P

Windows Active Directory域的特权访问管理

保护 任何 具有特权访问权限的Windows帐户

许多风险来自 特权访问。这些风险可能来自组织内部的外部攻击或恶意内部人员。无论哪种方式,风险都使其对 确保特权访问的安全性 每时每刻。

特权访问管理(PAM)主要被视为用于保护 最特权的 帐户– Windows本地管理员帐户,域管理员帐户,Active Directory服务帐户,以及统治整个网络环境的任何内容。 但是,PAM的真正价值在于将其用于保护任何具有访问关键数据,应用程序和系统的帐户的能力。 任何有权访问敏感,特权,保护或其他有价值数据的帐户,都应以某种方式进行同等监控,在某些情况下,如果满足某些条件,则拒绝访问。

在这里,我们了解登录管理如何帮助组织保护两者。通过增强IT部门限制和响应特权帐户使用的能力,IT人员可以轻松保护非特权帐户访问的安全,同时增强PAM的安全性。

Windows Active Directory的登录管理

IS决策 登录管理解决方案, 用户锁 ,在登录时通过基于Windows的网络提供了全面的安全性。通过结合使用可强制执行的登录策略,警报和响应操作,UserLock独特地使IT组织能够限制与任何类型的特权访问相关的风险。

1.保护任何类型的特权访问

每个用户都具有访问权限和特权,并且是某种特权用户。 (请考虑财务数据,知识产权...)。但是,无法轻松地将PAM解决方案的使用范围一路扩展到最后一个“非特权”用户帐户,这给用户增加了额外的安全步骤,也给IT部门增加了负担。 d还需要一个偶数 降低 非特权级别帐户以用于向PAM进行身份验证。

登录管理减轻了这两组用户的负担。这样可以确保所有帐户都不会被滥用。它使IT部门可以轻松地“保护,管理和监视”(用Gartner的话)“非特权”访问而不会给用户造成负担。

增强“非特权”访问的安全性

显然,大多数组织都使用PAM来保护特权帐户,例如域和本地管理员类型的帐户。但是,实际上,任何访问敏感,特权,受保护或有价值的数据的帐户都应该以某种方式进行同等监控,在某些情况下,如果满足某些条件,则拒绝访问。

例如,销售负责人的用户帐户似乎并没有特别的“特权”,但是可以完全访问您的客户数据库。

因此,围绕该帐户的使用提供一层安全保护-以及类似的在传统上不被视为“特权”的帐户-符合大多数组织希望通过访问关键数据,应用程序和系统来保护帐户的愿望。

登录管理的作用

虽然登录管理不会在凭证中保留凭据,而是在要求时提供对它们的访问权限,但它确实为组织提供了登录时的保护层,从而确保该帐户不会被滥用或被盗用。

登录管理通过以下方式增强了非特权访问的安全性:

  • 使用访问策略限制登录 –可以建立限制来限制何时可以登录帐户,仅使用批准的会话类型而不使用并发会话等从哪个计算机,设备或IP地址登录,从而有助于减少不当使用的风险。
  • 为非特权帐户使用提供可见性 –可以将PAM配置为在使用特权帐户时通知IT。 IT需要对帐户的使用(如先前提到的“销售”帐户)具有相同级别的实时可见性,因此他们知道帐户的异常行为(例如在星期五晚上9:45 pm登录)可能表明存在潜在威胁。
  • 应对凭证滥用 –通过远程锁定,强制注销或重置任何Windows会话,对发现不适当的任何用户活动进行自动或基于警报的响应。

2.更好地保护最特权用户(系统/管理员帐户)

考虑PAM背后的安全要求。如果将Gartner定义分解为我们的需求集,则有3个明确的要点:

  1. “提供特权访问” –您需要确保合适的用户具有适当的高级访问权限来完成其工作。
  2. “满足合规性要求” –具有可审核的方式来证明仅批准访问。
  3. “保护,管理和监视特权帐户和访问” –锁定帐户,定义哪些人可以访问它们,知道它们的使用时间,并在出现滥用情况时做出响应。

所有这些要求都取决于PAM本身之外的单个因素-用户需要首先进行身份验证。但是许多PAM解决方案都依赖Windows登录凭据来确定该用户可以应用哪些策略以及可以访问哪些帐户。

因此,要使PAM有效,您实际上首先需要确保登录安全。

登录:安全PAM的基础

如果您的PAM解决方案能像Microsoft那样坚定您的话,那就是问题。请在以下两种情况下滥用内部帐户:

  1. 恶意内部人员使用其他用户的凭据所有员工中近一半与同事共享其证书1。这不仅是组织中的低级角色;包括来自法务,人事,IT,财务等关键部门的员工。如果内部员工决定执行恶意行为,则他们可以登录,通过PAM解决方案进行身份验证,并可以访问一个或多个特权帐户。
  2. 外部攻击者会破坏用户的凭据 –所有数据泄露中几乎有一半涉及黑客攻击。和 黑客使用的第一大策略是凭证被盗2,这使这种情况变得太真实了。攻击者对于当今使用的安全解决方案非常明智,因此可以毫不费力地认为他们可能正在寻求对PAM解决方案的访问,以查看他们是否可以访问特权帐户。

简而言之,如果仅基于特权帐户是正确的用户帐户来访问特权帐户, 您的PAM不安全。需要的是额外的安全层,以防止这种凭证滥用 之前 PAM 曾经进入图片.

通过登录管理保护PAM

登录管理解决方案通过监视Windows登录,利用策略,工作流,警报和响应操作来提供增强的保护,以使IT知道异常登录并在他们需要响应问题时控制登录。

本质上,通过将PAM与登录管理分层,可以为IT提供所需的可见性层,以了解登录是否适当 在授予对特权帐户的访问权限之前。

登录管理可以通过两种方式帮助PAM:

1)登录管理实现了PAM中不一定存在的限制

PAM 解决方案在访问和使用特权帐户方面有其自身的限制。例如,特定用户可能只能在工作时间内访问一个特定的特权帐户。而且,虽然PAM解决方案可能有其自己的一组限制,但大多数都与在何处以及何时可以使用特权帐户有关,并且不对低级帐户施加任何限制。

登录管理的作用

限制有助于降低风险并减少威胁范围。组织越接近最低特权的真实状态,它们就越接近所有人,但消除了特权帐户滥用的风险。

登录管理可用于通过以下方式增强特权帐户使用的安全性:

  • 限制低级别帐户使用 –通过限制帐户可以登录的计算机,IP地址和会话类型,以及限制并发会话的数量,组织可以更好地确保低级用户从已批准的工作站登录,并降低了以下可能性:除帐户所有者以外的任何人使用的低级帐户。
  • 限制特权帐户的使用 –可以使特权帐户登录基于Windows的计算机受到其自身的一系列限制,这些限制位于PAM强制执行的任何限制之上。例如。正确地限制了域管理员帐户对工作站进行故障排除。

2)登录管理可以防止凭据遭到泄露

如果PAM解决方案在每次使用后都不支持或未配置为轮换特权密码,并且特权用户登录到端点,则特权帐户凭据存储在端点的内存中。获得具有本地管理员权限的帐户的外部攻击者可以从端点的内存中提取凭据,并使用该凭据在组织内横向移动。

登录管理的作用

监视登录活动可能有助于识别PAM解决方案之外的异常特权帐户活动,并且有可能在检测到滥用情况时采取措施。

登录管理可以通过以下方法防止受到破坏的凭据:

  • 监视所有登录活动 –登录管理可以识别特权帐户的异常登录时间,并且可以配置为通知IT人员。
  • 应对特权凭证滥用 –如果PAM不包括会话管理(因此特权帐户直接在端点上使用而不通过代理),则IT可以使用登录管理来查看用户活动,锁定会话,注销帐户,甚至禁用帐户的登录能力。

使用UserLock使PAM更安全

随着外部攻击,网络钓鱼诈骗和恶意软件感染的增加,组织正在寻找保护特权访问的方法-特权访问组织最有价值的数据。

使用UserLock的登录管理使IT部门可以轻松地“保护,管理和监视” 非特权 访问而不会给用户造成负担。通过增强IT限制和响应特权帐户使用的能力,它同时增强了PAM的安全性。

因此,当您计划将来的PAM实施,或者正在寻找提高PAM解决方案安全性的方法时-您希望将安全性尽可能地扩展到“非特权”路径的下方,考虑利用登录管理来确保登录安全。

1 IS决策 内幕威胁角色研究 (2017)
2 Verizon, 数据泄露调查报告 (2018)