术语“特权帐户”包括分布在 IT 环境中的各种特权帐户,例如 UNIX 的Root账户、Windows 的 administrator账户、数据库管理账户等等,也包括业务应用程序帐户。 这些帐户通常由信息和通信团队用于设置 IT 基础架构、安装新硬件和软件、运行关键服务以及执行维护操作。 简而言之,特权帐户是可以访问组织关键 IT 资产以及存储在其中的敏感信息的“主密钥”。
特权帐户的类型
本地/内置管理员 帐户是成员服务器和客户端机器上具有绝对控制权的帐户,它包括操作系统、应用程序软件、服务的默认登录帐户等等。如果本地管理员密码较弱、保持不变或在跨设备的多个账户上重复使用,恶意用户很容易在未经授权的情况下登录工作站。 在最坏的情况下,拥有本地管理员帐户或内置系统帐户的攻击者可能对整个机构网络实施遍历,甚至将他们的权限提升为域管理员。
域管理员帐户是极为重要的特权管理账户,使用它可以对域中的每个对象进行最广泛的控制,包括域内所有的工作站、服务器和域控制器。应确保只有少数可信任的管理员才能使用域管理员帐户。 此外,他们也应在域控制器或与域控制器具有同等安全设置的环境中使用,这对于Windows 生态系统尤其重要。
管理性服务帐户是系统程序用来运行应用软件服务或进程的特权帐户。有时,当某个依赖服务需要时,这些帐户可能拥有很高甚至过多的权限。 这也适用于用于运行Windows计划任务的本地或域帐户。由于难于确定服务之间的依赖关系以及实施密码更改可能对业务运行的连续性造成的影响,此类服务帐户密码通常会被设置为“永不过期”。但是,这种静态管理的服务帐户很可成为黑客攻击您的企业业务的“后门”。
Root 帐户 是Unix/Linux 资源中具有最高管理权限的超级用户帐户,通常由系统管理员用来执行核心 IT 操作。Root 帐户可以不受限制地访问系统上的所有文件、程序和其他数据,若管理不当会带来非常大的风险。
应用程序帐户是组织用来在各种应用程序、Web 服务、本机工具之间执行自动通信以满足业务和其他交易需求的凭据。应用程序凭证通常以明文形式嵌入在未加密的应用程序配置文件和脚本中,以实现这种业务通信接口。
嵌入式应用程序帐户用于许多DevOps环境,在这些环境中,通常采用硬编码方式来使用账户凭据以加快软件开发过程、自动化服务交付环节。管理员通常很难识别、更改和管理这些密码,这也成为黑客的一个简单切入点。
特权帐户管理软件应该具备的基本功能
特权帐户因其价值,无论何时都是网络犯罪分子的主要攻击目标。 因此,在寻找合适的特权帐户管理解决方案时,组织应将该过程视为一项长期的网络安全投资,而不是权宜之计。 在评估解决方案以找到适合您企业的完美特权帐户管理解决方案时,参考以下确定的功能点,来决定您组织的特权帐户保护计划的有效性和最终成功的目标。
功能清单
优秀的特权帐户管理解决方案所应包括的关键功能
· 集中化的凭证保险仓库
· 自动发现 IT 资产和特权帐户
· 基于 Web 的访问,具有简单易用的界面
· 传输及存储时具备强大数据加密机制
· 强用户身份验证,例如 AD/LDAP、RADIUS、SAML、智能卡等
· 访问特权账户仓库的多因素身份验证,例如 TOTP、YubiKey 和 Duo Security
· 对存储的特权帐户执行细粒度、基于角色的访问
· 以不同访问权限、范围控制用户对特权账户的访问
· 发布特权凭证时利用审批工作流、工单ID验证等增加数据的双重控制
· 限时访问密码和 SSH 密钥
· 即时控制
· 凭证签出和签入的通知或警报
· 安全 API 以实现应用程序到应用程序的通信以及自动凭证签出
· 定期凭证轮换计划
· 广泛的平台支持,包括经典操作系统、云服务、DevOps 工具、业务应用程序、物联网设备和机器人流程自动化服务
· 不同强度的预制密码/SSH密钥策略
· 内置密码和密钥生成器
· 强制使用强密码和密钥
· 广泛的审计日志模块
· 有关特权帐户活动、密码合规性、访问状态等的交互式、可定制报告。
· 针对 PCI DSS、SOX、NERC CIP 等的开箱即用 (OOTB) 监管合规报告
· 计划报表
· 工单系统、SIEM 工具的开箱即用集成能力
· 应急保障措施管理
· 高可用性和故障转移服务,可不间断访问关键系统的特权帐户
—–数据来源:特权账户是什么? (baidu.com)