什么是特权账户?
术语“特权帐户”包括分布在 IT 环境中的各种特权帐户,例如 UNIX 的Root账户、Windows 的 administrator账户、数据库管理账户等等,也包括业务应用程序帐户。 这些帐户通常由信息和通信团队用于设置 IT 基础架构、安装新硬件和软件、运行关键服务以及执行维护操作。 简而言之,特权帐户是可以访问组织关键 IT 资产以及存储在其中的敏感信息的“主密钥”。
特权帐户的类型
本地/内置管理员 帐户是成员服务器和客户端机器上具有绝对控制权的帐户,它包括操作系统、应用程序软件、服务的默认登录帐户等等。如果本地管理员密码较弱、保持不变或在跨设备的多个账户上重复使用,恶意用户很容易在未经授权的情况下登录工作站。 在最坏的情况下,拥有本地管理员帐户或内置系统帐户的攻击者可能对整个机构网络实施遍历,甚至将他们的权限提升为域管理员。
域管理员帐户是极为重要的特权管理账户,使用它可以对域中的每个对象进行最广泛的控制,包括域内所有的工作站、服务器和域控制器。应确保只有少数可信任的管理员才能使用域管理员帐户。 此外,他们也应在域控制器或与域控制器具有同等安全设置的环境中使用,这对于Windows 生态系统尤其重要。
管理性服务帐户是系统程序用来运行应用软件服务或进程的特权帐户。有时,当某个依赖服务需要时,这些帐户可能拥有很高甚至过多的权限。 这也适用于用于运行Windows计划任务的本地或域帐户。由于难于确定服务之间的依赖关系以及实施密码更改可能对业务运行的连续性造成的影响,此类服务帐户密码通常会被设置为“永不过期”。但是,这种静态管理的服务帐户很可成为黑客攻击您的企业业务的“后门”。
Root 帐户 是Unix/Linux 资源中具有最高管理权限的超级用户帐户,通常由系统管理员用来执行核心 IT 操作。Root 帐户可以不受限制地访问系统上的所有文件、程序和其他数据,若管理不当会带来非常大的风险。
应用程序帐户是组织用来在各种应用程序、Web 服务、本机工具之间执行自动通信以满足业务和其他交易需求的凭据。应用程序凭证通常以明文形式嵌入在未加密的应用程序配置文件和脚本中,以实现这种业务通信接口。
嵌入式应用程序帐户用于许多DevOps环境,在这些环境中,通常采用硬编码方式来使用账户凭据以加快软件开发过程、自动化服务交付环节。管理员通常很难识别、更改和管理这些密码,这也成为黑客的一个简单切入点。
为什么 Password Manager Pro 是您首选的特权帐户管理解决方案
ManageEngine卓豪 Password Manager Pro 是为企业量身打造的基于网络的特权账户管理解决方案。 该解决方案允许您存储、共享、管理、监控和审核组织中任何特权帐户的生命周期。 Password Manager Pro 具有一系列功能,例如帐户发现、强大的保险库机制、精细访问控制、自动密码重置、SSL 证书生命周期管理、用户活动审核和安全远程访问,所有这些功能都内置于单一平台中 是确保 IT 环境中特权帐户安全所需的一种解决方案。