发现所有依赖的服务并传播密码更改，这反过来又可能延迟业务服务的连续性。

Root 帐户

Root 帐户是超级用户帐户，具有管理 Unix 和 Linux 资源的权限，系统管理员通常使用这些资源执行核心 IT 操作。Root帐户可以不受限制地访问系统上的所有文件、程序和其他数据，因此如果管理不当，会带来巨大的风险。

应用程序帐户

应用程序帐户是组织用来自动实现各种应用程序、web服务和本机工具之间通信的帐户，以满足业务和其他事务需求。应用程序凭证通常以明文形式嵌入未加密的应用程序配置文件和脚本中，以实现此业务通信接口。

嵌入式应用程序帐户

嵌入式应用程序帐户在许多DevOps环境中使用，这些环境通常遵循凭据硬编码来加快软件开发阶段并自动化服务交付周期。管理员通常很难识别、更改和管理这些密码。因此，凭证保持不变，这使得它们很容易成为黑客的切入点。

为什么特权帐户管理对企业很重要

企业对特权用户帐户的松懈管理可能会面临以下安全风险：

• 攻击者利用毫无戒心的员工
• 内部人员滥用特权
• 疏忽员工的恶意行为
• 远程供应商和前雇员滥用其特权
• 超出必要权限
• 特权一经授予，永不撤销

攻击者利用毫无戒心的员工

特权用户帐户是攻击者最喜欢的，他们希望在不引起怀疑的情况下获得对敏感数据服务器的完全访问权，一旦进入系统，就会立即四处寻找未受管理的特权凭证，并将自己升级为域管理员身份，这样他们就可以不受限制地访问高度敏感的信息系统。

内部人员滥用特权

有时候，最大的威胁是那些近处的威胁，同样，内部特权滥用在当今各种规模的组织中都是一个迅速增长的问题。内部特权用户出于个人利益的错误意图可能造成比外部各方更大的损害，对内部人士固有的信任使他们能够利用自己现有的特权，窃取敏感数据，并将其出售给外部方，而不会被发现，直到为时已晚。

疏忽员工的恶意行为

如果没有适当的特权访问管理，粗心的员工是一个难以管理的威胁，这些用户并不了解网络安全的重要性，他们不顾后果地把关键的用户凭证放在那里供黑客寻找，或者有时与未经授权的员工共享他们的访问权限。

远程供应商和前雇员滥用其特权

远程供应商构成了组织的扩展业务网络，通常包括承包商、顾问、合作伙伴、第三方维护团队和服务提供商，他们需要特权访问您的内部基础设施以满足各种业务需求。在当今的数字世界中，这意味着第三方可以访问您的内部网络以满足业务需求，因此与内部人员一样构成威胁。

超出必要权限

通常情况下，用户的特权过高，即他们拥有的访问权限远远超过他们履行工作职责所需的权限，因此，授予的权限和使用的权限之间存在差距。 在这种情况下，应用最小权限原则非常重要，即仅提供完成工作任务所需的最低权限。没有适当的特权访问管理系统来强制执行 最低权限安全性和监视用户操作，可以利用特权过高的用户帐户进行非法访问。

特权一经授予，永不撤销

被遗忘的特权是危险的。IT管理员经常为用户提供对数据服务器的特权访问，然后没有撤销这些特权。如果没有工具来跟踪谁被授予了什么特权，收回权限可能是一项繁琐的任务。这意味着用户即使在他们的任务完成后仍然拥有特权，并且他们有机会执行未经授权的操作。

特权帐户管理的业务优势

以下是强大的特权帐户管理解决方案提供的网络安全优势：

• 集中管理：通过将特权帐户存储在安全存储库中，使用通过多因素身份验证强化的单个访问点，完全控制特权帐户。
• 减少风险暴露：缩小攻击面，有效应对日益增长的外部攻击、身份盗用和内部威胁风险。
• 改进事件响应：通过审批工作流程和对特权帐户使用的实时警报，建立预防和检测安全控制。
• 增强安全性和合规性：有效证明符合各种行业和政府法规，如 HIPAA、PCI DSS、GDPR、NERC-CIP、SOX 等。
• 提高可见性：通过广泛的审计日志记录和信息性报告，全面了解整个网络中的特权帐户活动。
• 网络安全自动化：通过自动化计划，让IT团队摆脱耗时的手动任务（如批量密码更新），从而提高 IT 工作效率。

特权帐户管理是如何工作的

特权帐户管理是IAM的一个子集，特权帐户管理通过集中管理、强制最低权限、实现多因素身份验证和访问控制、监视会话、使用即时供应和自动化任务等组合来保护具有高级访问权限的帐户，最终将与这些功能强大的帐户相关的风险降至最低。

除了技术控制之外，特权帐户管理还强调具有明确所有权和特权帐户责任的健壮的治理，定期对授权用户进行安全访问实践培训，进一步加强了防御。通过持续监视和审计特权活动，组织可以及时识别和处理潜在的滥用或异常情况，它不仅增强了安全性，还简化了It操作，允许授权用户有效地执行关键任务，同时最大限度地减少中断。

有效管理特权帐户的最佳实践

• 维护网络中所有活动特权帐户的完整列表，并在创建新帐户时更新该列表。
• 使用 AES-256 等标准化加密算法将密码、SSH 密钥和 SSL 证书等特权身份存储在安全保管库中。
• 实施严格的 IT 策略，包括密码复杂性、密码重置频率、强 SSH 密钥对生成、对特权帐户的限时访问、一次性使用时自动重置以及其他强大的控制措施。
• 以安全的方式与员工和第三方用户共享特权帐户，例如以执行作业所需的最低权限授予特权访问权限。
• 审核所有与身份相关的操作，例如特权用户登录、密码共享、密码访问尝试、重置操作等。
• 实时监控和记录所有特权用户会话和活动。

特权帐户管理解决方案

Password Manager Pro是基于web的特权账户管理解决方案。该解决方案能够存储、共享、管理、监视和审计组织中任何特权帐户的生命周期。例如帐户发现、强大的保管机制、粒度访问控制、自动密码重置、SSL证书生命周期管理、用户活动审计和安全远程访问，所有这些功能都内置在一个平台中，是确保IT环境中特权帐户安全所需的解决方案。