即时特权提升是一种旨在限制在关键系统上启用特权访问的时间的模型。这允许管理员、用户、应用程序和脚本仅在需要时且仅在完成任务所需的时间内访问敏感信息。
这种方法避免了永久授予用户提升的权限,这可能成为滥用的载体。成熟的特权访问管理系统仅在需要时并在为需要特权访问的任何实体完成给定任务所需的最短时间内提供自动提升特权。
PAM360 通过与 ManageEngine ADManager Plus(一种 Active Directory 管理和报表解决方案)的无缝集成来促进即时访问。PAM360 通过域帐户权限的自动化和受控提升,为特权访问引入了基于时间和基于资源的限制,加强了安全性,同时使整个过程轻松自如。
PAM360 与 ADManager Plus 的集成使管理员可以控制将域用户帐户映射到 Active Directory 中的特定安全组。这可以通过将 Active Directory 域控制器添加为 PAM360 中的资源,然后将其与选定的 Active Directory 安全组相关联来完成,这些安全组作为这些产品之间集成的结果而被提取和显示。
将域帐户从 PAM360 映射到 Active Directory
PAM360 为 Windows 域用户提供提升的权限,允许他们根据特定时间范围内的请求批准机制继承域管理员权限。这种编排的工作流是通过一组预定义的策略配置实现的,允许域用户使用他们自己的凭据轻松登录并在目标系统上执行特权任务。一旦时间用完,权限将自动撤销,确保用户不再具有访问关键系统的权限。
PAM360 还支持 Windows 资源的开箱即用的本地帐户权限提升。这些额外的、基于时间范围的特权系统访问限制可帮助企业完全控制特权访问。
Windows 域 PAM360 的权限提升
虽然集成使 PAM360 管理员能够提升域帐户的权限,但它不会影响 ADManager Plus 对用户权限的控制。作为安全预防措施,工作流的设计使得 ADManager Plus 管理员对域用户权限级别所做的任何更改都会覆盖在 PAM360 中所做的更改。这样,域帐户在 ADManager Plus 中得到完全控制,防止任何未经授权的访问。
