最小特权原则指南

组织为降低安全漏洞风险可以做的最基本的事情之一是实施最小权限原则 (POLP)。阅读此博客，了解 POLP 是什么以及如何使用此原则来加强您的安全状况。

最小特权定义原则

什么是最小特权原则？最小权限原则 (POLP) 或“最小权限原则”是一种安全最佳实践，要求将权限限制到执行作业或任务所需的最低限度。

实施最小权限安全原则的一个关键方面是限制用户、管理员和计算机帐户的访问权限。例如，销售人员不应被授予访问财务记录的权限，营销人员不应具有管理员权限。

然而，最小权限原则具有更广泛的适用性，包括对服务器机房和数据中心等敏感区域的物理访问控制。

组织可以通过实施 POLP 实践获得许多好处。这些包括：

• 更好的安全性：POLP 可以限制内部威胁（包括恶意攻击和错误）造成的损害，因为用户只能访问完成工作所需的 IT 资源。
• 减少权限升级的机会：限制特权访问帐户的数量使第三方攻击者更难访问敏感数据和系统。
• 防御其他攻击：实施最小权限原则可以限制恶意软件和相关威胁在网络内的传播。

实施 POLP 的核心安全实践

三个关键策略对于实施最小特权原则特别有价值：

限制用户帐户的权限

降低风险的最有效但尚未得到充分利用的方法之一是确保每个用户仅拥有完成工作所需的权限类型和级别。毕竟，如果用户无权访问敏感数据，他们就不会意外地将这些文件附加到电子邮件中，也不会故意下载这些文件以便在退出时带给竞争对手。如果对手接管了用户的帐户，他们将只能访问有限的 IT 资源。

使用即时 (JIT) 策略授予提升的访问权限

即时 (JIT) 访问涉及每次用户请求访问资源时创建新凭据。用户完成任务后，系统会自动销毁这些凭据。

JIT 通常用于临时需要高级访问或访问他们通常不使用的应用程序、系统、服务器或其他 IT 资源的员工。特别是，组织可以向需要执行管理任务（例如解决支持票证）的 IT 团队成员授予即时访问权限。当然，为了与零信任安全模型保持一致，该过程应包括验证请求访问者的身份。

以零常设特权为目标

零常设特权 (ZSP) 是一种与 JIT 紧密结合的特权访问管理 (PAM) 策略。一旦您能够在需要时有效地向用户授予更高的访问权限，您就可以消除他们“始终在线”的特权帐户。

实施 ZSP 可以显着减少您企业的攻击面。事实上，当今许多组织拥有数十个甚至数百个帐户，这些帐户对敏感数据和应用程序拥有更高的权限。这些帐户的所有者（或组成这些帐户的攻击者）可能会故意或无意地修改关键软件设置或删除有价值的数据。但由于常设特权为零，这些账户缺乏必要的提升权利来造成这种严重损害。相反，管理员必须请求完成特定任务所需的提升权限。

如何实施最小权限原则

为了增强信息安全性，请按照以下步骤实施最小权限原则 (POLP)。

发现

扫描并编目连接到公司网络的所有系统和目录。枚举所有帐户和所有组的成员身份，包括所有内置管理组。

定期审查特权

定期检查所有帐户和组的权限，尤其是那些有权访问 Active Directory (AD) 等重要资源的帐户和组的权限。理想情况下，使用能够实现基于角色的权限配置的解决方案，使数据所有者能够轻松查看其数据的访问权限，并提供使用户能够直接向资源所有者请求访问权限的工作流程。

监视器

审核特权帐户的使用情况。确保任何时间暴露的任何凭证在使用后都会轮换。通过适当的控制机制，确保在不再合适时删除权利。

最小权限最佳实践

在实施最小权限原则时，请记住以下最佳实践和最小权限原则示例。

根据用户角色或任务的要求最小化权限

每个用户帐户都应该使用户能够执行其工作中需要执行的操作。

最小化非人类帐户（例如服务帐户）的权限

在测试环境中实施应用程序，您可以在其中准确确定服务帐户需要哪些权限。一些供应商表示，即使较少的权限就足够了，也需要管理访问权限。此外，请务必更改服务帐户的默认凭据。

定期执行访问审查，以确保遵循最小权限原则

员工更换角色或部门很常见，但不太常见的是他们的访问权限在每次变化时都得到适当调整。随着时间的推移，员工通常会建立大量权限，因此删除不需要的权限以降低系统和数据的风险非常重要。

相关最佳实践

实施最小权限原则是减少攻击面和增强安全性的好方法。但是，请务必使用以下其他关键最佳实践来完善您的安全策略：

仅在手头任务需要时才使用特权帐户。

每个管理员都应该拥有一个具有标准权限的用户帐户，可以阅读电子邮件、浏览互联网等。他们应该仅在需要执行管理任务时使用授予提升权限的凭据登录。

审核所有帐户的活动，尤其是特权帐户。

您必须能够跟踪和分析用户何时以及如何进行身份验证、他们执行哪些任务以及他们在环境中进行的具体更改。

为 IT 管理帐户实施多重身份验证。

应要求管理员进行正常身份验证（例如使用用户 ID 和密码），然后在每次想要执行管理任务时使用不同的身份验证机制（例如硬件令牌或指纹）完成第二步。

Netwrix 如何提供帮助

Netwrix 特权访问管理软件使您能够用即时特权访问取代常设特权帐户。 Netwrix PAM 解决方案可以帮助您的组织：

• 降低安全风险 - 当管理员需要提升权限来执行特定任务时，您可以创建具有必要权限的临时帐户，也可以暂时提升用户现有帐户的权限。无论哪种情况，一旦任务完成，提升的访问权限就会立即消失，不会留下常设账户供对手妥协或所有者滥用。
• 安全特权访问 - 通过使用针对特定操作和资源定制的精细策略对每个特权会话强制执行上下文多因素身份验证 (MFA)，根据零信任原则验证身份。
• 发现不当特权活动 - 密切监控所有特权帐户活动，并立即收到有关本地和云端可疑行为的警报。
• 通过自动清理最大限度地减少攻击面 - 通过在每个特权会话后自动清除 Kerberos 票证，降低哈希传递、黄金票证和相关攻击的风险。

经常问的问题

最小特权三项原则是什么？

最小特权的三个原则是：

• 机密性：保持数字数据的机密性，这涉及确保只有授权用户才能访问特定资产
• 完整性：确保数据真实、正确、可靠，因为它没有被篡改
• 可用性：确保授权用户在需要时能够可靠、及时地访问 IT 资源

这些原则一起被称为中央情报局三合会。它们应该成为每个公司安全策略的基石。

最小权限的示例是什么？

在具有最小权限的情况下，组织中的每个用户只能访问他们完成工作所需的资源。例如，软件开发公司的销售团队无权访问开发人员正在构建的代码，并且开发人员无权访问销售人员联系潜在客户和完成交易所需的客户信息。

为什么最小权限原则很重要？

实施最小权限原则可以限制用户（或凭证受损的对手）可以访问的 IT 资源，从而减少公司的攻击面。