【技術(shù)講堂】應(yīng)用程序控制之最小權(quán)限原則

在現(xiàn)代企業(yè)中，終端用戶經(jīng)常使用許多不同的應(yīng)用程序，這些應(yīng)用程序在實際使用中可能會受到安全威脅。終端特權(quán)管理已經(jīng)成為一種必要的手段來確保企業(yè)網(wǎng)絡(luò)和數(shù)據(jù)的安全。應(yīng)用程序控制和終端特權(quán)管理是當(dāng)前最受歡迎和有效的治理工具之一。

為了建立一個強大而安全的IT環(huán)境，就要建立基本的安全原則。根據(jù)Forrester的數(shù)據(jù)，80%的安全漏洞都涉及到特權(quán)賬戶的密碼。隨著風(fēng)險的不斷增加，防止有特權(quán)用戶引起的攻擊已經(jīng)是安全管理的基本原則。最小權(quán)限原則（POLP）就是這樣一種概念，當(dāng)企業(yè)正確實施該原則時，可以顯著減少攻擊面。

最小權(quán)限原則是指將企業(yè)范圍內(nèi)的權(quán)限降至最低，以滿足實體工作所需的最低權(quán)限。它不僅適用于用戶，也適用于系統(tǒng)、進程、應(yīng)用程序、服務(wù)和其他設(shè)備。

企業(yè)實施“最小權(quán)限原則”的方法

在量化和確定每個員工的需求后，建議將大多數(shù)用戶帳戶設(shè)為“標(biāo)準(zhǔn)”或“最低特權(quán)用戶”帳戶。這些用戶帳戶將只具有進行日常業(yè)務(wù)關(guān)鍵活動所需的特權(quán)，沒有訪問其他網(wǎng)絡(luò)資源的管理權(quán)限。以下是企業(yè)實施“最小權(quán)限原則”的方法：

• 建立最小權(quán)限原則的第一步是識別權(quán)限過度分配的終端。必須發(fā)現(xiàn)網(wǎng)絡(luò)中存在的所有本地和域管理員帳戶。通過仔細(xì)分析處理這些帳戶的用戶的需求來評估是否需要。必須及時刪除不必要的管理員帳戶。

• 域管理員帳戶擁有域內(nèi)所有終端的管理員權(quán)限。在向該組添加用戶時，組織必須保持警惕，并嚴(yán)格刪除任何不需要完全控制的帳戶。

• 本地管理員賬戶擁有其所在計算機的完全控制權(quán)限。作為最容易被利用的特權(quán)類型，必須強化審查。刪除所有不必要的本地管理員帳戶是建立“最小權(quán)限原則”最關(guān)鍵的部分。

• 在計算機中創(chuàng)建并添加到管理員組的本地用戶帳戶被視為本地管理員帳戶?？梢酝ㄟ^手動將其轉(zhuǎn)為標(biāo)準(zhǔn)用戶組或部署腳本來撤銷這些特權(quán)。

企業(yè)實施“最小權(quán)限原則”的難點

盡管企業(yè)都有很強的安全意識，并且知道需要實現(xiàn)“最小權(quán)限原則”，那么為什么還沒有實現(xiàn)呢？因為企業(yè)在這里遇到了這些難題：

• 找到和管理本地管理員帳戶可能會很費力，因為每臺計算機中可以創(chuàng)建并隱藏多個此類賬戶。

• 最小權(quán)限原則的實施可能會對生產(chǎn)力產(chǎn)生影響。雖然提高了安全性，但是當(dāng)標(biāo)準(zhǔn)用戶帳戶需要管理員級別權(quán)限執(zhí)行最后一刻的關(guān)鍵任務(wù)時該怎么辦？

ManageEngine卓豪如何幫助企業(yè)實現(xiàn)最小權(quán)限原則?

ManageEngine卓豪的應(yīng)用控制模塊可以管理應(yīng)用程序及其特權(quán)訪問，賦予了企業(yè)能夠建立最小權(quán)限原則的能力，并且不必?fù)?dān)心生產(chǎn)力下降。

一、控制應(yīng)用程序訪問

創(chuàng)建軟件的黑白名單，管理誰有運行哪個應(yīng)用程序的特權(quán)。

二、應(yīng)用級別的特權(quán)訪問管理

使用終端特權(quán)管理，可以提升特定應(yīng)用程序的權(quán)限，而不是提升用戶特權(quán)。這使得經(jīng)授權(quán)的用戶可以從其標(biāo)準(zhǔn)用戶帳戶以管理員身份運行必要的應(yīng)用程序。

三、刪除特權(quán)賬戶

批量自動來刪除特權(quán)帳戶，解決IT管理員無從入手的難題。

“最小權(quán)限原則”的收益

• 由于超過80％的操作系統(tǒng)漏洞需要管理員權(quán)限才能成功利用，減少管理員帳戶的存在可以減少此類攻擊的可能性。即使發(fā)生攻擊，最小權(quán)限原則的實施也能夠防止惡意軟件以管理員特權(quán)執(zhí)行而產(chǎn)生的影響。這可以大大減少可能發(fā)生的損害，并防止其進一步傳播到網(wǎng)絡(luò)中的其他資源。

• 此外，91％的網(wǎng)絡(luò)攻擊是由于釣魚郵件，非技術(shù)性的普通員工往往成為受害者。對于這些用戶保持最小權(quán)限可以減少此類攻擊的影響。

• 強制實施最小權(quán)限可以幫助企業(yè)遵守各種監(jiān)管合規(guī)要求。即使此類法規(guī)不是企業(yè)實現(xiàn)的必要條件，建立最小權(quán)限原則仍能強化網(wǎng)絡(luò)安全環(huán)境。