如何恰当地限制特权账户？

· 使用数据丢失工具来监控网络、服务器、共享和端点的活动，以防数据泄露或渗出。

现在市面上有很多工具可提供对特权账户的额外限制，这些特权访问管理系统各有不同，并可用来增强上述控制。除了这些系统，限制特权账户数量、监控特权账户活动、确保问责制、职责分离和保护敏感数据就已足够。

限制特权账户

限制特权账户很多时候取决于IT组织的规模，管理员越多，企业就越容易根据最小权限来限制访问。在小团体中，每个人都履行不同的职责，限制访问更具挑战性。然而，如果没有问责制或监控，特权用户可能会误入歧途。这里有三种类型的控制：

· 预防性控制：让特权账户只能访问用户负责的系统和缓解。

· 检测性控制：确保特权账户活动是全面且安全的，并由使用管理员无法访问的SIEM或系统日志服务器来监控。

· 纠正性控制：确保部署足够的备份和恢复控制，以在特权用户滥用的情况下，让系统回复到正常状态。

企业可使用这些控制或者适当组合这些控制来有效控制特权账户。安全以及对特权账户的控制不一定是繁重或破坏性的，深思熟虑的拓扑结构、访问权限、监控和恢复程序可减少特权用户风险，并允许他们履行自己的工作职责。