This is the Trace Id: 41c9c09a1464c8ecce5b13e10978c561
跳转至主内容 为什么选择 Microsoft 安全 AI 支持的网络安全 云安全 数据安全与治理 标识和网络访问 隐私和风险管理 AI 安全性 统一安全运营 零信任 Microsoft Defender Microsoft Entra Microsoft Intune Microsoft Priva Microsoft Purview Microsoft Sentinel 智能 Microsoft Security Copilot 副驾驶® Microsoft Entra ID (Azure Active Directory) Microsoft Entra 智能体 ID Microsoft Entra 外部 ID Microsoft Entra ID 治理 Microsoft Entra ID 保护 Microsoft Entra Internet 访问 Microsoft Entra 专用访问 Microsoft Entra 权限管理 Microsoft Entra 验证 ID Microsoft Entra Workload ID Microsoft Entra 域服务 Azure Key Vault Microsoft Sentinel Microsoft Defender for Cloud Microsoft Defender XDR Microsoft Defender for Endpoint Microsoft Defender for Office 365 Microsoft Defender for Identity Microsoft Defender for Cloud Apps Microsoft 安全风险管理 Microsoft Defender 漏洞管理 Microsoft Defender 威胁智能 适用于商业高级版的 Microsoft Defender 套件 Microsoft Defender for Cloud Microsoft Defender 云安全状况管理 Microsoft Defender 外部攻击面管理 Azure 防火墙 Azure Web 应用防火墙 Azure DDoS 防护 GitHub 高级安全性 Microsoft Defender for Endpoint Microsoft Defender XDR Microsoft Defender 商业版 Microsoft Intune 核心功能 Microsoft Defender for IoT Microsoft Defender 漏洞管理 Microsoft Intune 高级分析 Microsoft Intune Endpoint Privilege Management Microsoft Intune 企业应用程序管理 Microsoft Intune 远程帮助 Microsoft 云 PKI Microsoft Purview 通信合规性 Microsoft Purview 合规性管理器 Microsoft Purview 数据生命周期管理 Microsoft Purview 电子数据展示 Microsoft Purview 审核 Microsoft Priva 风险管理 Microsoft Priva 主体权利请求 Microsoft Purview 数据治理 适用于商业高级版的 Microsoft Purview 套件 Microsoft Purview 数据安全功能 价格 服务 合作伙伴 网络安全意识 客户案例 安全性 101 产品试用 行业认可 安全响应中心 Microsoft 安全博客 Microsoft 安全活动 Microsoft 技术社区 文件 技术内容库 培训和认证 Microsoft Cloud 合规性计划 Microsoft 信任中心 服务信任门户 Microsoft 安全未来计划 业务解决方案中心 连络销售人员 开始免费试用 Microsoft 安全 Azure Dynamics 365 Microsoft 365 Microsoft Teams Windows 365 Microsoft AI Azure Space 混合现实 Microsoft HoloLens Microsoft Viva 量子计算 可持续发展 教育 汽车 金融服务 政府 医疗保健 制造业 零售业 查找合作伙伴 成为合作伙伴 合作伙伴网络 Microsoft Marketplace Marketplace Rewards 软件开发公司 博客 Microsoft Advertising 开发人员中心 文档 活动 许可 Microsoft Learn Microsoft Research 查看站点地图
在安静的室内环境中,两个人坐在休闲区暖心交流,一个人在诉说,而另一个人在认真倾听。

什么是 Privileged Access Management (PAM)?

通过监视、检测和防范对关键资源的未经授权特权访问,保护组织免受网络威胁。
了解访问权限

什么是 Privileged Access Management (PAM)?

Privileged Access Management (PAM) 是一种标识安全解决方案,可通过监视、检测和防范对关键资源的未经授权的特权访问,帮助组织免受网络威胁。PAM 通过人员、流程和技术的组合运作,使你能够了解谁正在使用特权帐户,以及他们在登录时执行什么操作。限制可访问管理功能的用户数量可提高系统安全性,而额外的保护层可缓解威胁行动者造成的数据泄露。

Privileged Access Management 的工作原理是什么?

PAM 解决方案确定需要特权访问的人员、流程和技术,并指定适用于他们的策略。PAM 解决方案必须能够支持你建立的策略(例如自动密码管理和多重身份验证),且管理员应能够自动执行创建、修正和删除帐户的流程。PAM 解决方案还应该持续监视会话,以便你可以生成报告来识别和调查异常情况。

Privileged Access Management 的两个主要用例是防范凭据盗窃和实现合规性。

凭据盗窃是指威胁行动者盗取登录信息以获得对用户帐户的访问权限。登录后,他们可以访问组织数据、在各种设备上安装恶意软件,并获取对较高级别系统的访问权限。PAM 解决方案可以通过确保针对所有管理员标识和帐户的即时且恰好足够的访问权限以及多重身份验证,缓解此风险。

无论什么合规性标准适用于你的组织,可能都需要最小特权策略来保护敏感数据,如支付或个人健康信息。借助 PAM 解决方案,你可以通过生成特权用户活动报告(谁正在因什么原因访问什么数据)来证明你的合规性。

其他用例包括自动执行用户生命周期(即帐户创建、预配和取消设置)、监视和记录特权帐户、保护远程访问和控制第三方访问。PAM 解决方案还可以应用于设备(物联网)、云环境和 DevOps 项目。

特权访问的滥用是一种网络安全威胁,可能会对组织造成严重的大范围损害。PAM 解决方案提供强大的功能帮助你防范这种风险。
 

  • 提供对关键资源的即时访问权限
  • 使用加密网关(替代密码)实现安全的远程访问
  • 监视特权会话以支持调查审核
  • 分析可能对组织有害的异常特权活动
  • 捕获特权帐户事件以进行合规性审核
  • 生成关于特权用户访问和活动的报告
  • 使用集成密码安全保护 DevOps

特权帐户的类型和最佳做法

超级用户帐户是由具有对文件、目录和资源的不受限制访问权限的管理员使用的特权帐户。他们可以安装软件、更改配置和设置并删除用户和数据。

特权帐户

特权帐户可提供非特权帐户(如标准用户帐户和来宾用户帐户)无法提供的访问权限和特权。

服务帐户

服务帐户可帮助应用程序安全地与操作系统交互。

域管理员帐户

域管理员帐户是系统中最高级别的控制。这些帐户可以访问域中的所有工作站和服务器,并控制系统配置、管理员帐户和组成员身份。

业务特权用户帐户

业务特权用户帐户具有基于工作职责的高级别特权。

本地管理员帐户

本地管理员帐户对特定服务器或工作站有管理员控制权,并且通常针对维护任务而创建。

紧急帐户

紧急帐户在发生灾难或中断的情况下为非特权用户提供对安全系统的管理员访问权限。

应用程序管理员帐户

应用程序管理员帐户具有对特定应用程序以及应用程序中存储的数据的完全访问权限。
返回标签页

PAM 对比PIM

Privileged Access Management 可帮助组织管理标识,使威胁行动者更难以渗透网络和获得特权帐户访问权限。针对控制对加入域的计算机的访问权限和这些计算机上的应用程序的特权组,它增加了保护。PAM 还提供监视、可见性和精细控制,以便你了解你的特权管理员是谁,以及他们帐户的使用情况。

Privileged identity management (PIM) 提供基于时间和基于审批的角色激活以缓解对组织中敏感资源的过度、非必要或滥用访问风险,方法是对这些帐户实施即时访问和恰好足够的访问。为了进一步保护这些特权帐户,PIM 支持实施策略选项,例如多重身份验证。

虽然 PAM 和 PIM 有许多相似之处,但 PAM 使用工具和技术来控制和监视对资源的访问并遵循最小特权原则(确保员工有完成工作恰好足够的访问权限),而 PIM 通过有时限的访问权限控制管理员和超级用户并保护这些特权帐户。

Privileged Access Management 的重要性

在系统安全方面,人是最薄弱的环节,特权帐户对组织而言存在巨大风险。PAM 可以帮助安全团队识别特权滥用招致的恶意活动,并立即采取措施修正风险。PAM 解决方案可以确保员工仅拥有完成其工作所必需的访问权限级别。

除了识别与特权滥用相关的恶意活动,PAM 解决方案还可以帮助组织:
 
  • 最大限度降低安全漏洞的可能性。如果出现安全漏洞,PAM 解决方案有助于限制其在系统中的影响范围。
  • 减少威胁行动者的入口和路径。针对人员、流程和应用程序的有限特权可防范内部和外部威胁。
  • 防止恶意软件攻击。如果恶意软件确实站稳脚跟,删除过度特权有助于减少它的传播。
  • 创建更容易审核的环境。通过有助于监视和检测可疑活动的活动日志,实现综合的安全和风险管理策略。

如何实现 PAM 安全性

如果要开始使用 Privileged Access Management,需要一个计划来:
 
  1. 提供对所有特权帐户和标识的完全可见性。PAM 解决方案应该让你看到人类用户和工作负载使用的所有特权。你有这样的可见性后,可清除默认管理员帐户并应用最小特权原则。
  2. 治理和控制特权访问。你需要获得特权访问的最新信息,保持对特权提升的控制,避免其失控,给组织的网络安全带来风险。
  3. 监视和审核特权活动。制定定义特权用户合法行为的策略,并确定违反这些策略的操作。
  4. 自动执行 PAM 解决方案。可以跨数百万个特权帐户、用户和资产进行缩放,以提高安全性和合规性。自动执行发现、管理和监视以减少管理任务和复杂性。
根据你的 IT 部门需求,你可以使用现成的 PAM 解决方案,逐渐添加模块以支持更大、更好的功能。你还需要考虑安全控制建议以满足合规性。

还可以将 PAM 解决方案与 安全信息和事件管理 (SIEM) 解决方案集成。

Privileged Access Management 解决方案

单靠技术不足以保护你的组织免受网络攻击。需要使用将人员、流程和技术均考虑在内的解决方案。

了解 Microsoft 安全身份验证和访问控制解决方案如何通过保护对面向所有用户、智能设备和服务的联网环境的访问来帮助保护你的组织。
一个人在站立式工作站上,指着双显示器上的代码。

身份验证和访问控制解决方案

通过保护所有用户、智能设备和服务的访问,保护你的组织。
了解详细信息
一个人站在窗边,在办公室里使用平板电脑。

Privileged Identity Management

通过限制对关键操作的访问,确保你的管理员帐户保持安全。
了解详细信息
两个人在户外边走边查看智能手机上的信息。

条件访问

利用实时自适应策略实施细粒度访问控制,确保工作人员保持安全。
了解详细信息
返回到“相关产品”部分
常见问题解答

常见问题解答

  • 身份和访问管理 (IAM) 包括控制谁在何时在何处以什么方式访问资源的什么内容的规则和策略。这包括密码管理、多重身份验证、单一登录 (SSO)和用户生命周期管理。

    Privileged Access Management (PAM) 与保护特权帐户所需的流程和技术有关。它是 IAM 的子集,支持在特权用户(访问权限超过标准用户的用户)登录系统后控制和监视特权用户的活动。
  • Robust session management 是一种 PAM 安全工具,通过该工具,可以了解特权用户(组织中拥有对系统和设备的根访问权限的用户)登录后执行的操作。生成的审核线索会提醒你存在特权访问的意外或故意滥用。
  • Privileged Access Management (PAM) 可用于强化组织的安全状况。通过它可以控制对基础结构和数据的访问、配置系统并扫描是否存在漏洞。
  • PAM 解决方案的好处包括缓解安全风险、减少运营成本和复杂性、增强组织中的可见性和情境意识,以及提高合规性。
  • 为组织选择 PAM 解决方案时,请确保它包括多重身份验证、会话管理和即时访问功能、基于角色的安全性、实时通知、自动化以及审核和报告功能。

关注 Microsoft 安全

Surface Pro Surface Laptop 适用于组织的 Copilot Microsoft 365 探索 Microsoft 产品 Windows 11 应用程序 帐户个人资料 下载中心 订单跟踪 Microsoft 教育版 教育设备 Microsoft Teams 教育版 Microsoft 365 教育版 Office 教育版 教育工作者培训和开发 面向学生和家长的优惠 面向学生的 Azure
Microsoft AI Microsoft 安全 Azure Dynamics 365 Microsoft 365 Microsoft Advertising Microsoft 365 Copilot Microsoft Teams Microsoft 开发人员 Microsoft Learn 支持 AI 商城应用 Microsoft 技术社区 Microsoft Marketplace Microsoft Power Platform Marketplace Rewards Visual Studio 招贤纳士 关于 Microsoft 公司新闻 Microsoft 隐私 投资人 可持续发展
中文(中国) 消费者健康隐私 与 Microsoft 联系 隐私 管理 Cookie 使用条款 商标 关于我们的广告 京ICP备09042378号-6