在現代企業中,終端使用者經常使用許多不同的應用程式,這些應用程式在實際使用中可能會受到安全威脅。終端特權管理已經成為一種必要的手段來確定企業網絡和資料的安全。應用程式控制和終端特權管理是目前最受歡迎和有效的治理工具之一。
為了建立一個強大而安全的IT環境,就要建立基本的安全原則。根據Forrester的資料,80%的安全漏洞都涉及到特權賬戶的密碼。随着風險的不斷增加,防止有特權使用者引起的攻擊已經是安全管理的基本原則。最小權限原則(POLP)就是這樣一種概念,當企業正确實施該原則時,可以顯著減少攻擊面。
最小權限原則是指将企業範圍内的權限降至最低,以滿足實體工作所需的最低權限。它不僅适用于使用者,也适用于系統、程序、應用程式、服務和其他裝置。
企業實施“最小權限原則”的方法
在量化和确定每個員工的需求後,建議将大多數使用者帳戶設為“标準”或“最低特權使用者”帳戶。這些使用者帳戶将隻具有進行日常業務關鍵活動所需的特權,沒有通路其他網絡資源的管理權限。以下是企業實施“最小權限原則”的方法:
- 建立最小權限原則的第一步是識别權限過度配置設定的終端。必須發現網絡中存在的所有本地和域管理者帳戶。通過仔細分析處理這些帳戶的使用者的需求來評估是否需要。必須及時删除不必要的管理者帳戶。
- 域管理者帳戶擁有域内所有終端的管理者權限。在向該組添加使用者時,組織必須保持警惕,并嚴格删除任何不需要完全控制的帳戶。
- 本地管理者賬戶擁有其所在計算機的完全控制權限。作為最容易被利用的特權類型,必須強化審查。删除所有不必要的本地管理者帳戶是建立“最小權限原則”最關鍵的部分。
- 在計算機中建立并添加到管理者組的本地使用者帳戶被視為本地管理者帳戶。可以通過手動将其轉為标準使用者組或部署腳本來撤銷這些特權。
企業實施“最小權限原則”的難點
盡管企業都有很強的安全意識,并且知道需要實作“最小權限原則”,那麼為什麼還沒有實作呢?因為企業在這裡遇到了這些難題:
- 找到和管理本地管理者帳戶可能會很費力,因為每台計算機中可以建立并隐藏多個此類賬戶。
- 最小權限原則的實施可能會對生産力産生影響。雖然提高了安全性,但是當标準使用者帳戶需要管理者級别權限執行最後一刻的關鍵任務時該怎麼辦?
ManageEngine卓豪如何幫助企業實作最小權限原則?
ManageEngine卓豪的應用控制子產品可以管理應用程式及其特權通路,賦予了企業能夠建立最小權限原則的能力,并且不必擔心生産力下降。
一、控制應用程式通路
建立軟體的黑白名單,管理誰有運作哪個應用程式的特權。
二、應用級别的特權通路管理
使用終端特權管理,可以提升特定應用程式的權限,而不是提升使用者特權。這使得經授權的使用者可以從其标準使用者帳戶以管理者身份運作必要的應用程式。
三、删除特權賬戶
批量自動來删除特權帳戶,解決IT管理者無從入手的難題。
“最小權限原則”的收益
- 由于超過80%的作業系統漏洞需要管理者權限才能成功利用,減少管理者帳戶的存在可以減少此類攻擊的可能性。即使發生攻擊,最小權限原則的實施也能夠防止惡意軟體以管理者特權執行而産生的影響。這可以大大減少可能發生的損害,并防止其進一步傳播到網絡中的其他資源。
- 此外,91%的網絡攻擊是由于釣魚郵件,非技術性的普通員工往往成為受害者。對于這些使用者保持最小權限可以減少此類攻擊的影響。
- 強制實施最小權限可以幫助企業遵守各種監管合規要求。即使此類法規不是企業實作的必要條件,建立最小權限原則仍能強化網絡安全環境。