保护特权用户帐户的九个实践

2019-12-24 23:21
网络安全和信息化 2019年6期
关键词:身份验证帐户特权

尽管业内权威一再提醒管理特权账户的重要性,许多特权帐户仍然未受到保护、不被重视或管理不善,使它们成为容易被攻击的目标。基于这些现实情况,本文列出了几条保护特权账户的实践,仅供IT管理员和安全管理员参考。

1.自动发现特权账户,并对其进行集中化追踪

如果您想管理公司的特权账户,实现账户信息安全化,随着公司发展的壮大,您需要一个能够自动化定期扫描网络、检测新账户,并登记管理的应用程序,将成为PAM(特权访问管理)战略的组成部分。

2. 安全集中存储特权账户

摒弃过去那种本地化、单独分散式的、需要由许多团队共同维护的数据管理模式,正确的做法是将部门的特权帐户和凭据存储在一个集中的存储库中。此外,使用如今严密的加密算法(如AES-256)来保护您存储特权帐户凭证的存储库,以避免恶意访问。

3. 设置特权访问权限,明确用户角色

特权帐户被安全地存储于存储库后,针对用户对其的访问就可以进行有效的管理与控制了。对于PAM管理员来讲,需要明确划分各IT成员的角色,使该角色仅具有其所需的最低访问权限,同时确保特权账户不是针对日常活动,如阅读邮件、浏览网页等设定。

4.设定多重身份验证

根据Symantec公司的2016年互联网安全威胁报告,通过使用多重身份验证的方法,可以有效避免大部分的漏洞。对于PAM管理员和用户而言,实施双重或多重身份验证可以保证敏感数据的访问安全。

5.消除纯文本式特权帐户凭据共享行为

PAM管理员不仅要关注消除因角色划分不明确而带来的安全隐患,同时也要实现安全地共享实践。同时借助PAM管理工具,使用户无需查看或输入该凭证,就可以一键式连接到目标设备。

6.严格的自动密码重置策略

对于IT团队的管理而言,每个特权账户都使用同一个密码,能够使工作相对轻松容易许多。但是这种方法却极其危险,会导致整个网络环境出现高危漏洞。为了消除固定密码以及未授权访问带来的安全隐患,您需要将密码自动重置视为PAM策略中不可分割的一部分。

7.临时访问的控制实施

当用户需要账户凭证访问某个远程资产时,强制要求他们给公司的PAM管理员发送访问申请。PAM管理员将只为用户提供临时访问凭据的权限,同时可通过设置访问时间、在规定的访问时间到期时能够撤销访问权限并强制消除密码。

8.停止在脚本文件中嵌入凭据

许多应用程序需要频繁访问数据库和其他应用程序,以查询与业务相关的信息。使用固定的密码使管理员的工作更加轻松,但也为黑客们提供了便捷的入侵途径。当应用程序需要使用其他应用程序或远程资产的特权帐户时,IT部门利用安全API直接查询PAM工具。

9.审计

审计记录、实时警报和通知确实让工作变得更轻松,通过与内部事件管理工具的集成,将PAM活动事件与公司其他事件进行整合分析,智能识别异常并提供通知。

上述实践并不是安全战略的终极方案,我们还需要做更多的工作。卓豪Password Manager Pro是一个面向企业的特权对象管理软件,用于管理服务器、网络设备、数据库以及各种应用程序的密码,以及各种SSL、SSH数字证书等。帮助集中存储安全对象信息、安全共享密码、实施标准化的密码策略、追踪密码访问历史、控制用户非法使用,助力企业实现安全化的管理规范要求。

猜你喜欢
身份验证帐户特权
无聊是一种特权
不允许任何人有超越法律的特权:《毛泽东给雷经天的信》
不允许任何人有超越法律的特权:《毛泽东给雷经天的信》
断开Windows10和微软帐户链接
声纹识别认证云落户贵州
Analysis of Strategies and Procedures Employed in Translating Literary and Non—literary Texts from the Perspective of Functionalist Theory
基于Windows下的文件保密隐藏系统的设计与实现
『人大代表』不该成为特权符号