保护特权用户帐户的九个最佳实践

在2019年6月的Gartner安全和风险管理峰会上,首席信息安全官(CISO)应该关注的十大安全项目再次表明,特权访问管理(PAM)是其中最重要的。

尽管业内权威一再提醒管理特权账户的重要性,许多特权帐户仍然未受到保护、不被重视或管理不善,使它们成为容易被***的目标。基于这些现实情况,本文列出了几条保护特权账户的最佳实践,仅供IT管理员和安全管理员参考实践。

  1. 自动发现特权账户,并对其进行集中化追踪

如果您想管理公司的特权账户,实现账户信息安全化,那么,首先要做的是,针对公司内部、外部网络上的全部关键资产、关联账户以及关联凭证进行有效的发现。随着公司发展的壮大、基础架构的扩展,您要保证IT团队具备超强的“发现”能力(即搜索发现资产信息),以便于应对特权账户的增多情况,对其进行持续的跟踪管理。一个能够完全自动化定期扫描网络、检测新账户,并登记管理的应用程序,将成为PAM(特权访问管理)最佳战略的组成部分。

  1. 安全集中存储特权账户

摒弃过去那种本地化、单独分散式的、需要由许多团队共同维护的数据管理模式。同时更为重要的是,要极力避免员工在便利贴上记下自己的密码,或者以纯文本的方式保存密码。这种做法不但要承担大额风险,也会带来一系列的问题,例如越来越多的过期密码、团队协同合作问题,进而导致工作效率低下。正确的做法是,将所有部门的特权帐户和凭据存储在一个集中的存储库中。此外,使用现在严密的加密算法(如AES-256)来保护您存储特权帐户凭证的存储库,避免恶意访问。

  1. 设置特权访问权限,明确用户角色

特权帐户被安全地存储于存储库后,针对用户对其的访问就可以进行有效的管理与控制了。正如高级网络安全中心(ACSC)所述,“根据用户职责限制其对操作系统和应用程序的管理权限。” 对于PAM管理员来讲,需要明确划分各IT成员的角色,使该角色仅具有其所需的最低访问权限,同时确保特权账户不是针对日常活动,如阅读邮件、浏览网页等设定。

  1. 设定多重身份验证(针对员工及第三方人员)

根据Symantec 的2016年互联网安全威胁报告,通过使用多重身份验证的方法,可以有效避免高达80%的漏洞。对于PAM管理员和用户而言,实施双重或多重身份验证可以保证敏感数据的访问安全。

  1. 消除纯文本式特权帐户凭据共享行为

PAM管理员不仅要关注消除因角色划分不明确而带来安全隐患,同时也要实现安全地共享实践。确保数据安全,在不需要以纯文本方式暴漏凭证明文密码等信息的前提下,提供员工或用户针对IT资产的访问权限。同时借助PAM管理工具,使用户无需查看或输入该凭证,就可以一键式连接到目标设备。

  1. 严格的自动密码重置策略

对于IT团队的管理而言,每个特权账户都使用同一个密码,能够使工作相对轻松容易许多,但是,这种方法却及其危险,会导致整个网络环境出现高危漏洞。想要安全管理特权账户,您需要使用一个超强、独一无二的定期重置密码策略。为了消除固定密码以及未授权访问带来的安全隐患,您需要将密码自动重置视为PAM策略中不可分割的一部分。

  1. 临时访问的控制实施

建立这样一个策略:当用户需要账户凭证访问某个远程资产时,强制要求他们给公司的PAM管理员发送访问申请。为增强安全控制,PAM管理员将只为用户提供临时访问凭据的权限,同时可通过设置访问时间、在规定的访问时间到期时能够撤销访问权限并强制消除密码。进一步,PAM管理工具还应可以在用户消除密码后自动重置密码。

  1. 停止在脚本文件中嵌入凭据

许多应用程序需要频繁访问数据库和其它应用程序,以查询与业务相关的信息。公司通常通过在应用程序中嵌入带有明文凭据的配置文件或脚本的方式,实现该过程的自动化。但是,这为管理员识别、更改和管理这些嵌入式的密码带来极大挑战。使用固定的密码,保证了业务执行的效率,使管理员的工作更加轻松,但也为不怀好意的***们提供了便捷的***途径。为解决该问题,IT团队可以利用安全API,即当应用程序需要使用其它应用程序或远程资产的特权帐户时,利用安全API直接查询PAM工具。

  1. 审计

言而总之,全面的审计记录、实时警报和通知确实让工作变得更轻松,这些过程不仅记录了每个用户的操作,同时也实现了针对所有与PAM管理相关责任的明确及透明性。通过与内部事件管理工具的集成,将PAM活动事件与公司其它事件进行整合分析,智能识别异常并提供通知。这为综合事件分析,以及检测漏洞将提供了极大的帮助。

上述实践并不是安全战略的终极方案,我们还需要做更多的工作。根据Verizon的2019年数据泄露调查报告,在2017年确认的2,216个数据泄露事件中,201个是由于特权滥用造成的。这样的统计数据深刻的提醒我们,不仅要保护特权帐户,还应关注与特权账号活动相关的会话的记录与管控,时刻保持警惕,防止异常访问。您的PAM战略应涵盖针对关键资产的特权访问控制(该内容也应涵盖针对身份及访问的管理计划),这是保护机构数据安全的最好办法;同时注意安全界随着企业发展的延伸,对安全管理战略要求的变化,时刻谨记网络犯罪与我们并不遥远。

卓豪Password Manager Pro是一个面向企业的特权对象管理软件,用于全面管理服务器、网络设备、数据库以及各种应用程序的密码,以及各种SSL、SSH数字证书等。帮助集中存储安全对象信息、安全共享密码、实施标准化的密码策略、追踪密码访问历史、控制用户非法使用,助力企业实现安全化的管理规范要求。

登陆官网了解Password Manager Pro更多功能!
还可下载30天免费试用版抢先体验!

原文地址:https://blog.51cto.com/14093217/2377767

时间: 2024-10-23 16:17:17

保护特权用户帐户的九个最佳实践的相关文章

浅谈Windows用户帐户控制(User Account Control,UAC)

Microsoft一个事实:大多数用户都用一个Administrator(管理员)帐户来登录Windows.利用这个帐户,用户几乎没有任何限制地访问重要的系统资源,因为该帐户被授予很高的权限.一旦用户这样的一个特权帐户来登录Vista之前的某个Windows操作系统,就会创建一个安全令牌(security token).每当有代码试图访问一个受保护的安全资源时,操作系统就会使用(出示)这个安全令牌.这个令牌会与新建的所有进程关联.第一个进程就是Windows资源管理前,后者随即将令牌拿给它的所有

BAT-把当前用户以管理员权限运行(用户帐户控制:用于内置管理员帐户的管理员批准模式)

相关资料: http://jingyan.baidu.com/article/72ee561a5dc24fe16138df95.html 网友求助:联想Y400,Win8系统 怎样获得管理员身份 要求详解. 分享经验:Windows 8.1 操作系统获取权限,和什么品牌机无关! 电脑人人有 提示:自己的电脑为什么没有足够的权限?这是微软的操作系统,照顾电脑新手的缘故,虽然每次操作都要咨询一遍,显得很麻烦,但安全的原因,操作系统还不至于轻易被不良程序击毁!一旦掌握自我防范的技巧,那就可以将这些警示

XP系统登录界面,需要手动点击用户帐户后才会出现输入密码的界面

问题描述XP系统,用户帐户设置有密码.用户表示之前启动到系统登录界面,会直接出现输入密码的对话框(见图一):现在启动到登录界面只看到用户帐户信息,需手动点击用户名后才能出现输入密码的界面,用户感觉不方便,希望解决此问题. (图一) (图二) 解决方案指导用户调出“计算机管理”,选择“本地用户和组”-“用户”,双击“Guest”,选中“帐户已停用”将Guest帐户停用后故障排除. 出处:http://support1.lenovo.com.cn/lenovo/wsi/htmls/detail_12

域用户和组帐户的管理之一次同时添加多个用户帐户篇

如果利用AD图形界面来创建大量用户帐户的话,将浪费很多时间用于重复操作相同的步骤.此时可以利用系统内置的工作csvde.exe.ldifde.exe.dsadd.exe等程序来节省创建用户帐户的时间. csvde.exe: 可以利用它来添加用户帐户(或其他类型的对象),但是不能利用它来修改或删除用户帐户.您需要事先利用文本编辑器将用户帐户数据创建到纯文本文件内,然后利用csvde.exe将文件内的这些用户帐户一次性导入到AD数据库中. ldifde.exe: 可以利用它来添加.删除.修改用户帐户

xp中 “控制面板”->“用户帐户”->“更改用户登录注销方式” 出现 一个最近安装的程序已停用欢迎界面和快速用户切换

xp中 "控制面板"->"用户帐户"->"更改用户登录注销方式" 弹出提示框:出现 一个最近安装的程序已停用欢迎界面和快速用户切换.您必须卸载该程序以恢复这些功能.下列文件名可以帮您识别该程序所作的修改:xxx.dll 如图: 出现这个现象,首先打开注册表 \HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon  看是否有 Ginadll项,有

如何使用csvde批量创建/导出用户帐户和群组

在日常AD管理和维护中,为用户创建帐户是最常见的工作啦,但是如果要你一下子创建上百个用户及群组,或者某天老板说他想看一下AD里面一共有多少个用户和群组,需要你导一份数据出来,那该怎么办呢?微软给我们提供了csvde这个工具就可以完成这些操作,具体操作如下: ? 指创建用户帐户 新建一个excel表最少包含以下字段,其中UserAccountControl 值为514 ,即新建帐户初始状态是禁用. 将上面的excel表整理后保存为users.csv上传到域控,使用域管理员执行下面的命令导入用户.

ImageMagick: win7 | win8 & uac (用户帐户控制) 注册表的一些事

现在用win7,win8的人越来越多了, 程序在一些 win 7, win8 上运行会遇到一些之前没想过的兼容性问题. 比如 64位系统运行32位程序时的注册表重定向,还有因为 uac (用户帐户控制)注册表的重定向等. ImageMagick 在安装的时候,相关数据写在 HKEY_LOCAL_MACHINE 下面, 这在 xp 系统下,一般不会出什么问题. 但由于在 win7,win8上,由于64位系统或uac的问题,导致注册表的路径重定向, 特别是 uac 问题,要想将数据保存到HKEY_L

用户“*****”不具有所需的权限。请验证授予了足够的权限并且解决了 Windows 用户帐户控制(UAC)限制问题。

错误: 用户“ts\***”不具有所需的权限.请验证授予了足够的权限并且解决了 Windows 用户帐户控制(UAC)限制问题. 解决: 当从客户端用IE连接http://xxx.xxx.xxx.xxx/Reports/Pages/Folder.aspx 访问报表管理器时,出现上面错误,则必须在"主文件设置"里,添加相关用户以及对应的权限.如下所示:

AD用户帐户属性对照表

用户帐户属性对照表,一部分经常用到,免得到处找,列在下面参考参考: "常规"标签姓 Sn名 Givename英文缩写 Initials显示名称 displayName描述 Description办公室 physicalDeliveryOfficeName 电话号码 telephoneNumber电话号码:其它 otherTelephone 多个以英文分号分隔电子邮件 Mail网页 wWWHomePage网页:其它 url 多个以英文分号分隔"地址"标签国家/地区 C