盡管業內權威一再提醒管理特權賬戶的重要性，許多特權帳戶仍然未受到保護、不被重視或管理不善，使它們成為容易被***的目標。基於這些現實情況，本文列出了幾條保護特權賬戶的最佳實踐，僅供IT管理員和安全管理員參考實踐。

1. 自動發現特權賬戶，並對其進行集中化追蹤

如果您想管理公司的特權賬戶，實現賬戶信息安全化，那麽，首先要做的是，針對公司內部、外部網絡上的全部關鍵資產、關聯賬戶以及關聯憑證進行有效的發現。隨著公司發展的壯大、基礎架構的擴展，您要保證IT團隊具備超強的“發現”能力（即搜索發現資產信息），以便於應對特權賬戶的增多情況，對其進行持續的跟蹤管理。一個能夠完全自動化定期掃描網絡、檢測新賬戶，並登記管理的應用程序，將成為PAM（特權訪問管理）最佳戰略的組成部分。

2. 安全集中存儲特權賬戶

摒棄過去那種本地化、單獨分散式的、需要由許多團隊共同維護的數據管理模式。同時更為重要的是，要極力避免員工在便利貼上記下自己的密碼，或者以純文本的方式保存密碼。這種做法不但要承擔大額風險，也會帶來一系列的問題，例如越來越多的過期密碼、團隊協同合作問題，進而導致工作效率低下。正確的做法是，將所有部門的特權帳戶和憑據存儲在一個集中的存儲庫中。此外，使用現在嚴密的加密算法（如AES-256）來保護您存儲特權帳戶憑證的存儲庫，避免惡意訪問。

3. 設置特權訪問權限，明確用戶角色

特權帳戶被安全地存儲於存儲庫後，針對用戶對其的訪問就可以進行有效的管理與控制了。正如高級網絡安全中心（ACSC）所述，“根據用戶職責限制其對操作系統和應用程序的管理權限。” 對於PAM管理員來講，需要明確劃分各IT成員的角色，使該角色僅具有其所需的最低訪問權限，同時確保特權賬戶不是針對日常活動，如閱讀郵件、瀏覽網頁等設定。

4. 設定多重身份驗證（針對員工及第三方人員）

根據Symantec 的2016年互聯網安全威脅報告，通過使用多重身份驗證的方法，可以有效避免高達80％的漏洞。對於PAM管理員和用戶而言，實施雙重或多重身份驗證可以保證敏感數據的訪問安全。

5. 消除純文本式特權帳戶憑據共享行為

PAM管理員不僅要關註消除因角色劃分不明確而帶來安全隱患，同時也要實現安全地共享實踐。確保數據安全，在不需要以純文本方式暴漏憑證明文密碼等信息的前提下，提供員工或用戶針對IT資產的訪問權限。同時借助PAM管理工具，使用戶無需查看或輸入該憑證，就可以一鍵式連接到目標設備。

6. 嚴格的自動密碼重置策略

對於IT團隊的管理而言，每個特權賬戶都使用同一個密碼，能夠使工作相對輕松容易許多，但是，這種方法卻及其危險，會導致整個網絡環境出現高危漏洞。想要安全管理特權賬戶，您需要使用一個超強、獨一無二的定期重置密碼策略。為了消除固定密碼以及未授權訪問帶來的安全隱患，您需要將密碼自動重置視為PAM策略中不可分割的一部分。

7. 臨時訪問的控制實施

建立這樣一個策略：當用戶需要賬戶憑證訪問某個遠程資產時，強制要求他們給公司的PAM管理員發送訪問申請。為增強安全控制，PAM管理員將只為用戶提供臨時訪問憑據的權限，同時可通過設置訪問時間、在規定的訪問時間到期時能夠撤銷訪問權限並強制消除密碼。進一步，PAM管理工具還應可以在用戶消除密碼後自動重置密碼。

8. 停止在腳本文件中嵌入憑據

許多應用程序需要頻繁訪問數據庫和其它應用程序，以查詢與業務相關的信息。公司通常通過在應用程序中嵌入帶有明文憑據的配置文件或腳本的方式，實現該過程的自動化。但是，這為管理員識別、更改和管理這些嵌入式的密碼帶來極大挑戰。使用固定的密碼，保證了業務執行的效率，使管理員的工作更加輕松，但也為不懷好意的***們提供了便捷的***途徑。為解決該問題，IT團隊可以利用安全API，即當應用程序需要使用其它應用程序或遠程資產的特權帳戶時，利用安全API直接查詢PAM工具。

9. 審計

言而總之，全面的審計記錄、實時警報和通知確實讓工作變得更輕松，這些過程不僅記錄了每個用戶的操作，同時也實現了針對所有與PAM管理相關責任的明確及透明性。通過與內部事件管理工具的集成，將PAM活動事件與公司其它事件進行整合分析，智能識別異常並提供通知。這為綜合事件分析，以及檢測漏洞將提供了極大的幫助。

上述實踐並不是安全戰略的終極方案，我們還需要做更多的工作。根據Verizon的2019年數據泄露調查報告，在2017年確認的2,216個數據泄露事件中，201個是由於特權濫用造成的。這樣的統計數據深刻的提醒我們，不僅要保護特權帳戶，還應關註與特權賬號活動相關的會話的記錄與管控，時刻保持警惕，防止異常訪問。您的PAM戰略應涵蓋針對關鍵資產的特權訪問控制（該內容也應涵蓋針對身份及訪問的管理計劃），這是保護機構數據安全的最好辦法；同時註意安全界隨著企業發展的延伸，對安全管理戰略要求的變化，時刻謹記網絡犯罪與我們並不遙遠。

卓豪Password Manager Pro是一個面向企業的特權對象管理軟件，用於全面管理服務器、網絡設備、數據庫以及各種應用程序的密碼，以及各種SSL、SSH數字證書等。幫助集中存儲安全對象信息、安全共享密碼、實施標準化的密碼策略、追蹤密碼訪問歷史、控制用戶非法使用，助力企業實現安全化的管理規範要求。

登陸官網了解Password Manager Pro更多功能!
還可下載30天免費試用版搶先體驗！

保護特權用戶帳戶的九個最佳實踐