特权帐户对Active Directory造成的额外危险

在任何组织中，都有某些帐户被指定为特权帐户。这些特权帐户与标准用户帐户的不同之处在于，它们有权执行超出标准用户能力范围的操作。这些操作因帐户的性质而异，但可以包括从设置新用户帐户到关闭关键任务系统的任何操作。

特权帐户是必不可少的工具。没有这些账户，IT员工将无法完成其工作。与此同时，特权帐户可能对组织的安全构成严重威胁。

特权帐户的附加风险

想象一下，一个黑客设法窃取了一个标准用户的密码，并能够以该用户的身份登录。即使黑客当时可以访问某些资源，它们也会受到用户权限（或缺乏权限）的限制。换句话说，黑客可以浏览互联网，打开一些应用程序，并访问用户的电子邮件，但仅此而已。

显然，用户帐户被泄露是一个大问题，但黑客使用该帐户所能做的是有限的。然而，对于黑客获取特权帐户的情况，情况并非如此。有权访问特权帐户的黑客控制受害者的IT资源。

对于那些负责确保组织IT资源安全的人来说，这有点进退两难。一方面，特权帐户是执行日常管理任务所必需的。另一方面，这些说法对本组织的安全构成了生存威胁。

清除组织中的特权帐户

组织消除特权帐户相关危险的一种方法是采用零信任安全。零信任安全是一种理念，本质上说，除非证明网络是可信的，否则网络上的任何内容都不应被信任。

这种理念还与另一种称为最少用户访问（LUA）的IT理念密切相关。LUA指的是这样一种想法，即用户应该只拥有完成其工作所需的最低权限。同样的理念也适用于IT专业人士。

基于角色的访问控制通常用于限制特权帐户能够执行一个非常特定的特权功能，而不是对整个组织具有完全的无限制访问权限。

特权访问管理选项

组织限制特权帐户的另一种方式是采用特权访问管理解决方案。特权访问管理（通常称为PAM）旨在防止特权帐户被网络犯罪分子利用。

有几个不同的技术供应商提供PAM解决方案，它们的工作方式都略有不同。然而，通常情况下，通常具有特权的帐户受到限制，使其行为类似于标准用户帐户。如果管理员需要执行特权操作（需要提升权限的任务），则管理员必须从PAM系统请求这些权限。执行此操作后，将授予特权访问权限，但时间非常有限，访问权限仅足以执行请求的任务。

尽管PAM限制特权帐户的方式可以减少这些帐户被滥用的机会，但保护任何特权帐户以防止其被泄露仍然很重要。

增加了一层安全性

无论您是在实现零信任还是在降低特权帐户被滥用的可能性，您的帮助台都是一个危险的端点，需要额外的安全层。一种方法是采用Specops安全服务台，该服务台旨在防止黑客联系服务台并请求在特权帐户（或任何其他帐户）上重置密码，作为访问该帐户的一种方式。

安全服务台允许用户重置自己的密码，但如果有人联系服务台要求重置密码，则安全服务台软件将要求在允许重置密码之前对呼叫者的身份进行最终验证。事实上，在身份验证过程完成之前，帮助台技术人员甚至无法重置呼叫者的密码。

此过程涉及帮助台技术人员向与帐户关联的移动设备发送一次性代码。当呼叫者收到此代码时，他们会将其读回帮助台技术人员，由技术人员将其输入系统。如果代码正确，则技师可以重置帐户密码。

还值得注意的是，Specops Secure Service Desk与零信任计划完全一致，因为在确认身份之前，请求密码重置的服务台呼叫方被视为不受信任。您可以在此处的Active Directory中免费测试Specops Secure Service Desk。