特权账户管理

特权帐户管理是身份和访问管理 (IAM) 的一部分，专门用于保护企业中的特权帐户，例如操作系统、数据库、服务器、应用程序、虚拟机和网络设备中的管理帐户。

在本指南中，我们将讨论以下内容：

• 什么是特权账户？
• 什么是特权账户管理？
• 为什么特权帐户管理对组织很重要？
• 特权帐户管理的优势
• 选择特权帐户管理软件时需要关注的基本功能
• 有效特权帐户管理的最佳实践

什么是特权账户？

术语“特权帐户”包括分布在 IT 环境中的各种特权帐户，例如 UNIX 的Root账户、Windows 的 administrator账户、数据库管理账户等等，也包括业务应用程序帐户。 这些帐户通常由信息和通信团队用于设置 IT 基础架构、安装新硬件和软件、运行关键服务以及执行维护操作。 简而言之，特权帐户是可以访问组织关键 IT 资产以及存储在其中的敏感信息的“主密钥”。

特权帐户的类型

本地/内置管理员 帐户是成员服务器和客户端机器上具有绝对控制权的帐户，它包括操作系统、应用程序软件、服务的默认登录帐户等等。如果本地管理员密码较弱、保持不变或在跨设备的多个账户上重复使用，恶意用户很容易在未经授权的情况下登录工作站。 在最坏的情况下，拥有本地管理员帐户或内置系统帐户的攻击者可能对整个机构网络实施遍历，甚至将他们的权限提升为域管理员。

管理性服务帐户 是系统程序用来运行应用软件服务或进程的特权帐户。有时，当某个依赖服务需要时，这些帐户可能拥有很高甚至过多的权限。 这也适用于用于运行Windows计划任务的本地或域帐户。由于难于确定服务之间的依赖关系以及实施密码更改可能对业务运行的连续性造成的影响，此类服务帐户密码通常会被设置为“永不过期”。但是，这种静态管理的服务帐户很可成为黑客攻击您的企业业务的“后门”。

Root 帐户 是Unix/Linux 资源中具有最高管理权限的超级用户帐户，通常由系统管理员用来执行核心 IT 操作。Root 帐户可以不受限制地访问系统上的所有文件、程序和其他数据，若管理不当会带来非常大的风险。

应用程序帐户是组织用来在各种应用程序、Web 服务、本机工具之间执行自动通信以满足业务和其他交易需求的凭据。应用程序凭证通常以明文形式嵌入在未加密的应用程序配置文件和脚本中，以实现这种业务通信接口。

嵌入式应用程序帐户用于许多DevOps环境，在这些环境中，通常采用硬编码方式来使用账户凭据以加快软件开发过程、自动化服务交付环节。管理员通常很难识别、更改和管理这些密码，这也成为黑客的一个简单切入点。

为什么特权账户管理对企业很重要？

显而易见，特权用户帐户一旦落入不速之客手中，它将成为企业安全中的致命弱点。特权用户帐户管理不严可能会使企业面临以下安全风险：

1. 攻击者利用毫无戒心的员工

利用特权用户帐户窃取敏感数据，往往在事件暴露之前不会引起相关管理部门的注意，这也成为攻击者的最爱。 一旦黑客侵入员工电脑，他们会立即遍历寻找各种未能妥善管理的特权凭据，并尝试将自己升级为域管理员/特权管理员身份，然后对高度敏感的信息系统执行攻击。

2. 内部流氓滥用特权

有时，最大的威胁就在身边。内部特权滥用在当今各种规模的组织中都是一个迅速增长的问题。出于错误个人利益意图，内部特权用户可能比外部人员造成的损害更大。对内部人员的固有信任使他们能够利用他们现有的特权，窃取敏感数据并将其出售给第三方而不会引起注意，直到为时已晚。

3. 员工的疏忽所造成的恶意后果

如果没有适当的特权访问管理措施，粗心的员工是难以管理的威胁。这些用户通常不了解网络安全的重要性，他们无法预计自己将特权凭证任意保存甚至分享给未经授权的员工所造成的后果。 一个典型的例子是 DevOps 工程师在 GitHub 等开放平台上转储他们的代码（其中包含内部服务器的身份验证令牌）后，却忘记这些代码中所使用的身份令牌。

4. 远程供应商和前雇员滥用他们的特权

远程供应商是机构业务网络的重要构成部分，他们通常包括承包商、顾问、合作伙伴、第三方维护团队和服务提供商，他们在必要的情况下需要使用特权账户访问您的内部基础设施，以满足各种业务需求。当前环境下，几乎每个机构都依赖着多个远程供应商来完成工作，这也就意味着第三方可以随时访问您的内部网络，这与机构的内部人员具备同等的威胁。

5. 不必要的特权

用户权限过高也是经常遇到的问题，即他们拥有的访问权限远远超过他们履行工作职责所需的权限。用户被授予的权限与所需的权限之间存在差距。在这种情况下，应用最小权限原则很重要——只提供完成工作任务所需的最低权限。 如果没有适当的特权访问管理系统来强制执行最低特权安全并监控用户操作，则具有这种账户的人员可能会利用它进行非法访问。

6. 特权一经授予，永不撤销

忘记特权是非常危险的，IT管理员可能忙于各种任务，而忘记撤销为非授权用户访问敏感资源所创建的临时账户。如果没有工具来跟踪谁被授予了哪些权限，撤销权限将是一项繁琐的任务。放之任之，意味着用户即使在他们的工作完成后仍继续持有特权，并且他们有机会执行未经授权的操作。

特权帐户管理的优势

以下是特权帐户管理解决方案针对网络安全管理，所体现的优势：

集中管理

将特权帐户存储在安全存储库中，通过单一访问点强化多因素身份验证，从而完全控制特权帐户的使用。

降低风险点

缩小攻击面，有效应对不断增长的外部攻击、身份盗用和内部威胁的风险。

改进事件响应

通过审批工作流程，以及特权帐户使用情况的实时警报，建立预防性和检测性安全控制机制

增强安全性和合规性

有效证明符合各种行业和政府法规，如 HIPAA、PCI DSS、GDPR、NERC-CIP、SOX 等。

提高知名度

通过广泛的审计日志和信息报告，全面了解整个网络中的特权帐户活动。

网络安全自动化

通过自动化计划让 IT 团队免去耗时的手动任务（例如批量密码更新），从而提高 IT 生产力。

为您的组织选择正确的特权帐户管理软件时需要寻找的基本功能

特权帐户因其价值，无论何时都是网络犯罪分子的主要攻击目标。 因此，在寻找合适的特权帐户管理解决方案时，组织应将该过程视为一项长期的网络安全投资，而不是权宜之计。 在评估解决方案以找到适合您企业的完美特权帐户管理解决方案时，参考以下确定的功能点，来决定您组织的特权帐户保护计划的有效性和最终成功的目标。

功能清单

优秀的特权帐户管理解决方案所应包括的关键功能

• 集中化的凭证保险仓库
• 自动发现 IT 资产和特权帐户
• 基于 Web 的访问，具有简单易用的界面
• 传输及存储时具备强大数据加密机制
• 强用户身份验证，例如 AD/LDAP、RADIUS、SAML、智能卡等
• 访问特权账户仓库的多因素身份验证，例如 TOTP、YubiKey 和 Duo Security
• 对存储的特权帐户执行细粒度、基于角色的访问
• 以不同访问权限、范围控制用户对特权账户的访问
• 发布特权凭证时利用审批工作流、工单ID验证等增加数据的双重控制
• 限时访问密码和 SSH 密钥
• 即时控制
• 凭证签出和签入的通知或警报
• 安全 API 以实现应用程序到应用程序的通信以及实现自动凭证签出
• 定期凭证轮换计划
• 广泛的平台支持，包括经典操作系统、云服务、DevOps 工具、业务应用程序、物联网设备和机器人流程自动化服务
• 不同强度的预制密码/SSH 密钥策略
• 内置密码和密钥生成器
• 强制使用强密码和密钥
• 广泛的审计日志模块
• 有关特权帐户活动、密码合规性、访问状态等的交互式、可定制报告。
• 针对 PCI DSS、SOX、NERC CIP 等的开箱即用 (OOTB) 监管合规报告
• 计划报表
• 工单系统、SIEM 工具的开箱即用集成能力
• 应急保障措施管理
• 高可用性和故障转移服务，可不间断访问关键系统的特权帐户
• AI/ML 驱动的异常检测器，在非工作时间捕获对特权帐户的异常访问

有效的特权帐户管理的最佳实践

为什么 Password Manager Pro 是您首选的特权帐户管理解决方案

ManageEngine卓豪的 Password Manager Pro 是为企业量身打造的基于网络的特权账户管理解决方案。 该解决方案允许您存储、共享、管理、监控和审核组织中任何特权帐户的生命周期。 Password Manager Pro 具有一系列功能，例如帐户发现、强大的保险库机制、精细访问控制、自动密码重置、SSL 证书生命周期管理、用户活动审核和安全远程访问，所有这些功能都内置于单一平台中 是确保 IT 环境中特权帐户安全所需的一种解决方案。