若要檢視英文版的文章,請選取 [原文] 核取方塊。您也可以將滑鼠指標移到文字上,即可在快顯視窗顯示英文原文。
譯文
原文

開始使用 Privileged Access Management

 

本指南包含示範 Microsoft Identity Manager 和 Active Directory 網域服務功能的指示,適用於跨樹系管理的權限系存取管理。

在針對全球各個企業發動的複雜網路攻擊中,攻擊者通常著重於取得系統管理權限。特別是,它們可能會使用「傳遞雜湊」、矛網路釣魚或其他技術,取得擁有跨網域或樹系之系統管理權限的使用者存取權。這些攻擊會更嚴重,因為許多使用者擁有其 Active Directory 帳戶所關聯的永久系統管理權限。如果攻擊者竊取任一使用者帳戶,然後可做為該使用者登入或執行程式,攻擊者接著會有系統管理權限。擔心內部攻擊和限制存取 IT 外包可能性的組織,也會積極改善控制項或具有高權限存取權的使用者。《保護 Active Directory 的最佳作法》文件強調「排除高權限群組中的永久成員資格」和「實作控制項,視需要授與權限群組中的暫時成員資格」,且本指南示範了如何使用 Active Directory 和 Microsoft Identity Manager 的預先發行版本來達成這些控制。

權限存取管理 (PAM) 的解決方案架構根據兩個概念:

  • 藉由管理使用者的存取權而非其認證來控制,並運用 Active Directory 群組以提供該存取權

  • 擷取並隔離現有 Active Directory 樹系的系統管理帳戶

此方案主要著重於網域帳戶,使用者將做為系統或跨多個服務之特定集合的角色或應用程式系統管理員進行驗證和授權,其依賴使用 Active Directory 裝載安全性群組的 Kerberos (或 ADFS)。這個測試實驗室指南不打算涵蓋服務帳戶、本機系統管理員帳戶、共用的帳戶或非 AD 環境的案例。

顯示: