浅议特权账号防护措施

举报
尚思卓越 发表于 2023/11/08 15:28:06 2023/11/08
【摘要】 尽管业内权威一再提醒管理特权账号的重要性,许多特权账号仍然未受到保护、不被重视或管理不善,使它们成为容易被攻击的目标。基于此类情况,本文列出了几条保护特权账号的最佳实践方法,仅供IT管理员和安全管理员参考实践。一、自动发现特权账号,并对其进行集中化追踪       如果想管理公司的特权账号,实现账号信息安全化,那么,首先要做的是,针对公司内部、外部网络上的全部关键资产、关联账号以及关联凭证进...

尽管业内权威一再提醒管理特权账号的重要性,许多特权账号仍然未受到保护、不被重视或管理不善,使它们成为容易被攻击的目标。基于此类情况,本文列出了几条保护特权账号的最佳实践方法,仅供IT管理员和安全管理员参考实践。

一、自动发现特权账号,并对其进行集中化追踪

       如果想管理公司的特权账号,实现账号信息安全化,那么,首先要做的是,针对公司内部、外部网络上的全部关键资产、关联账号以及关联凭证进行有效的发现。随着公司发展的壮大、基础架构的扩展,您要保证IT团队具备超强的“发现”能力(即搜索发现资产信息),以便于应对特权账号的增多情况,对其进行持续的跟踪管理。一个能够完全自动化定期扫描网络、检测新账号,并登记管理的应用程序,将成为PAM(特权账号管理)最佳战略的组成部分。

二、安全集中存储特权账号

       摒弃过去那种本地化、单独分散式的、需要由许多团队共同维护的数据管理模式。同时更为重要的是,要极力避免员工在便利贴上记下自己的密码,或者以纯文本的方式保存密码。这种做法不但要承担大额风险,也会带来一系列的问题,例如越来越多的过期密码、团队协同合作问题,进而导致工作效率低下。正确的做法是,将所有部门的特权账号和凭据存储在一个集中的存储库中。此外,使用现在严密的加密算法(如国密SM4)来保护您存储特权账号凭证的存储库,避免恶意访问。

三、消除纯文本式特权账号凭据共享行为

         PAM管理员不仅要关注消除因角色划分不明确而带来安全隐患,同时也要实现安全地共享实践。确保数据安全,在不需要以纯文本方式暴漏凭证、明文密码等信息的前提下,提供员工或用户针对IT资产的访问权限。同时借助PAM管理工具,用户无需查看或输入该凭证,就可以一键式连接到目标设备。

四、严格的自动密码重置策略

        对于IT团队的管理而言,每个特权账户都使用同一个密码,能够使工作相对轻松容易许多,但是,这种方法却及其危险,会导致整个网络环境出现高危漏洞。想要安全管理特权账号,需要使用一个超强、独一无二的定期重置密码策略。为了消除固定密码以及未授权访问带来的安全隐患,您需要将密码自动重置视为PAM策略中不可分割的一部分。

五、停止在脚本文件中嵌入凭据

        许多应用程序需要频繁访问数据库和其它应用程序,以查询与业务相关的信息。公司通常通过在应用程序中嵌入带有明文凭据的配置文件或脚本的方式,实现该过程的自动化。但是这为管理员识别、更改和管理这些嵌入式的密码带来极大挑战。使用固定的密码,保证了业务执行的效率,使管理员的工作更加轻松,但也为不怀好意的黑客们提供了便捷的入侵途径。为解决该问题,IT团队可以利用安全API,即当应用程序需要使用其它应用程序或远程资产的特权账号时,利用安全API直接查询PAM工具。

特权账号管理系统是一个特权账号管理软件,用于全面管理服务器、网络设备、数据库以及各种应用程序的密码等。帮助集中存储安全对象信息、安全共享密码、实施标准化的密码策略、追踪密码访问历史、控制用户非法使用,实现安全化的管理规范要求。

【版权声明】本文为华为云社区用户原创内容,转载时必须标注文章的来源(华为云社区)、文章链接、文章作者等基本信息, 否则作者和本社区有权追究责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱: cloudbbs@huaweicloud.com
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。