- 综合排序
- 最热优先
- 最新优先
- 来自专栏用户10793914的专栏
特权账号管理有误区?
随着账号风险事件的频繁发生,各个组织越来越重视特权账号的安全管理,但在日常实践中,我们发现各个组织对特权账号安全管理普遍存在以下误区一、不够重视对特权账户保护保护特权账户并不完全包含在对数据的分类保护、 当发生人事调动,以及使用了不同的系统时,特权账户的使用情况会发生变化,一旦不进行妥善处理,就会留下内部人员账户权限过大以及僵尸特权账号的问题,从而留下内部以及外部的安全隐患。 二、特权账户只是针对人的有管理者认为特权账户的管理只是针对人员的,因此,只要从规范上对人进行足够的安全保护以及教育,就能做好特权账户的保护。 事实上,特权账户的保护,除了与人相关,也与软件相关:不同的软件、应用、服务在相互之间交互的时候,也需要通过账户进行,因此对于企业在日常运营、开发过程中,也会产生各类特权账号。 三、不知道自己有多少特权账户基于以上两点,大部分的企业很多时候对特权账户的管理是十分混乱的:他们不知道自己有哪些特权账户、这些特权账户都能做些什么、这些特权账户都在哪里。
76210编辑于 2023-12-08 - 来自专栏用户10793914的专栏
轻松搞懂特权账号的管理难点
就特权账户安全管理工作而言,如何识别锁定并妥善保管安全凭证,监控特权账户行为,确保特权账户安全,成为了信息防护的首要难点。一、特权账户的密码保管。 还有一系列中间件、应用代码中配置静态数据库密码,导致数据密码无法管理或者管理分散,不能全面落实安全基线的要求。二、特权账户的权限管理。 部分特权账户没有推行最小权限原则,被多人共享,且第三方运维人员更换频繁,账号交接不及时,安全性无法保证。三、特权账户的操作跟踪不清晰。 特权账号存在共享情况,当越权或滥权操作发生时无法实时报警和自动策略阻断,对于安全事件进行分析时,也无法定位具体负责人。 特权账号管理系统具有三大管理模块:账号的全生命周期管理,风险检测中心,账号领用中心。这三大管理模块,可以从账号本身的管理,系统的风险检测预警和业务支持等各个方面保证信息系统中的特权账号的受控和安全。
90120编辑于 2023-11-20 - 来自专栏网络技术联盟站
特权账号安全管理解决方案,浅谈那些”一人之下,万人之上“的特权账号!
-image.png] 获取凭据是黑客成功的必要条件 100% 的泄露都涉及到了凭信息据丢失 高级持续性威胁APT首先尽各种可能找到可以利用的特权账号,例如:域管理员、具有域权限的服务启动账号、本地管理员账号和拥有业务特权的账号 的Cluster服务、计划任务、中都需要绑定域账号 网络、安全设备中的root或者enable账号 内部管理软件比如备份,监控等系统的管理员账号 特权账号管理要求 [1627623168646-image.png 管理范围全面 管理类账号、应用内嵌类账号 不同管理接口:zos,ssh,odbc,http,win等 账号使用作严格控制 双因素认证 双人会同、分段发放、不允许知晓密码 变更管理 账号使用监控 监控访问会话 ,具有资产属性特征的生命周期; 2、建立统一的安全管理机制,逐步覆盖所有重要用户,实现对用户从生成到注销的全生命周期监控与审计; 3、利用PDCA思想,建立整个生命周期管理过程,覆盖特权账号管理的各个环节 - 24小时不间断地监控 - 特权账号恶意行为检测 - 高风险活动报警 实时响应 - 特权会话终止 - 特权账号使用情况可以做为证据 建立用户台账; 安全责任落实; 自动策略合规;
2.4K41发布于 2021-08-18 - 来自专栏用户10793914的专栏
五分钟掌握对特权账号管理的原由
弱密码账号的危害高:通常数据中心资产都存在大量的弱密码账号,在护网、攻防演练、甚至黑客入侵中,入侵方首要的突破口就是通过撞库、爆破等手段探测弱密码账号,根据获取的弱密码账号进行提权、横向渗透。 采用密码分段管理,加强密码的安全存储,历史密码完整留存,且可以应急恢复,全部采用国密存储,安全性更上一层楼。 管理手段落后:在未实施特权账号管理系统时,管理员通常采用文件的方式保存密码,这种人工管理的方式极易出错,同时也容易造成密码泄露。之前有客户就出现过因密码文件被利用而造成的安全事故。 账号清单不掌握:数据中心账号种类繁多、数量庞大,无法清晰查看账号分布情况、汇总信息,以及账号使用情况。 使得管理员无法掌握资产账号的分布情况,以及每个账号的状态,从而也无法根据每个账号的情况去制定安全策略。下图是使用PAM后的效果,可以看出账号的分布情况一目了然。
42951编辑于 2023-11-16 - 来自专栏用户10793914的专栏
从西工大安全事件浅谈特权账号管理系统
当这些账号口令被输入和传输时,相关数据被这些工具获取并打包发出,为其后续攻击提供的线索。从而可见:对于核心数据资产账号口令的安全管理,是防范此类攻击的重要一环。 特权账号管理系统,采用全新的自主可控的安全架构,对各类数据中心核心数据资产的账号口令,进行自动化、智能化的安全管理,为数据中心安全防护的闭环管理进行赋能。 主要表现在如下方面:账号密码的自动化和智能化的管理,大大减少了运维人员人工输入账号密码的几率,从而使网络嗅探工具和键盘记录工具无用武之地;数据存储和传输采用国密加密手段,从而保证账号密码在系统的存储和传输过程中采用国密加密方案 ,减少了被嗅探的风险;采用一次一密技术,在数据资产的账号被领用后,系统对其进行自动改密,从而使得网络嗅探工具无法获取的有效的账号密码;自身采用多重身份认证机制,保证了自身的安全,从而减少了破解工具进入到特权账号管理系统内部的可能 应对网络攻击是个系统工程,特权账号管理系统对资产账号的自动化、智能化管理,可以增强用户数据中心的安全性,是应对网络攻击和勒索病毒的有效利器。
38110编辑于 2023-12-20 - 来自专栏用户10793914的专栏
特权账号管理系统(PAM)同堡垒机一样吗?
特权账号管理系统和堡垒机在产品定位上不同:1. 图片两者的主要区别如下:1.从管理对象上看:特权账号管理系统是针对特权账号进行集中化的生命周期管理,管理的对象不但包括运维人员使用的账号也包括应用程序中内嵌的账号;堡垒机的管理对象本质上是对数字资产的访问行为 ,还包括对访问会话的监控、审计等功能;2.从管理的侧重点上看:特权账号管理系统侧重账号控制;堡垒机侧重访问控制;3、从管理的目的上看:特权账号管理系统是通过实现对特权账号的安全管理,最终保证的是数字资产的访问凭证安全可控 特权账号管理系统可以独立使用,也可以配合堡垒机作为整体方案使用;5. 堡垒机依赖特权账号管理来提高安全性。 二者是一个系统的两个独立的组成部分,两者有区别但又相互联系,不能单纯的将特权账号管理系统等同于堡垒机。
1.4K30编辑于 2023-10-24 - 来自专栏FreeBuf
密码的安全管理,OA登录锁定策略及特权账号管理方案| FB甲方群话题讨论
4.企业有没有引入特权账号安全管理的方案? 最低的账号标准是账号连续5分钟内累计登录失败10次,自动锁10分钟,单账号累计失败10次后,在自动锁结束后,每登录失败一次自动延锁10分钟,用户可使用MFA解锁;连续多账号3分钟内累计登录失败60次,针对 话题三 企业有没有引入特权账号安全管理的方案? A1: 曾经想引入,测试了3家以后发现不满足需求。 测试结果虽然打钩,但是管理方面还是比较简单粗暴而且很多问题。打勾只是表示部分功能可实现。 特权账号放到配置中心统一管理,再加上审计,这样感觉应该算是一个解决的办法。 A3: 你应该要考虑网络准入+网络准入的身份认证,所以SDWAN+VPN也需要考虑。 至于特权账号管理,虽然在技术上还存在诸多难点,但总体思路仍需要从密钥管理、身份认证、审计及监控等角度出发,构建出成体系的方案思路。 本期话题讨论到此结束啦~
2.3K30编辑于 2023-02-10 - 来自专栏科学Sciences
特权访问管理(PAM)之零信任特权Zero Trust Privilege
特权访问管理(PAM)之零信任特权Zero Trust Privilege 文|centrify,译|秦陇纪,数据简化DataSimp©20190126Sat 目录 B 特权访问管理(PAM 图:从传统特权访问管理向云就绪零信任特权的转变 支持云的零信任权限旨在处理不仅是人而且还有机器,服务和API的请求者。 您想要的最后一件事是要离开的数据库管理员(DBA),但仍保留其特权访问权限。 特权访问的最佳实践是为每个管理员建立唯一的帐户以用于管理目的。 结论 为了提供ZeroTrust,今天的特权访问管理(PAM)解决方案不能仅仅依赖于快速离开共享帐户。它们必须详细介绍特权帐户和会话管理以及权限提升和委派管理。但显然这还不够。 为了充分验证请求者是谁(或什么),今天的云就绪特权访问管理(PAM)必须包括特权身份和访问管理,多重身份验证以及权限威胁分析。
2.8K30发布于 2019-07-15 - 来自专栏大闲人柴毛毛
Linux账号管理
Linux的账号管理包括用户与用户组,它们两者是多对多的关系,即一个用户可以属于多个用户组,且一个用户组可以包含多个用户。一个用户组中的用户具有相同的权限。 在Linux中,用户的账户信息和用户组信息都记录在指定的文件中,这些文件构成了Linux用户管理的基础。下面我们就详细介绍Linux用户管理相关的文件。 Linux的账号文件 1. /etc/gshadow 这个文件用于存储用户组的密码,这个文件主要作用是:如果root管理员非常忙,没空管每个用户组的成员,那么可以指定几个用户组管理员,专门管理每组成员的添加与删除。 表示本用户组无管理员。 4.3 本用户组的管理员账号 4.4 该用户组的成员账号 账号管理 了解了这些文件的构成后,接下来我们使用目录来操作这些文件,从而实现用户账号的管理。 1. 1.8 -r 创建一个系统管理员账号。 1.9 -s 指定这个账户的shell。 1.10 -e 设置账号失效日期,格式为:YYYY-MM-DD。 1.11 -f 设置密码失效日。-1表示永不失效。
7.7K70发布于 2018-03-09 - 来自专栏kafka专栏
Linux账号管理
;可以设置多个系统管理员 但是不建议这样做; 1~499(系统账号)这个范围是保留给系统使用的ID ; 这个范围会有 /nologin 的情况,那么nologin是什么意思呢? 举例来说,各个系统账号中,打印作业有lp这个账号管理, www 服务器有apache这个账号管理,他们都可以进行系统程序的工作,但就是无法登陆主机而已。 ④/etc/group /etc/gshadow (省略) 2 账号管理 2.1 新增与删除用户:useradd,相关配置文件,passwd,usermod,userdel groupdel [groupname] 4.gpasswd:用户组管理员功能 作用是 让某个用户组具有一个管理员,这个使用后管理员可以管理哪些账号可以加入/移除 (该用户组的管理员) -M 将某些账号加入这个用户组中 -r 删除这个组的密码 -R 让密码失效 下面是用户组管理员有权限执行的 -a 将某位用户加入到这个组中 -d
4.7K40发布于 2021-07-14 - 来自专栏云计算D1net
如何处理云端特权用户管理?
那么,企业应该如何保护与其环境相关的特权账户以及部署强大特权用户管理呢? 在大多数基础设施即服务(IaaS)云中,主要有几种形式的管理或根级访问。 基本特权用户管理概念 首先,企业需要重新审视特权用户管理的核心概念,这包括职责分离和最低权限访问模型。很多云服务提供商包含内置身份和访问管理工具,允许为每个用户和组创建不同的政策。 这允许安全团队帮助设计特权政策,让管理员只能执行其角色绝对需要的操作。 理想情况下,拥有管理器权限的用户将使用受批准的多因素方法来访问管理控制台,以及所有类型云环境中的敏感资产和服务。对于大多数企业,软令牌和证书被证明是特权用户管理中最可行和最安全的选择。 最后,控制管理和根级访问的关键方面是通过管理和监控密钥来执行。大多数管理员账号(特别是那些内置到默认系统镜像的账户,例如亚马逊的ec2-user)需要使用私钥进行访问。
1.1K50发布于 2018-03-27 - 来自专栏计费&账号专家服务
集团账号管理&财务管理
集团账号管理结合集团用户的财务管理方式,提供集团资金划拨模式及集团统一支付模式两种集团财务管理模式,可以结合自身的财务现状进行对应的选择。 childUin=493883885 优惠继承 优惠生效逻辑 :成员账号完全采用管理者账号的优惠 管理者账号折扣新增、删除、修改,成员账号会同步生效, 成员账号单独申请的优惠将不再生效(除特殊业务侧自定价产品外 CDN等) 继承策略 :成员账号仅能继承一个管理者账号,且不允许再被其它账号继承。 优惠继承生效后,享受管理者账号A的合同价优惠,成员账号B单独申请的合同价优惠不再享受。所以请务必确保管理员账号A的优惠已包含所有成员账号B的优惠。 该模式下,集团可以查看名下成员账号的余额、账单信息;为成员账号划拨资金、开票、合并出账;成员账号可以快速继承管理账号的合同价优惠。
3.4K40编辑于 2022-05-19 - 来自专栏云计算D1net
如何在云中处理特权用户管理问题
那么,企业用户应当如何保护与其环境相关联的特权账户,并实施强大的特权用户管理呢? 在大多数的基础设施即服务(IaaS)云中,存在着若干种形式的管理员访问或root访问。 在默认情况下,IaaS环境需要系统创建一个特殊的用户账号作为初始管理员,这个特殊帐户通常仅通过用户名或者带有密码的电子邮件进行身份验证。然后,这个初始管理员账户就可以配置环境并创建新的用户和组。 特权用户管理的基本概念 首先,企业组织应当重新审视特权用户管理的核心概念,其中包括了职责分离和最低权限访问模式。 在理想情况下,拥有管理员特权的所有用户都应在所有类型云环境中使用一个已获批准的多重因素方法来访问管理控制台和任何其他敏感IT资产或服务。 大多数的管理员账户(尤其是那些默认系统镜像中内置的管理员账号,例如亚马逊实例中的ec2-user)都是需要使用私钥来进行访问的。
1.3K80发布于 2018-03-27 - 来自专栏用户画像
1.5.2 特权指令与非特权指令
所谓特权指令是指有特权权限的指令,由于这类指令的权限最大,如果使用不当,将导致整个系统崩溃。比如:清内存、置时钟、分配系统资源、修改虚存的段表和页表,修改用户的访问权限等。 因此,特权执行必须在核心态执行。实际上,cpu在核心态下可以执行指令系统的全集。形象地说,特权指令就是 那些儿童不宜的东西,而非特权指令则是老少皆宜。 为了防止用户程序中使用特权指令,用户态下只能使用非特权指令,核心态下可以使用全部指令。当在用户态下使用特权指令时,将产生中断以阻止用户使用特权指令。 所以把用户程序放在用户态下运行,而操作系统中必须使用 特权指令的那部分程序在核心态下运行,保证了计算机系统的安全可靠。从用户态转换为核心态的唯一途径是中断或异常。
2.8K20发布于 2018-08-24 - 来自专栏CDC上云实践
账号管理实践 - 通过CAM限制子账号权限
大型企业、组织使用云平台时,需要考虑多个员工、多种角色的权限划,比如,管理员和使用者权限分离不同部门赋予不同权限严格控制某些敏感操作或敏感资源的权限腾讯云提供了访问管理(CAM)来帮助客户实现权限管理, 一、概要说明1、什么是访问管理(CAM)图片访问管理CAM是腾讯云提供的权限管理类功能,结合子账号能力,实现多账号登录+子账号权限控制的效果。 3、CAM策略原理CAM的权限策略由3个最基本的属性组成权限规则,子账号:赋予使用者的账号,可协同主账号共同管理账号下资源,并被主账号进行权限管理,操作:用户可以对资源进行的操作,背后就对应云API,比如 2、主账号、管理员、使用者分离主账号具备最高权限,不建议日常使用,仅作为备用手段,不允许日常登录和操作,严格限制登录IP,创建多个具备权限子账号,作为管理员,创建多个只具备一定操作权限和一定资源权限的子账号 ,作为使用者3、严格控制高敏感权限关闭财务权限,禁止子账号进行任何消费行为关闭CAM权限,禁止子账号对CAM进行管理4、读写权限分离CAM中所有操作天然分读写属性,比如创建CVM为写操作,查看CVM为读操作资源管理者分配读权限
6.8K60编辑于 2022-11-16 - 来自专栏程序员充电站(itcharge)
个人账号密码管理体系(账号篇)
所以想要进行完整的账号管理,我们需要准备好「手机号」、「邮箱」和自己定义的「账号 ID / 用户名」,以完成各个平台的账号注册。 2.2 关于隐私问题 我们再来说一下关于账号的隐私问题。 不同注册类型账号管理 上面一节中我们说了,想要进行完整的账号管理,我们需要准备好「手机号」、「邮箱」和自己定义的「用户名」,以完成各个平台的账号注册。下面,我们来分别讲解一下。 3.3.3 多个邮箱号管理 虽然上边提到的邮箱服务都可以通过浏览器打开自己的邮箱。但是还是建议使用专门的邮件管理客户端来管理邮件。这样的好处是可以随时随地的接受到邮件。 域名尽量简短有特点,好记,且辨识度高,这和账号 ID / 用户名要求是差不多的。 5. 总结 现在我们完成了个人账号体系的管理和建设,将多个平台的账号逐一打通。 既使用统一的公开账号对个人品牌进行了宣传,又使用相对私密的私人账号对个人隐私做了保护。 构建一套个人账号管理体系,对自己的众多账号统一整理和规划,实际上也是对生活的一种整理和规划。
6K61发布于 2020-09-10 - 来自专栏网络安全观
特权账户管理:网络安全的小秘密
最严重的事件,无可避免地源于特权凭证(通常是那些用于管理的登录凭证)落入坏人之手。任何思维正常的人,都不会将通往自己领地的钥匙交到坏人手上。但这些坏人非常卑鄙。 身份及访问管理(IAM)的基石之一,是特权账户管理(PAM)。IAM考虑的是确保正确的人能有恰当的权限,在正确的时间,以恰当的方式,访问该访问的系统,且所有牵涉其中的人都认为该访问是正确的。 PAM的主要原则有:杜绝特权凭证共享、为特权使用赋以个人责任、为日常管理实现最小权限访问模型、对这些凭证执行的活动实现审计功能。但不幸的是,现在明显大多数企业的PAM项目并没有跟上不断发展的威胁。 太多公司使用的是很原始的工具和实践来保护并管理特权账户和管理员访问,尤其是: 18%的受访者承认使用纸质日志来管理特权凭证 36%用电子表格进行管理 67%依赖2种或2种以上的工具(包括纸质和电子表格) 来支持他们的PAM项目 尽管很多公司正在尝试管理特权账户(该尝试用的只是相当有限的工具),真正监视这些“超级用户”权限所执行活动的,却相对较少: 57%的受访者承认仅监视了部分或根本没有监视其特权账户;
87410发布于 2021-02-26 - 来自专栏深入浅出区块链技术
如何开发以太坊钱包 - 导入账号及账号管理
导入账号预备知识 从用户需求上来讲,导入用户已经存在的账号是有必要的。 正确的做法是提示用户: •在新的钱包重新创建一个钱包账号、并安全备份(因为之前的可能已经不安全);•然后在老钱包里把所有的币转移到新账号。 通过KeyStore文件导入账号 关于KeyStore文件,不了解的可以阅读下账号Keystore文件导入导出[3]。 多账号管理 考虑到用户可能会创建多个账号,因此需要确定一个当前选定的账号,一般情况下,用户新创建的账号应该作为当前选中的的账号,同时其他账号应该取消选中, 我们完善下账号存储逻辑, 如下: (代码在代码库 以通过私钥导入账号进行保存为例,把创建账号和保存账号打通,这里我们使用响应式编程 ReactiveX, 这部分作为订阅者福利,发表在我的小专栏,点击阅读原文查看。
3.6K30发布于 2019-04-09 - 来自专栏陈冠男的游戏人生
智能合约:特权功能暴露、矿工特权隐患
特权功能暴露 漏洞分析 在 solidity 中没有被权限修饰符修饰的函数,默认可以被所有人调用(即具有 public 属性) 在 solidity 中有一个内置函数 selfdestruct() (析构函数 矿工特权隐患 漏洞概述 主要是指依赖时间戳的合约,比如一个抽奖的合约,会根据当前时间戳与一些其他的变量计算出来“幸运数”,如果参与者拥有幸运数相同的编码就可以拿到奖品,那么矿工在挖矿的过程中,可以提前尝试不同的时间戳
68531发布于 2020-05-14 - 来自专栏计费&账号专家服务
腾讯云账号安全管理方案
腾讯云官网入口注册成功,生成的账号为主账号。1.2 什么是访问管理CAM? 通过 CAM,您可以创建、管理和销毁用户(组),并通过身份管理和策略管理控制哪些账号可以使用哪些腾讯云资源。 账号安全管理最佳实践2.1 主账号安全管理最佳实践2.1.1 主账号安全保管主账号拥有账号下所有云资源的管理权限,请尽量不要使用主账号的身份凭证访问腾讯云,更不要将身份凭证共享给他人,同时为了避免因访问密钥泄露带来的安全风险 相关信息请参考:下载安全分析报告2.2 子账号安全管理最佳实践2.2.1 使用不同的子账号管理用户、权限和资源建议同一个子账号不同时管理用户、权限和资源。 应该让部分子账户管理用户,部分子账号管理权限,部分子账号管理其他云资源。相关设置请参考:用户类型2.2.2 使用组给子账号分配权限按照工作职责定义好组,并给组分配相应的管理权限。
17.5K91编辑于 2022-07-12
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号