【技术讲堂】应用程序控制之最小权限原则

在现代企业中，终端用户经常使用许多不同的应用程序，这些应用程序在实际使用中可能会受到安全威胁。终端特权管理已经成为一种必要的手段来确保企业网络和数据的安全。应用程序控制和终端特权管理是当前最受欢迎和有效的治理工具之一。

为了建立一个强大而安全的IT环境，就要建立基本的安全原则。根据Forrester的数据，80%的安全漏洞都涉及到特权账户的密码。随着风险的不断增加，防止有特权用户引起的攻击已经是安全管理的基本原则。最小权限原则（POLP）就是这样一种概念，当企业正确实施该原则时，可以显著减少攻击面。

最小权限原则是指将企业范围内的权限降至最低，以满足实体工作所需的最低权限。它不仅适用于用户，也适用于系统、进程、应用程序、服务和其他设备。

企业实施“最小权限原则”的方法

在量化和确定每个员工的需求后，建议将大多数用户帐户设为“标准”或“最低特权用户”帐户。这些用户帐户将只具有进行日常业务关键活动所需的特权，没有访问其他网络资源的管理权限。以下是企业实施“最小权限原则”的方法：

• 建立最小权限原则的第一步是识别权限过度分配的终端。必须发现网络中存在的所有本地和域管理员帐户。通过仔细分析处理这些帐户的用户的需求来评估是否需要。必须及时删除不必要的管理员帐户。

• 域管理员帐户拥有域内所有终端的管理员权限。在向该组添加用户时，组织必须保持警惕，并严格删除任何不需要完全控制的帐户。

• 本地管理员账户拥有其所在计算机的完全控制权限。作为最容易被利用的特权类型，必须强化审查。删除所有不必要的本地管理员帐户是建立“最小权限原则”最关键的部分。

• 在计算机中创建并添加到管理员组的本地用户帐户被视为本地管理员帐户。可以通过手动将其转为标准用户组或部署脚本来撤销这些特权。

企业实施“最小权限原则”的难点

尽管企业都有很强的安全意识，并且知道需要实现“最小权限原则”，那么为什么还没有实现呢？因为企业在这里遇到了这些难题：

• 找到和管理本地管理员帐户可能会很费力，因为每台计算机中可以创建并隐藏多个此类账户。

• 最小权限原则的实施可能会对生产力产生影响。虽然提高了安全性，但是当标准用户帐户需要管理员级别权限执行最后一刻的关键任务时该怎么办？

ManageEngine卓豪如何帮助企业实现最小权限原则?

ManageEngine卓豪的应用控制模块可以管理应用程序及其特权访问，赋予了企业能够建立最小权限原则的能力，并且不必担心生产力下降。

一、控制应用程序访问

创建软件的黑白名单，管理谁有运行哪个应用程序的特权。

二、应用级别的特权访问管理

使用终端特权管理，可以提升特定应用程序的权限，而不是提升用户特权。这使得经授权的用户可以从其标准用户帐户以管理员身份运行必要的应用程序。

三、删除特权账户

批量自动来删除特权帐户，解决IT管理员无从入手的难题。

“最小权限原则”的收益

• 由于超过80％的操作系统漏洞需要管理员权限才能成功利用，减少管理员帐户的存在可以减少此类攻击的可能性。即使发生攻击，最小权限原则的实施也能够防止恶意软件以管理员特权执行而产生的影响。这可以大大减少可能发生的损害，并防止其进一步传播到网络中的其他资源。

• 此外，91％的网络攻击是由于钓鱼邮件，非技术性的普通员工往往成为受害者。对于这些用户保持最小权限可以减少此类攻击的影响。

• 强制实施最小权限可以帮助企业遵守各种监管合规要求。即使此类法规不是企业实现的必要条件，建立最小权限原则仍能强化网络安全环境。