提高特权帐户安全性的技巧

在本文中，我将了解 Windows Server 2016 中的特权访问管理 (PAM) 如何实现即时 (JIT) 管理，从而帮助保护特权用户帐户。

这似乎是一个与计算本身一样古老的问题，或者，根据你的观点，这只是一个小问题，不值得失去太多睡眠。但高特权帐户的激增是许多组织开始认真对待的一个问题，这主要是由于监管的加强和代价高昂的数据泄露。

特权漂移

特别是与 Microsoft 无处不在的目录服务解决方案 Active Directory (AD) 相关，特权域帐户的完整性至关重要，但特权帐户管理最佳实践通常被忽视。例如，您是否知道域管理员帐户只能用于登录域控制器。这并不是一个极端的措施，因为一旦域管理员帐户受到威胁，您必须考虑整个网络受到威胁，这可能会导致域重建成本高昂。

但最常见的问题是，IT 员工被授予了域管理员权限或其他高级权限，但从未放弃过这些权限。当然，有真正的原因可能需要暂时需要域管理员权限来执行批准的更改，但永远不应该授予这些权限。

即时管理

为此，微软正在通过 Windows Server 2016 中的 JIT 管理来补充目前 Windows 中已经存在的 Just-Enough-Administration 功能，该功能将于 2016 年 9 月发布。利用堡垒域，其中特权帐户被隔离，这是一种新类型Windows Server 2016 PAM 是 Active Directory 中信任和身份验证功能的重要组成部分，旨在使攻击者更难破解特权 AD 帐户，并使公司更容易重新获得对受损 AD 林的控制权。

PAM 要求用户请求使用特权帐户的权限，只有在请求获得批准后，才能使用堡垒林中的影子安全主体授予权限。 Microsoft 决定为其 PAM 解决方案提供堡垒林，以便组织能够更好地控制用户何时以及如何成为特权组成员，并帮助在攻击后建立对域的控制。

在堡垒林中分配有时间限制的组成员资格，从而向用户颁发有时间限制的 Kerberos 票证授予票证。换句话说，您可以确保用户在有限的时间内保留权限。由于 Microsoft 的解决方案基于 Kerberos（AD 中的默认身份验证协议），因此只有 Kerberos 应用程序和服务才能遵守 PAM 确定的时间限制。但是，对于内置 Windows 服务和应用程序来说，这不应该是问题。

PAM 工作流程

PAM 涉及实施工作流，为此，Microsoft 推荐了自己的 Microsoft Identity Manager (MIM) 解决方案。目前尚不清楚 Windows Server 2016 PAM 是否支持其他身份管理解决方案。除了 MIM 提供的可自定义工作流程之外，AD 还会记录每个请求、授权方式以及用户拥有所请求权限时发生的操作。