测评：借助6款强大的工具阻止内部攻击

摘要：来自BeyondTrust公司、CyberArk公司、Lieberman公司、NetIQ公司、Centrify公司和Viewfinity的特权身份管理（PIM）产品，能够帮助企业控制超级特权用户对于其程序和流程的访问。企业实施特权身份管理是基于一个理念：最先进的安全威胁往往都会涉及到一个共同的因素，即获取管理员、超级用户、甚至本地程序管理员的权限凭据。通过获取这些权限凭据，网络攻击者可以将迁移内部系统转为对自己有利的方面，重写安全策略并保持不被察觉。

企业实施特权身份管理是基于一个理念：最先进的安全威胁往往都会涉及到一个共同的因素，即获取管理员、超级用户、甚至本地程序管理员的权限凭据。通过获取这些权限凭据，网络攻击者可以将迁移内部系统转为对自己有利的方面，重写安全策略并保持不被察觉。

特权身份管理工具能够锁定那些特殊的用户身份凭据，所以，即使攻击者成功的实施了违规破坏行为，也只是针对低级别的端点，而不会造成多大的危害。而一旦这些攻击者试图在受损系统中提升其权限，他们不仅将快速被检测到，而且尝试任何程序运行的行为都将会被阻止。

在这篇测评文章中，我们分别测评了来自BeyondTrust公司、CyberArk公司、Lieberman公司、NetIQ公司、Centrify公司和Viewfinity的特权身份管理(PIM)产品。当然，这仍然是一个不断发展的领域，而各个测评供应厂商也正在从不同的角度来进行产品的研发。因此，这不是一对一的直接比较，而更多涉及的则是对于每家产品供应商研发PIM方法的分析。

每家产品供应商似乎都至少在一个领域内大放异彩。如Viewfinity公司的特权管理套件在锁定所有用户的权限方面运行良好，其通过对于大多数用户完全不可见的很轻的接触，是这方面产品中的佼佼者。

而Centrify公司的服务器套件和特权服务产品则淘汰了传统的对于密码库的需要，让用户能够通过使用正常登录root据其需要访问网络资产，并从整个过程中删除了多个密码。

而CyberArk公司的特权帐户的安全解决方案则是我们所测试的最为全面的系统之一，因为其是由五个不同的元素所组成的一个最全面的安全系统。

Lieberman的软件解决方案的核心是其企业随机密码管理器，其可以在短短的几分钟内随机生成成千上万个密码，确保即使发生密码被捕获的事件，也不会持续太久的时间。

NetIQ公司的特权帐户经理集中在经常被人们所忽视的非人类账户领域，这些账户可能是属于某些程序或进程程的，或者是那些无意中获得了比其实际工作需要更大的访问权限的任何用户。

而BeyondTrust公司的PowerBroker UNIX &Linux产品则将PIM带到了Windows环境之外，跨Linux和Unix 系统，这是当前市场所最迫切需要的。

以下，是我们对于每款产品的具体测评报告：

BeyondTrust PowerBroker UNIX &Linux

BeyondTrust公司的这款PowerBroker UNIX &Linux产品只能用于那些操作系统，尽管其可以绑定到一个能在网络上控制所有系统的管理控制台，包括那些为Windows产品提供保护的BeyondTrust PowerBroker。在撰写这篇评论时，我们只测评了Linux系统。BeyondTrust公司的所有的产品都是永久性基于服务器的。这款PowerBroker产品的起价为199美元，折扣适用于批量采购。

当这款PowerBroker 产品最初被安装在网络上时，少数代码被安装在每一台Linux机器上，以便作为回到中央安全服务器通信的代理。此后，针对每位用户和每一个可能的命令的政策便可以从其他来源导入或使用主界面创建。虽然有一个非常干净的GUI界面，BeyondTrust公司的官方发言人表示说，绝大多数的Linux用户喜欢使用命令行界面。因此，我们的大部分测试都是使用命令行完成的。

PowerBroker将最低权限的概念发挥到了极致。安装完成之后，用户运行进程的所有请求，无论是远程或在本地机器上，都需要发送到授权服务器。有很多规则可以基于诸如实际命令的需要来设置，包括用户发出请求、他们的位置、甚至在一天中发出请求的时间。授权服务器将检查策略文件，然后要么允许用户运行该命令或拒绝他们的请求。在这两种情况下，请求和决议都将被记录。

如果某个请求得到批准，这并不一定意味着进程将作为root用户运行。可以通过设置相应的策略，这样命令是从低特权帐户作为一个额外的安全层运行。所以一名用户可能想要root访问权限以运行一个进程，但并非让该进程像某些管理类型或甚至是正常的用户应该做的那样运行。PowerBroker可以被配置只为每一个进程提供所需的绝对最低权限级别。

在我们的测试中，任何试图绕过授权服务器的尝试都失败了。默认情况下，如果无法联系授权服务器，例如如果断开网络电缆，所有请求都会被拒绝。尝试在不经过授权服务器的情况下，获得root访问或对本地机器的管理员访问权限，会被立即关闭。而本地机和授权服务器之间的所有通信均使用AES加密保护，以防止发生窥探或欺骗。

每个用户请求的日志文件被存储在中央服务器，其从网络上任何一台客户机器上都是无法访问的。因此，即使是来自企业内部的安全威胁也无法掩盖其踪迹。在PowerBroker的控制台可以很容易地从每天的日志文件中发现所有失败的请求，其可能是在一片以绿色标示的获审批请求中，以红色突出显示。在这种情况下，即使一位用户仅仅只是测试防御系统或数据库，这些请求尝试都将得到记录。策略服务器管理员可以在任何时候通过报告进行检查，或者设置为以各种形式定期提交，如以发送电子邮件的形式。

作为一种选择，用户会话可以被记录并在以后进行回放。这可以通过设置，使得其能够基于某些事件自动记录，如正在发布的更高级别的命令或用户远程控制一台机器而非在本地，或管理员所认为的任何有必要以保持安全性和一致性的记录。由于大多数用户正在利用Linux命令行界面，大部分这类记录被简单地捕捉为文本和按键，这使得文件相对较小。然而，如果存储空间成为一个问题，数据限制也是可设置的。比方说，该程序仅捕获最初的500K的数据，这通常对于了解用户试图达到什么目的是足够的。

当使用记录组件时，甚至包括删除键的操作也会被捕获。我们试图模拟用户想输入一个命令，类似于删除一个文件的命令，并在退出之前将该命令打出，然后又改变想法将其删除。即使如此，只要我们输入该命令，该进程也会被记录，即使其从未发送。

许多Linux管理员可能使用SUDO来执行最低的特权策略。正如已经由其官方认可的，BeyondTrust公司有一个被称为PBSUDO策略服务器的PowerBroker产品版本，其为SUDO用户集成了PowerBroker的大部分功能特点，而最重要的是，除了从本地机器删除了SUDO命令授权，其还能够在远程授权服务器像PowerBroker产品的主要版本那样提供保护。

PowerBroker套件的最后一个组件是BeyondInsight工具，其使用分析来识别异常行为和首次事件。因此，如果一名用户始终在本地登录，却突然进行了远程操作，这一行为可能会被标记出来。或者，如果一家企业的某个管理员突然开始在其并不负责的区域闲逛，这一事件也可能会被用一面红旗标注。这款工具的一个负面作用则是，其需要很长的时间才能变得有用，一般以三个月的时间最小基线。值得庆幸的是，用户界面 显示经批准的所有命令行，并在此期间将命令拒绝工作执行得很好，尤其是在如果有人花时间来熟悉正常的网络操作的情况下。

而BeyondInsight可以真正发挥其帮助作用的地方便是在非常大型的企业组织内，或是在配置不正确的政策使得某些用户执行了一些不应该做的事情的情况之下。其可以捕捉流氓信任的内部人士，但同时也属于不正确配置的政策，可能会意外地允许不必要的流程和命令执行。

NetIQ公司的特权帐户管理器3.0版本

来自NetIQ公司的特权帐户管理器，该产品现在也是Micro Focus公司产品组合，将那些特权帐户定义为可以访问文件、运行程序、添加或更改现有用户的权利。他们还专注于非人类的帐户，而这些非人类的帐户很可能是由某些程序或进程，以及任何被授予了超出所应该获得的访问权限以外的用户所持有的。对于大多数企业组织而言，这是一个相当庞大的人员群体，但特权帐户管理器则能够通过使用自动化以及直接监测用户活动来对它们实施管理。

NetIQ公司的产品的核心是企业凭证库，其其以一种加密的数据安全方法存储了所有资产的密码。用户并不需要知道他们需要访问的系统或资产的密码。相反，他们提出访问申请，而如果访问申请被批准，他们会被给予临时性的密码，而这些临时性的密码仅在一定的时间段内可用，时间过期之后无用了。这些密码可能需要root据政策或需要通过策略服务器管理员的批准自动给出。几乎任何规则均可以基于用户和围绕着该资产访问请求的安全性进行配置。由于自动化方面的要求，诸如数据库和云服务等程序可以利用vault源控制工具以及有效的自动流程，因为他们需要定期的执行。

使用图形界面制定各种政策是一个简单的过程。在选择规则组时，企业用户有各种各样的分类选择，如Windows访问和甲骨文数据库密码检查规则。您可以从活动目录中导入一整套规则，或采用在企业组织内已经有的一些用户形式或基于密码的安全性事件中的任何其他数据库程序规则。

管理员还可以在一个会话被授权的情况下设置规则，这是非常特殊的。例如，可以限制用户输入删除任何文件的命令，或阻止用户打开记事本复制数据到本地机器。您还可以指定某些禁止行为，例如试图在Windows服务器上运行服务命令。不仅仅只是将其锁定，用户如若执行其中的一项被禁止的行为，便会自动断开，结束用户会话，剥夺他们的访问权限和他们的系统密码，并通知管理员发生了什么情况以及为何发生该情况。

我们试图通过一些偷偷摸摸的巧妙方式以便在受保护的机器上规避这些禁止行为的规定，而每一次我们都会遭遇到会话连接被断开，并被吊销证书。在特权帐户管理器的管理员面板上，那些被迫断开将以明亮的红色闪显，使得我们企图滥用的格局模式变得相当明显。我们非常肯定我们曾试图这样在一个真实的生产网络上进行操作，然后，就会有人会来找我们谈话，或可能是护送我们走出大楼。

策略管理员甚至可以控制密码检查请求本身，假设系统被配置为在其循环中有一个人为因素。例如，如果一个用户请求对某个特定服务器的一个高级别的访问权限，但其给出的相关解释说明并不能证明其是正确的，那么管理员就可以不必授予该用户使用一个临时的密码，而是分配给那位用户一个较低的访问权限。为什么被授予低级别的访问权限的一种解释是，以便用户知道该决定背后的逻辑。

通过特权帐户管理器可以对用户的全部会话进行记录。有一款极好的审查程序列出了用户在左侧输入的所有命令，同时在桌面的右边像放电影一样有一个完整命令视图。您可以通过点击左侧的命令窗口，选择视频中的任意部分，这样您可以看到用户什么时候以及如何试图打开服务，其也可以像播放正常视频一样通过控制键播放，获快进按钮快进，或在屏幕的底部点击进度条进行视频播放。在会话结束后，这可以在任何时间进行检查，为管理员调查的一部分，或者在实时会话的情况下，对特定用户进行调查。而且，为避免政策管理者滥用他们手中的权力，他们的所有行动也将会被记录下来，因此会有人被分配检查这些政策管理者的操作，以确保更好的安全性。

特权帐户管理器3.0版本的自动功能可进行编程，令人印象相当深刻，其能真正帮助制止恶劣的犯罪和愚蠢的用户错误，毕竟，这两者造成的损失对于企业组织而言都可能是非常昂贵的。但是特权帐户管理器真正发挥最佳作用的时候是人为操作行为也将会被监测，并积极响应用户访问系统资源的请求。该接口界面很光滑，单个管理员可以轻松地管理相当多的用户，请求可能需要等待几分钟，即使是在高峰时段的请求批准。

特权帐户管理器3.0版本的起始售价为每个实例许可证787美元。对于这个价格，其对于那些有安全运营中心有专门的工作人员的企业而言，将是一款相当棒的工具，能够帮助他们在实时保卫自己的网络方面发挥积极作用。在大多数企业组织中，较之有SOC团队响应无尽的警报，这会更有效。由于所有特权帐户均被锁定，并实施了主动的监测，那些猖獗的SIM警报的重要性将大大降低，同时也可能不再频繁了。
Lieberman公司的企业软件随机密码管理器

Lieberman的解决方案的核心是企业的随机密码管理器(ERPM)。这款ERPM是一款相当强大的工具，可以在短短的几分钟内随机生成成千上万个密码，以便作为警报或直接root据设定时间表生成，以确保即使发生密码被捕获的事件，其有效期也不会很长。

对于大多数企业组织而言，在网络上设置ERPM应该是一个无缝的过程。无需在管理系统上安装代理，这使得ERPM相当独特。相反，受信任的用户帐户在受保护的系统是利用托管的网络把所有未来的密码管理交给ERPM。如果活动目录文件或网络地图被保留，这或多或少都是自动化的。当然，如果需要的话，也可以手动添加个别系统和设备。

一旦系统密码的控制交给了ERPM，管理员可以设置规则，以确保所有生成的密码符合网络上的每台机器的限制。例如，管理员可以指定新密码是否必须遵守Windows 2003，2008或Vista的字符数规则，或者一个密码是否可以从一个符号开始。也可指定是否允许大写和小写英文字母，数字和符号同时使用。也可以指定是否要为每台机器生成一个唯一的密码，活着一个机器组群应该共享该密码。而鉴于ERPM管理着一切，如果不是对每台机器生成的唯一密码，将是一种适得其反的方案，造成彻底的危险。

用户申请密码，以获得对于由ERPM管理的系统的访问。这些可以root据企业的管理政策自动予以批准。我们建立了一定的程序，让相关工作人员在工作时间被授权对于某些系统具有一定的访问权限，如果他们在这些参数范围内，并且是在工作时间内登录到这些系统，即可适用自动批准的规则。或者，每个人的申请都可以经由人工审批，虽然这可能需要一个专门的工作人员来处理，还可能会导致正常的日常生产略有放缓，因为其它工作人员需要等待授权以使用资源。

在这两种情况下，密码校验设置若干小时后到期，于是ERPM将为该系统产生完全新的密码。从用户的角度来看，可以用新的凭据自动登录链接，并使用新的凭证自动记录，也可以将其剪切并粘贴到批准的机器登录字段。

从ERPM控制台，管理员可以查看所有指定的密码，包括目前正在使用的密码以及对于所有过往使用的情况的记录。那些正在等待批准的人也被突出显示，以便他们可以快速地检查自己的申请是否被批准或被拒绝。所有的会话可以被记录，而ERPM管理员可以检查这些数据，或进入公司的SIM卡系统进行检查。

如若出现一些可疑的弹出框，如正在进行的会话发生了某些不对劲的情况，被莫名其妙地不获批准，甚至是来自企业组织SOC的警告，ERPM管理员可以选择在整个网络和在紧急情况下在每一个活动线程到期之前，针对每一个口令发出变化信号，通过一类虚拟的恐慌按钮，进而可以停止所有以前曾经批准过的网络活动。我们的测试环境有几十系统，所以该方法被迅速完成，但是，ERPM具有独特的结构，允许它被部署在拥有成千上万的客户段的网络，并仍然能够在几分钟内完成全部密码的刷新。这是因为，ERPM服务器的中心是一个大型部署，连接到多个区域处理器，其中每个都管理着不同的用户组，并镜像命令，将其从主托管机器发出。

因为有相关的漏洞将允许现有的连接保持不变，因而为Windows设备重置密码可能会非常棘手。这就是所谓的金票(golden ticket)型攻击，其中攻击者会劫持会话，使之保持活跃状态，并在了密码重置的情况下，更新其他用户的凭据。ERPM的失败就在于其是通过两次快速会话自动改变所有的Windows密码，这是在管理面板通过单个复选框进行设置的。两次更改密码迫使整个企业组织经历紧急复制。这将使得金票凭据到期，因为这将是两次迭代。作为一项预防措施，ERPM可以设置为始终更改双重密码，即使按照设定的计划例行轮换。

ERP的另一个有趣的方面是其被称为账户池的一个功能，该功能可以被用来确保离线系统给予适当的密码重置。此外，可以允许管理员来检测在网络上没有被授权而只是断断续续连接的设备。

该账户池的工作原理是三个账户是建立在资源池中，或者如果密码在全局范围更改相当多。当开始发生变化时，ERPM也会连接帐户以使用验证池。由于所有账户都被进行了监控，当管理员看到一款设备试图验证到二号池，而ERPM已经为该设备批准了三号池的其他一切资源权限时，这意味着该系统是有问题的，要么是脱机了;要么或是在近期加入了未知的系统，或者可能没有被授权。像其他在ERPM中的一切操作一样设置帐户池极其简单，归结起来，无需检查多处，只需添加另一层安全层到一个已经令人印象深刻的系统。

Lieberman软件的企业随机密码管理器证明，有多种的方式来实现良好的特权身份管理。该产品的起步售价为25000美元，其与其他特权身份管理解决方案类似，但该产品提供了在网络内对所有密码的支持，而不只是属于特权用户的密码支持。可以锁定一切，甚至有一个紧急按钮，以便能够在一个可疑的威胁事件发生时切换每一个密码。

CyberArk特权帐户安全解决方案

Cyber Ark公司的该款特权帐户的安全解决方案是我们这次审查测评产品中最全面的系统之一。该产品是由在同一用户界面下运行的五个单独元件所组成的，五个元件均可以root据需要单独购买并安装。五个组件分别是企业密码库、SSH密钥管理器、特权会话管理器、应用程序身份管理器和按需权限管理器。

该系统的核心是企业密码库，很可能每家使用该系统的企业用户都会将其放在系统首位。该企业密码库是一个存储和监控密码的存储库，用户需要访问该密码库，才能获得使用系统资源的权限。然而，Cyber Ark的密码库比其他仅仅只是将每个密码保存在一个单一的加密数据库的解决方案更安全。相反，在Cyber Ark的密码库内，每个密码均进行了存储并单独加密，所以其更像是一个系列的保险箱不是单个的密码库。这样，即使有人以某种方式破解了AES加密，而这也是不太可能的，他们也将只能获得一个密码。另外，在我们的测试中，确保个体密码的安全对为授权用户检索的速度没有负面影响。
需要登录到受特权帐户安全系统保护的资产的用户都被授予信息面板的使用权，该信息面板包括了该用户帐户类型的不同的服务器和系统群组信息。例如，用户可以在他们在最近访问的选项卡下、或者在他们的收藏标签下看到自己以前经常使用的系统。假设用户目前没有访问系统，他们将需要选择显示密码命令按钮。这将要求他们填写一个很小的细节，其将需要填写密码的期限和访问的原因。他们还可以指定，他们是否只需要在此期间使用的密码一次，或在指定时间段内可能需要登录多次。用户会被告知具体的管理政策，以及在他们的请求提交前，需要经过多少人的获准审批。

回到管理员方面，我们通过我们的Outlook电子邮件收到密码访问请求。打开邮件给了我们一个链接返回到管理控制台，这也显示了用户正在等待的所有未决请求。如果管理员正在工作中，并且其控制台是打开状态，他们将有可能以这种方式来看到所有的请求，但电子邮件提示是一个很好的第二选择的方法，尤其是对于关键的请求事件。查看这些请求能够让管理员掌握所有的相关细节，包括谁发出的请求，所需访问的准确的资源和时间，以及该用户所希望的密码功能。也有由用户提供的作为他们需要完成的具体工作的简要说明。

这些请求可以得到确认批准或否认拒绝，而管理员能够将这些是否批准的决定以消息形式发送回用户。假定被给予了访问授权，则用户可以利用该密码中指定的时间进行访问。在此之后，密码被重置，当前密码变得一文不值。

并非所有密码都需要这种级别的审批。例如，某些已知用户需要对非管理员类型的任务系统进行例行访问，可以设置为只要他们点击显示密码图标，就能够看到一个密码。该系统还可以被设置为为那些自动给予访问权限的用户纪录他们的操作行为，而他们的密码可能仍然会过期，其会在每次用户完成他们的工作之后改变，但其会防止任何在用户只是想完成日常工作的过程中形成审批过程。

事实上，可以使用CyberArk特权帐户的安全解决方案设置不同级别的访问权限，这一功能令人相当印象深刻。我们甚至能够通过应用程序标识管理器组件来管理带有某些软件包的默认帐户。而即使那些默认的帐户没有接触到活动目录也是可以的，从而防止在网络的权限结构中出现看不见的漏洞。

一个被称为Cyber Ark DNA的组件可用于识别那些隐藏账户，以便它们可以被包含在安全策略之中。建立政策时的易用性是基于这样的事实：即不仅有可以定义非常详细的主策略，同时也能够很容易添加例外情况，对于用户来说，应用程序和特定资产使用适用几乎任何需要的标准。而好处是，即使是在一个例外的情况下，其并不意味着安全受到威胁，用户仍然可以运用资产的监控和记录。任何异常事件也可以被直接发送到企业的SIM。

用户会话的记录是非常精确的。系统记录按键和视频截取会捕捉正在发生的一切，但其也使得收集的全部数据完全是可搜索的。我们搜索了档案内的任何有人输入特定的命令时的情况，然后我们测试系统中的记录迅速弹出几个视频。这些视频不仅显示了我们搜寻的命令是由谁输入的，同时还显示了他们输入这些命令的时间，精确到秒。对于任何网络安全人员，审计人员或法医调查人员而言，这将是一款相当有价值的工具。如果没有这样一款详细的搜索工具，企业所收集到的数据的绝对数量可能使其很难找到其真正所需要的资源。但这样一来，搜索范围可以日益缩小直至完全精确找到用户和命令，甚至确切的时间帧，以及需要进行调查的位置。

我们所测评的Cyber Ark解决方案的最后一个组件是按需权限管理器，这是该套件的最新的组成部分。它用来提供对某些系统如Linux进行本地访问，其中管理员则是用来与SUDU工作，并保持本地存储的策略决策。按需权限管理器允许这种情况继续发生。事实上，我们可以在测试机器上运行本地管理员的命令，即使已经从主权限管理服务器断开连接。然而，会议仍在记录，以便用于审计、加密，并可以被自动送回存储库，以确保安全。

在一系列的组件中部署CyberArk特权帐户的安全解决方案，不仅保持了解决方案的轻便，同时也允许企业用户root据需要建立自己的特权身份管理解决方案，还同时保持了相同的基本接口。Cyber Ark部署解决方案的起步售价为35,000美元。既可购买部分组件安装，也可作为一个整体包安装，CyberArk提供很好的防护，并从几乎任何可能危害网络安全的路径定义了对特权身份的保护。

Centrify公司的服务器套件和特权服务

虽然很明显，传统的外围防御在应对最现代化的网络威胁时已经失败，但Centrify公司产品背后的理念则是，围绕着身份管理需要形成一个新的边界。该公司的服务器套件和特权服务产品首次将身份整合到了一个可管理的领域，极大地缩小可能的攻击面，从而消除了网络管理员和在紧急情况下使用的root问题等账户。相反，用户可以以自己的身份登录和他们有root据工作需要获得系统权限提升的授权，而不必从保管库中获取密码，甚至不知道root或管理员密码。

服务器套件和特权服务可以通过将移动设备变成没有远程攻击者可以访问的第二个认证因素，从而使的网络更安全。移动用户需要下载一个应用程序来利用这个系统，但在实际的网络中，无需在任何客户端安装代理，只需托管服务器。

服务器套件和特权服务与Windows，Mac和二者的混合环境兼容，是这篇测评文章中最经济的产品之一。标准版的服务器套件每台服务器的成本为385美元，再加上每年的维护费用，不管有多少用户或客户需要进行管理。特权服务将远程管理功能添加到服务器套件中，并且可以以每位需要对其进行访问的IT人员每月50美元的价格购买。服务器套件产品是这篇测评文章的重点，是以安装本地软件在代理服务器上运行进行交付的，而特权服务产品的所有功能都是基于云服务交付的。

有趣的是，尽管大多数该领域的产品都是围绕着以采用某种形式的数据存储库为中心，以便用户可以检查存储密码，而服务器套件更多的则属于次要组件。root和管理员密码在存储库中进行存储和管理，并且可以随时间而改变，但是，用户一般不会去存储库，除非有某种类型的紧急情况，而它的工作原理非常像任何其他类型的系统库。如果需要的话，一个用户请求的root密码如果获得批准，那么其会在很短的一段时间内发出，然后再生。而服务器套件也没有必要使用SSH密钥库，因为客户端和服务器在网络上使用Kerberos彼此进行身份验证，授权服务器处理加密的一次性密钥交换。

不是使用一个库，服务器套件管理员可以设置不同的权限，可以给授权用户系统的使用。用户只需像正常工作方式一样登录。如果他们需要管理员或root访问权限，而如果用户被授权这样做，服务器套件将允许该进程运行。除非一个典型的最终用户试图执行的内容是不被授权的，他们可能根本不会与Centrify服务器套件有非常多的接触，虽然他们有权限可以使用管理面板，该面板能够显示他们的各种权限，以及可以访问哪些资产。

在管理方面，用户按区域被划分。最初大部分的区域属性可以使用活动目录策略创建。然而，一旦服务器套件被建立且运行，添加新的用户则是一个简单的过程，因为其可以自行建立区域。

一个区域基本上是一个与他人共享访问特性的用户类型。例如，您可以设置一个财务群组，让那些能够与财务工作相关的用户访问计算机，并运行相关群组的进程。或者您可以设置一个由系统外部承包商所组成的区域，给予非常有限的权限访问机会，以方便他们完成自己工作的需要。如果新加入了一个新的财务人员到该群组领域，该人员可以简单地被添加到财务部门，整个过程只需几秒钟。同样，如果有人离开企业组织，从区域删除他们也是非常快捷方便的，并能够同时删除他们的所有凭据和权限。在设置用于令人难以置信的细节区域方面，也是有很多不错的选择的。例如，我们为服务帮助台的用户们成立了一个群组区域，这让他们对于日志文件能够只读访问，这样他们就可以发现问题，并帮助用户，而没有造成任何新的问题。

该区域防御使得管理大量的用户更容易，因为不同的管理员可以划分到每个区域，其也可以防止网络内的横向移动，即使用户的身份被泄露。例如，当我们在我们的外部承包商群组中发现用户的身份破坏泄露时，该用户就只能访问他们被分配到工作区的特定系统。任何试图访问区域外的任何系统或资源的操作都不仅会以失败告终，同时该帐户还会被标记为可疑，而甚至可能根据政策配置被撤销所有的权限。

新用户可以从头开始获准访问各种系统资源，如果该新用户是需要以某种独特方式完成工作的话。但是，一旦该规则建立，大多数新用户将有可能只是被添加到现有区域，来获得这些属性。此外，很容易在添加一个新用户时到区域时创建例外的规则。我们在这个测试中创造了许多新的用户。在大多数情况下，服务器管理套件所需要做的便是使用一系列的复选框来定义用户的访问属性，甚至没有检查这些新的用户是否完全适合于一个既定的区域。可能的选择包括强制用户在登录时使用双因素身份验证，进而才能够访问网络中的各种资源，甚至运行特定的命令。用户还可以被授予访问用户版本的服务器套件控制台的权限，这样他们可以看到哪些操作是他们被允许的，而又被限于哪些操作。有些东西您可能想给予内部员工，使他们能够避免试图做一些他们的职权范围以外的事情用户。而这肯定不会是您想要与外部承包商分享的东西。

在审核方面，主跟踪面板清楚地显示了用户和他们每个会话使用的命令，因为两者是直接在系统中连接在一起的。较之其他特权身份管理程序，该产品是很好的，因为您不只是看到root帐户被选中，然后必须调查以查看其是如何使用或由谁使用的。相反，您能够从管理菜单的顶层按用户排序看到每个用户都做了哪些具体的事情，目前正在做的事情。

管理员可以通过包括了实时记录以及按键纪录的截屏来调出用户的记录会话，这是完全可搜索的。而且因为没有人通常会检查root密码，甚至直接输入，因此也就没有后门或漏洞可被利用来绕过监控过程。Centrify公司可以为大型网络建立一系列的收集设备，来处理该大量可能生成的审计工作负载，虽然我们的测试平台没有任何这方面的需要。
一款独立，但已经与Centrify公司的产品进行了集成整合的产品是他们的身份服务产品，其增加了一个聚焦于身份的企业移动管理平台。与服务器套件完全集成，可以使用员工很可能已经随身携带的设备为任何受保护的网络添加双因素身份验证。用户只需下载针对他们设备的应用程序，并以自己的身份登录。设备在连接可以被迫使符合之前确立的相关规则，以确保它们不会造成破坏或被破坏。

此后，当访问由服务器套件保护的网络业务时，用户可以被要求使用这些设备作为第二形式的身份验证。我们甚至能够使用低端设备，一个老旧的iPod Touch作为二级凭证。一旦我们强迫用户使用该凭证，每次他们登录时，他们都会被提示要在iPod的屏幕上输入四位数代码。这样是为了确认实际正在持有并操纵该设备的实际上是人，而不是一个机器，同时需要输入正确的密码，证明他们很可能被授权的用户。为了获得更大的安全性，某些具有指纹扫描仪 设备的用户，可将其代替提示使用，作为其登录的一部分。然后，企业组织可以让他们的员工携带带有指纹扫描仪 的设备工作，并添加生物识别技术作为另一级别的网络安全措施，而该技术已经内置到Centrify的产品中了。

Centrify公司的服务器套件是在测评审查最容易使用的产品之一，同时也是最具经济性与许可授权方案最不复杂的解决方案之一。除此之外，当与特权服务和身份服务结合，其将安全完全从网络安全边界防御现已无效的方法移除了，并且转移到保护身份方面。这使得网络策略得到强制执行，无论执行的用户是谁，他们使用的是什么设备或最终受到保护的是什么网络资源。

Viewfinity公司的特权管理器

在我们的测试中，这款来自Viewfinity公司的特权管理器套件在锁定所有用户的权限，提高网络的整体安全方面运作良好。其真正亮点在于其与用户只有很轻的接触，能够对大多数用户在他们的正常作息工作中保持不可见的隐形能力。

让Viewfinity权限管理器工作的第一步工作是一个无声的发现阶段，其需要在目标网络上花费几个星期的时间。作为这一过程的一部分，代理安装在所有Windows客户端，以帮助Viewfinity记录该客户端的交互，并最终执行访问策略。虽然当前的许多访问权限可以从活动目录中导入获得，也有很多应用程序、脚本、流程甚至那些可能不经常连接的用户，可能因为这样做而错过。 所以Viewfinity需要观察几个星期的时间，并记录下谁、在什么时间段访问了什么资源，以及他们在网络上做了什么操作。所有这一切都被放置到策略的创建引擎，使得一旦发现阶段完成，高于一切权限的管理员能够了解对于如何允许访问网络进行总量控制。

Viewfinity提供了一款免费的工具，使网络能够通过这个发现过程，帮助确定相关用户的身份，以及具有什么样的管理员权限。对于大多数企业组织而言，这很可能将成为一次大开眼界的过程，因为他们从设备到脚本的一切可能有一些类型的特权访问，其也有可能是非托管。

Viewfinity权限管理器的第二个组件是应用程序控制软件，作为该软件包的一部分我们对其进行了测试。虽然他们可以单独购买，但他们是如此的关系非常密切，并共享相同的用户界面和管理控制台，在企业组织已经购买了一个组件的情况下，而不想要另一款组件是很难想象的。

在Viewfinity产品的易用性方面，其中一个最有趣的事情是其可以识别多少值得信赖的来源，并如何根据策略定义来处理它们。例如，我们建立了我们的Viewfinity测试平台，阻止以前未知的任何程序访问网络。当我们从外部下载应用程序，并试图运行时，我们得到了“这个操作不被管理政策允许”的警告。然而，我们也能够告诉Viewfinity任何来自网络共享驱动器的东西可以是可信任群组程序的一部分，即使其在先前对于系统而言是未知的。然后，当我们从受保护的网络共享下载相同的程序，用不同的政策来代替管理。在这种情况下，程序被允许运行，但管理员会被通知发生了什么事。

可信源的政策是非常稳健而强大的，甚至适用于数字签名。例如，如果您的企业组织使用爱普生打印机或思科的通信设备，可以允许只要经过数字签名这些设备便可以访问网络，并安装更新。但是，如果即使是这种水平的自动化也太过危险，也是完全可选择的。

使用Viewfinity界 面设置策略非常容易。有三个策略类型的大按钮，管理员可以用以适合所有的一切，以及用于在以前未知的情况下使用的策略。在最底层是监视器选项卡。这最好用于可信任的应用程序的使用和已知的系统管理员的操作。监测可以在许多不同的层面应用，全面记录每个按键和拍摄整个会话，并简单地通知相关人员正在实施的操作。

限制访问选项卡在安全层级中的下一级。属于这一类的程序和用户会有多种强加给他们的限制。例如，应用程序可能被允许运行，但被阻止访问互联网，或禁止从任何文件本身进行一个新的下载。监控和 通知也应该被用来保持对属于这一类嫌疑人和事物的高度监控。

在高端的是拒绝选项卡。放置在这里的任何东西均可能会被称为恶意软件或至少有点像网络所不必要的。其也可能是一个被企业解雇或离职的用户。锁定应用程序或用户可以限制其在网络上执行任何功能，其甚至可以被锁定，阻止其本地执行任何运行操作。发送给那些受到严格访问限制或锁定策略用户的消息可以是完全定制的。这些消息是友善或是预警似的完全由网络管理员决定。而如果需要的话，公司徽标或官方logo也可以成为信息的一部分。还有一个过程，而且如果您企业需要的话也是完全可定制的，以便让相关用户解释为什么他们需要有一个具体的方案能够访问网络资源或为什么他们需要正常政策之外权限。管理员可以考虑这些用户的要求，并必须保持相关的限制，改变程序的访问级别，声明其是被信任的，甚至授权有问题的软件或程序进行一次性的运行。

Viewfinity产品的另一个优点在于其灵活性，目前已经有程序到位，让每一个规则都有不同寻常的例外。例如，一个网络数据库可能针对远程访问被锁定，但在出差旅行中的企业雇员可能需要从他们的酒店房间进行访问。在这种情况下，管理员可以发出一次性远程访问密码，以方便这些特定用户对于特定资源的访问，所有这些都可以通过电话来完成。

Viewfinity权限管理器和应用程序控制定价基于台式机、笔记本电脑和被管理的服务器的数量而异，并并取决于产品企业用户所购买的部署许可。基本配置的起始售价大约在35,000左右。

除了其防止恶意或损害特权用户的网络保护的基础功能外，Viewfinity权限管理器还有两大主要的优点，是其能够将绝大多数用户的访问权限级别维持在一个平均值水平，甚至包括管理员级别的用户，并且能方便地定制琳琅满目的访问选项 。我们可以创建规则来处理每种管理离奇的权限的情况。鉴于大多数企业网络可能都至少有一些这样的情况，这使得Viewfinity公司的权限管理器成为不寻常的情况下一个非常棒的选择，同时还能够提供日常的特权身份保护。

本文作者约翰·布里登是一位拥有超过20年的业界相关经验、并屡获殊荣的评论家和演说家。目前，他是Tech Writers Bureau的CEO，该公司拥有一批有影响力的记者和作家写手，这些撰稿者均供职于政府机构和其他各行各业。各位读者可以通过jbreeden@techwritersbureau.com联系到他。

本文转自d1net（转载）