如何在端点上实施最小特权原则

端点，即笔记本电脑、台式机和手机等连接到网络的物理设备，是网络犯罪分子的重要目标，通常也是企业安全防线中最薄弱的环节。 在这些端点上执行“最小特权原则”(PoLP) 对于缩减攻击面、防止横向移动以及最大限度地降低帐户泄露可能造成的损失至关重要。 在端点上实施最小权限访问的最佳方法包括：移除常设本地管理员权限、利用即时 (JIT) 访问提升，并持续监控和审计端点上的特权活动。

继续阅读，以了解有关 PoLP 的更多信息、在端点上强制执行 PoLP 的重要性，以及有效执行 PoLP 的方法。

最小特权原则是什么？

最小特权原则 (PoLP) 是一种安全实践，它限制用户仅可访问执行特定任务所需的资源。 授予过多权限会造成本可避免的安全风险，因为一旦帐户被入侵，就会导致广泛的访问权限泄露。 实施 PoLP 有助于遏制数据泄露影响，并帮助各类规模的企业满足合规要求。 小型企业虽无复杂的安全基础设施，但实施 PoLP 仍是强化端点安全、降低网络威胁暴露面的有效手段。

为何应在端点实施最小特权原则

由于许多公司允许自带设备 (BYOD) 策略并支持远程办公，保护端点安全已成为企业网络安全的基石。 防火墙等传统边界防御措施已无法满足需求。 必须单独保护每台连接设备。 如果未在端点实施最小特权原则，将引发多重新型安全风险：

在端点上实施最小特权原则的最佳实践

企业可以通过取消常设本地管理员权限、启用 JIT 访问以及监控端点活动以防滥用，确保用户在端点上的权限最小化。

消除常设本地管理员权限

当用户拥有常设管理员权限时，他们可以安装未经授权的软件、禁用安全控制并对系统进行未经批准的更改。 此类帐户若遭入侵，将成为网络犯罪分子部署恶意软件、窃取数据或在企业网络内横向移动的高价值入口。

为降低安全风险，企业应对所有非 IT 用户移除本地管理员权限。 大多数员工不需要管理员级别的访问权限即可执行日常任务，因此立即取消这些权限可以最大限度地减少攻击面。 组织应为需要临时提升访问权限的用户创建基于策略的例外。 然而，当组织这样做时，他们必须清楚地传达变更的原因，并提供员工培训以支持和促进采纳。

启用即时 (JIT) 访问权限提升

在最小特权环境中，用户可能偶尔需要临时提升访问权限。 授予常设管理员权限有违 PoLP 的宗旨，这正是即时 (JIT) 访问权限提升至关重要的原因所在。 JIT 访问仅在必要时，且仅在必要时限内提供管理员权限，因而降低了风险。

企业应首先部署支持 JIT 提升并生成审计跟踪的工具，这些跟踪日志可保存详细记录以供合规与安全审查。 为了进一步增强安全性，企业必须强化要求，对所有权限提升请求采取多因素身份验证 (MFA)。 这将确保即使临时权限提升，也仅有授权用户可以获得提升访问权限。 通过为每个特权会话设置预定义的时间限制，组织可以在任务完成后自动撤销访问权限，从而消除访问持续存在的风险。

监控与审核端点活动

只有验证最小特权原则在端点的有效执行，才能确保其实际效用，因此端点的监控与审计活动至关重要。 对端点活动缺乏监控将导致访问权限遭到滥用而无法察觉，从而使企业更易遭受内部威胁与数据泄露风险。

这就是为什么组织应该部署一个能够提供实时监控和详细审计日志的端点权限管理解决方案。 此类工具使安全团队能够跟踪权限提升请求者、授权时间以及所执行的操作。 通过实时监控提升权限，安全团队可以更快速地响应异常情况，并确保策略得到遵循。

通过最小特权原则增强端点安全

企业必须在端点上实施最小特权原则，以防御高级网络威胁。 通过消除常设管理员权限、实施 JIT 访问及持续监控端点活动，企业可缩减攻击面，并最大限度地降低潜在数据泄露的影响。
Keeper Endpoint Privilege Manager 可帮助企业在 Windows、macOS 和 Linux 环境中实施最小特权原则 (PoLP)。 如果贵司已准备好强化端点安全，请立即申请演示，以了解 Keeper 如何支持贵司增强安全态势。

常见问题解答