热门提示：如何强化特权帐户安全

特权帐户是具有访问系统和数据的扩展权限的用户帐户，例如 Unix 中的 root 帐户和 Windows 中的管理员帐户。有时它们被称为“王国的钥匙”，因为特权帐户使您能够执行普通用户无法执行的操作，例如更改系统的配置或查看和删除敏感数据。

通过触手可及的访问，用户可以做任何事，也可以做坏事。这取决于谁做了什么以及为什么。

您是否需要担心遵循管理特权帐户的最佳实践？

如果您只有五台电脑、一台路由器和一名有大量空闲时间的系统管理员，您可能不需要严格的特权帐户管理实践 - 但您对此人非常信任。如果您的环境较大，则需要仔细遵循最佳实践，以确保安全性并满足维护安全网络的合规性标准。

为了能够让特权用户对其行为负责，必须能够回答以下问题：

• 谁在特定时间有权访问给定系统？
• 谁实际访问了该系统以及采取了哪些具体操作？

例如，假设数据库中的客户信息被泄露到 DarkNet。在日志中，您可以看到管理员帐户登录到 SQL 并复制了数据库 - 但由于 10 个人拥有该帐户的密码，因此无法准确找到是谁执行的。此外，如果没有特权用户活动监控，您甚至无法确定它是否是这 10 个人中的一个，因为任何帐户都可能受到恶意内部人员或外部攻击者的危害。

如何确保 AD 中特权帐户的安全？

• 控制对资源的访问 - 使用 Microsoft Active Directory 组是控制对资源的访问和实施最低权限模型的最佳方式。它还使您能够轻松枚举对任何资源的权限，无论是 Windows 文件服务器还是 SQL 数据库。
• 委派控制 - 委派使您能够向用户或组授予他们所需的权限，而无需将他们添加到域管理员和帐户操作员等特权组中。完成委派的最简单方法是使用 Microsoft 管理控制台 (MMC) Active Directory 用户和计算机 (ADUC) 管理单元中的控制委派向导。
• 使用强密码 - Microsoft Active Directory 密码策略功能使组织能够通过适当的密码和帐户锁定策略强制使用强密码。您甚至可以为域中的不同用户组定义不同的策略。您可以通过 Windows Server 上适当的密码策略 GPO 强制使用强密码；各种设置使您能够控制密码复杂性、有效期和其他要求。例如，您可以要求管理员定期更改密码；理想情况下，每次使用帐户时都应自动更改密码。 （在此处阅读有关密码策略最佳实践的更多信息。）
• 实施帐户锁定策略 - 如果在指定时间段内输入错误密码达到指定次数，帐户锁定策略将禁用用户帐户。此策略可帮助您防止攻击者猜测用户的密码，从而减少对您的网络进行成功攻击的机会。 （在此处了解有关帐户锁定最佳实践的更多信息。）
• 启用审核 - Windows 审核策略定义在 Windows 服务器的安全日志中写入哪些类型的事件。 监视对象的创建和修改可以帮助您发现潜在的安全问题、确保用户责任并在发生安全漏洞时提供证据。
• 配置 NTFS 权限 - NTFS 权限的主要优点是它们基于 Windows 登录时授予每个单独用户的权限，无论用户从何处连接。 （在此处了解有关 NTFS 权限最佳实践的更多信息。）
• 使用用户行为分析 (UBA) - 传统防御策略通常集中在外围，因此无法识别内部威胁或正在进行的攻击网络。 UBA 可让您了解关键 IT 系统中的用户活动，以便您发现这些安全问题。 （了解 Netwrix Auditor 提供的行为异常发现如何帮助您改进对恶意内部人员和受损帐户的检测。）

你还能做什么？

第三方解决方案可以帮助您实施提高特权帐户安全性所需的控制和策略。特别是，帐户管理安全解决方案可以帮助您准确地配置和取消配置特权帐户，而密码库可以安全地存储特权凭据。您准备好更进一步了吗？您可以遵循以下有效的最佳实践来控制 IT 环境中的特权用户。

在特权滥用：威胁警报中了解有关特权帐户如何变成威胁的更多信息