审核管理员访问权限的 5 个步骤

具有管理和提升权限的帐户对于业务和 IT 功能都是必需的，但它们会给您的组织带来重大风险。在粗心或不满的内部人员或对手手中，特权凭证为数据泄露、基础设施中断和合规违规打开了大门。

据 Forrester 称，高达 80% 的数据泄露涉及特权帐户。降低这种风险的关键是采用现代的特权访问管理 (PAM) 方法。它使您能够将现有特权帐户的数量减少到绝对最低限度，从而大大降低风险，而不是尝试使用密码保管库等策略来防止数百或数千个强大的帐户被滥用。以下是要采取的步骤。

步骤 1. 发现具有特权访问权限的所有帐户

第一步是揭露您的所有特权帐户。有些帐户很容易识别，例如那些属于强大安全组（如域管理员）成员的帐户。但有些不太明显；事实上，据估计，在大多数组织中，超过一半的特权是未知的。特别容易忘记 DBA 等较低级别的管理员和有权访问高度敏感数据或系统的业务用户。

为了简化工作，请考虑将所有用户帐户分为以下组：

• 管理员/root/超级用户
• 基础设施/应用程序/高级用户
• CEO/CFO/CISO/高级业务用户
• 工作人员/普通用户

步骤 2. 识别每个特权帐户的所有者

许多特权帐户将分配给特定的个人。但确定某些帐户的所有者可能具有挑战性。以下有关每个系统的数据可以提供帮助：

• 身份验证源 - 特权帐户的身份验证来源可以是具有明确所有者的工作站或服务器。
• 每个用户个人资料的上次修改日期 - 如果用户的个人资料最近被修改，则可以很好地表明他们是系统的活跃用户，因此他们可以通过以下方式确定帐户的所有者对系统的特权访问。
• 每个用户配置文件的大小 - 如果有许多用户使用某个系统，请查找配置文件最大的用户。
• 当前登录用户 - 当前正在访问系统的用户可能拥有有关谁拥有相关特权帐户的信息。
• 上次登录的用户 - 同样，最近登录过系统的任何人都可以帮助识别帐户所有者。
• 服务类型 - 对于服务帐户，服务类型可以很好地引导您找到应用程序所有者。

步骤 3. 与所有者合作了解每个帐户的用途

采访每个特权帐户的所有者，了解它的用途以及它需要什么访问权限 - 以及是否仍然需要它。以下是您可能想问的一些问题：

• 该帐户的目的是什么？它是用来做什么的？
• 执行这些操作是否需要特权？
• 如果账户由多人共享，如何确保个人责任？

步骤 4. 删除不再需要的帐户

在帐户所有者签字同意后，删除不需要持久访问权限的特权帐户，首先从最关键的资源开始。要确定优先顺序，请考虑以下因素：

• 帐户可以访问哪些资源 - 例如，有权访问域控制器的帐户比用于管理打印服务器的帐户更重要。
• 这些资源所在的位置——测试实验室的管理帐户可能不如生产环境中的管理帐户那么重要。
• 资源的敏感性 - 帐户是否有权访问受监管的财务数据或个人健康记录，或者 CRM 或 ERP 等重要应用程序？

对于无法删除的帐户，请将其访问权限减少到执行其功能所需的最低限度。请注意，服务帐户尤其经常被过度配置。

步骤 5. 实施零常设特权 (ZSP)

现在，您只剩下一组特权帐户，您知道它们实际上是有用途的。但即使它们只是偶尔使用，它们也有 24/7 被滥用的风险。

借助现代 PAM 解决方案，您可以用即时 (JiT) 访问取代这些有风险的常设权限。实施JiT有两种方法：

• 临时帐户 - 当用户需要执行需要提升权限的任务时，创建一个存在时间足以完成该任务的帐户。
• 临时权限提升 - 或者，授予用户现有帐户执行任务所需的权限，并在任务完成后立即将其删除。

获得特权访问的幸福

通过揭示 IT 生态系统中的所有特权身份并用 ZSP 方法替换它们，您可以显着降低安全性、合规性和业务连续性的风险。毕竟，如果特权帐户不存在，它就不会被泄露。