如何恰当地限制特权账户？

· 小部分工作人员要求管理人员在网络、系统、应用、安全和数据库管理员水平填补冲突的工作职责。

限制特权账户

管理员需要比一般用户更高的访问权限来访问系统资源以完成其工作。例如，对网络设备配置的任何微小变化都会影响整个企业，限制访问权限可能不利于IT运营和系统可用性。但企业仍然通过职责分离、监控活动、变更控制要求、最小权限和问责制等基本控制来限制特权账户，这些控制包括：

· 限制特权账户的数量。

· 并非所有管理员需要域账户或对外部安全管理器的超级用户特权，例如大型机IBM的RACE、CA-ACF2或CA-Top Secret。

· 在分配特权账户时使用Active Directory Administrative Groups。

· 确保特权账户使用自己的账户，他们可以有特权账户，但他们应该使用一般用户账户，因为指定管理员才可拥有特权账户。

· 所有特权活动应该被记录，日志应该直接路由到SIEM，这样日志无法被删除或修改。

· 对于所有远程访问，管理员应该使用多因素身份验证。对于所有三层网络设备和关键任务子网时，应该需要代理或跳跃服务器以及AAA TACACS/RADIUS服务器来获得访问权限。

· 可由管理员访问的敏感数据应该进行加密以减小风险。

· 管理员密码应该由企业控制，并由Group Policy Object执行，而无一例外。

· 技术管理人员应执行定期账户认证，以确保是否仍然需要特权账户访问权限。

· 数据库管理员不需要域账户，他们需要访问权限来维护数据库、模式和执行数据库库重组。如果他们需要修改数据，应受到数据库监控。

· 使用防火墙VLAN、代理服务器和ACL来分隔网络，让管理员只能访问他们负责的系统。

· 信息安全账户需要规定安全结构，但他们不需要访问权限来读取或修改生产数据。这些账户因由SIEM监控，活动应进行管理审查。

· 技术管理员不应该有域账户，除非因为人员配备不足而需要。管理人员和信息安全人员应该监控特权账户活动。