Skip to main content

管理管理员凭据

学习目标

完成本单元后,您将能够:

  • 定义特权访问管理系统。
  • 介绍最小特权原则。

特权访问管理

虽然密码管理器在生成和保护个人密码方面非常出色,但您需要一个更安全的系统来保护特权用户(也称为管理用户)的凭据。特权凭据是凭据(如密码)的子集,它们提供跨帐户、应用程序和系统的升级访问权限和权限。特权密码可与人、应用程序、服务帐户等关联。 

特权访问管理 (PAM) 解决方案提供一种存储机密的方法,例如密码和加密密钥(与加密[或扰乱]明文的算法结合使用的单词、数字或短语)。PAM 解决方案使用集中工具来管理、委派和审计特权访问。PAM 帮助组织实施最小权限,这是用户仅获取完成工作所需的必要访问权限级别的原则。 

特权帐户密码策略

为保护您的系统,组织应该为特权帐户密码制定和执行一套明确的策略,并与使用和管理这些帐户的所有相关方共享。

对于组织来说,为用户访问的帐户和其他系统访问的帐户制定特权帐户密码策略是一个不错的主意。这些策略应包括强制使用长密码和人员帐户使用多重身份验证 (MFA)。 

密码轮换标准可确保系统化轮换每个帐户、系统、网络硬件设备、应用程序和服务的密码。轮换标准应包括该更新密码时自动通知利益相关方。 

实施最小特权

保护您的网络外围对于安全性和数据保护而言是不够的。我们不止一次地看到政府和私营部门系统因为网络凭据被破解而导致数据泄露。在这些个案中,攻击者伺机获取特权帐户的访问权限,这样他们能够访问敏感数据和私人记录。 

设置管理凭据时,考虑实施最小特权原则 (POLP)。我们之所以在安全培训中频繁提到 POLP,是因为这是一种基本方法,我们可以通过这种方法确保系统安全。回顾一下,最小特权原则是 IT 安全设计原则,可将访问权限和项目特权限制为仅为工作所需权限。这是一把钥匙能打开所有门和一把钥匙只能打开特定门的区别。

实施最小特权的一方面在于删除对系统端点的完全本地管理员访问权限。例如,仅需要创建备份权限的用户帐户不需要安装软件,因此该帐户只拥有运行备份和备份相关应用程序的权限。应阻止任何其他特权,如安装新软件。 

要使特权管理更简单,根据用户身份、用户请求的访问权限以及请求上下文自动授权最小权限是一个不错的主意。用户应只能访问工作所需的系统,而不应该获得信息的一般访问权限。 

这意味着,例如,人力资源 (HR) 部门的 Sally 应该无法访问正在进行全球交易的财务部门的 Bilal 的数据库。良好的特权访问管理意味着 Sally 可以访问她完成工作所需的所有 HR 记录,而 Bilal 可以访问他工作所需的所有财务记录,但他们无法访问彼此的文件。  

两个用户对不同的系统有不同的访问级别。

选择特权访问管理 (PAM) 解决方案

许多 PAM 解决方案提供了各种功能和部署选项。您可以在决定实施之前测试和评估几个功能和选项。PAM 实现的一个重要因素是确保您具有明确定义的用例和用户简档。使用 PAM 为服务帐户管理、发现功能、资产和漏洞管理及分析等分配访问级别。

如果您的组织没有资源来维持经过安装、配置和管理这些解决方案培训的安全人员,考虑使用可以为您执行这些功能的受管服务提供商 (MSP)。 

执行连续特权帐户发现

确保特权访问安全的最重要步骤之一是确定对服务器、云服务、数据库和其他系统的特权访问的所有有效使用。这不但确保特权帐户是有效的,也能识别无效的帐户。例如,当人员在部门间调动或离开公司时,不仅要跟踪授权情况,还要跟踪特权删除情况,这很重要。 

应始终使用自动机制监控特权帐户,以识别恶意或意外活动。您可通过此活动分析了解用户行为,确保您的访问系统是最新的,并且检查最小特权是否应用得当。

知识检查

准备好检验您所学内容了吗?以下知识检查不打分——仅是一个简单的自我检测方式。开始时,将左列中的说明拖到右侧匹配字词旁边。完成所有匹配项目后,单击 Submit(提交)查看成绩。要重新开始,请单击 Reset(重新设置)

做得好!

资源

在 Salesforce 帮助中分享 Trailhead 反馈

我们很想听听您使用 Trailhead 的经验——您现在可以随时从 Salesforce 帮助网站访问新的反馈表单。

了解更多 继续分享反馈