保護特權(quán)用戶帳戶的九個實踐

盡管業(yè)內(nèi)權(quán)威一再提醒管理特權(quán)賬戶的重要性，許多特權(quán)帳戶仍然未受到保護、不被重視或管理不善，使它們成為容易被攻擊的目標(biāo)。基于這些現(xiàn)實情況，本文列出了幾條保護特權(quán)賬戶的實踐，僅供IT管理員和安全管理員參考。

1.自動發(fā)現(xiàn)特權(quán)賬戶，并對其進行集中化追蹤

如果您想管理公司的特權(quán)賬戶，實現(xiàn)賬戶信息安全化，隨著公司發(fā)展的壯大，您需要一個能夠自動化定期掃描網(wǎng)絡(luò)、檢測新賬戶，并登記管理的應(yīng)用程序，將成為PAM（特權(quán)訪問管理）戰(zhàn)略的組成部分。

2. 安全集中存儲特權(quán)賬戶

摒棄過去那種本地化、單獨分散式的、需要由許多團隊共同維護的數(shù)據(jù)管理模式，正確的做法是將部門的特權(quán)帳戶和憑據(jù)存儲在一個集中的存儲庫中。此外，使用如今嚴密的加密算法（如AES-256）來保護您存儲特權(quán)帳戶憑證的存儲庫，以避免惡意訪問。

3. 設(shè)置特權(quán)訪問權(quán)限，明確用戶角色

特權(quán)帳戶被安全地存儲于存儲庫后，針對用戶對其的訪問就可以進行有效的管理與控制了。對于PAM管理員來講，需要明確劃分各IT成員的角色，使該角色僅具有其所需的最低訪問權(quán)限，同時確保特權(quán)賬戶不是針對日?；顒?，如閱讀郵件、瀏覽網(wǎng)頁等設(shè)定。

4.設(shè)定多重身份驗證

根據(jù)Symantec公司的2016年互聯(lián)網(wǎng)安全威脅報告，通過使用多重身份驗證的方法，可以有效避免大部分的漏洞。對于PAM管理員和用戶而言，實施雙重或多重身份驗證可以保證敏感數(shù)據(jù)的訪問安全。

5.消除純文本式特權(quán)帳戶憑據(jù)共享行為

PAM管理員不僅要關(guān)注消除因角色劃分不明確而帶來的安全隱患，同時也要實現(xiàn)安全地共享實踐。同時借助PAM管理工具，使用戶無需查看或輸入該憑證，就可以一鍵式連接到目標(biāo)設(shè)備。

6.嚴格的自動密碼重置策略

對于IT團隊的管理而言，每個特權(quán)賬戶都使用同一個密碼，能夠使工作相對輕松容易許多。但是這種方法卻極其危險，會導(dǎo)致整個網(wǎng)絡(luò)環(huán)境出現(xiàn)高危漏洞。為了消除固定密碼以及未授權(quán)訪問帶來的安全隱患，您需要將密碼自動重置視為PAM策略中不可分割的一部分。

7.臨時訪問的控制實施

當(dāng)用戶需要賬戶憑證訪問某個遠程資產(chǎn)時，強制要求他們給公司的PAM管理員發(fā)送訪問申請。PAM管理員將只為用戶提供臨時訪問憑據(jù)的權(quán)限，同時可通過設(shè)置訪問時間、在規(guī)定的訪問時間到期時能夠撤銷訪問權(quán)限并強制消除密碼。

8.停止在腳本文件中嵌入憑據(jù)

許多應(yīng)用程序需要頻繁訪問數(shù)據(jù)庫和其他應(yīng)用程序，以查詢與業(yè)務(wù)相關(guān)的信息。使用固定的密碼使管理員的工作更加輕松，但也為黑客們提供了便捷的入侵途徑。當(dāng)應(yīng)用程序需要使用其他應(yīng)用程序或遠程資產(chǎn)的特權(quán)帳戶時，IT部門利用安全API直接查詢PAM工具。

9.審計

審計記錄、實時警報和通知確實讓工作變得更輕松，通過與內(nèi)部事件管理工具的集成，將PAM活動事件與公司其他事件進行整合分析，智能識別異常并提供通知。

上述實踐并不是安全戰(zhàn)略的終極方案，我們還需要做更多的工作。卓豪Password Manager Pro是一個面向企業(yè)的特權(quán)對象管理軟件，用于管理服務(wù)器、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫以及各種應(yīng)用程序的密碼，以及各種SSL、SSH數(shù)字證書等。幫助集中存儲安全對象信息、安全共享密碼、實施標(biāo)準化的密碼策略、追蹤密碼訪問歷史、控制用戶非法使用，助力企業(yè)實現(xiàn)安全化的管理規(guī)范要求。