6项绝佳对策 抵御IT安全威胁

这些账户包括：

·Unix的root，Cisco的enable，DBA的帐户，Windows的域等等。

·通用的共享管理账户，比如help-desk，fire-call，操作和应急账户。

·Hard-coded以及嵌入应用程序的账户，包括资源DB ID，Generic ID，批处理，测试脚本以及应用程序ID。

·服务账户，例如Windwos服务账户以及计划任务等等。

·个人计算机账户，包括笔记本和台式机上的Windows本地管理员账户。

现在很多企业如果想要全部改变这些密码，他们还用手动的方法更新。例如，最近的一项研究表明42%的应用程序密码是从来不改变的(信息来源：《数码方舟-企业特权密码调查》。)

2.定义身份和存取管理(IAM)的角色

管理特权密码的时候，人们常犯的第一个错误就是为管理人员身份的系统中引进所有的管理或共享ID。这种方法的好处就是，你可以很快就自动更新企业的特权密码。那么不好的地方呢?那就是企业仍然无法确定个人的职责。例如，报告可能显示说，周日早上1：47分，“管理员”身份的人下载了你的最高用户数据库。你无法把这种行为——或者它造成的后果——跟特定的一个员工联系起来。

为了能够明确责任，特权密码管理(PPM)系统应当将个人身份与共享账户联系起来。这是难以置信的敏感数据——你所有的特权密码列表是黑客最想得到的东西——因此这些信息必须放在非常安全的地方。IAM方案不是为了存储敏感数据而设计的，它是特权账户/密码的PPM方案的典型辅助方案。

3.应用特权密码的更改策略

这听起来好像很理所当然，但是令人吃惊的是，很多公司特权密码的更新策略竟没有公司人员个人电脑密码更换制度那么明确。例如，你可能每30天改变笔记本的密码，但是调查显示工作站有20%的几率从来不更改默认的Administrator ID(信息来源：《数码方舟-企业特权密码调查》。)换句话说，如果你丢了笔记本，捡到它的人可能不知道你是谁或者不知道你在哪个公司工作……但是他们可以在网上找到Dell Latitude D600的出厂默认管理员密码。几秒内，捡到你的笔记本的人就能够访问你的系统，用比你更高的权限。