即时特权提升是一个模型,旨在限制在关键系统上启用特权访问的时间。这允许管理员、用户、应用程序和脚本仅在需要时访问敏感信息,并且仅在完成任务所需的时间内访问。

这种方法避免了永久授予用户提升的特权,这可能是滥用的载体。成熟的特权访问管理系统仅在需要时为任何需要特权访问的实体提供自动提升特权,并规定完成给定任务所需的最短时间。

PAM360通过与ManageEngine ADManager Plus(一个Active Directory管理和报表解决方案)的无缝集成,促进了即时访问。通过自动和受控地提升域帐户特权,PAM360为特权访问带来了基于时间和资源的限制,加强了安全性,同时使整个过程变得轻松。

从PAM360将域帐户映射到Active Directory安全组

PAM360与ADManager Plus的集成使管理员能够控制将域用户帐户映射到Active Directory中的特定安全组。这可以通过在PAM360中将Active Directory域控制器添加为资源,然后将其与选定的Active Directory安全组相关联来完成,这些组由于这些产品之间的集成而获取和显示。

从PAM360将域帐户映射到Active Directory
从PAM360将域帐户映射到Active Directory

为Windows域和本地帐户授予基于批准的临时特权提升

PAM360为Windows域用户提供了提升的权限,允许他们根据特定时间范围内的请求批准机制继承域管理员权限。这种编排的工作流程是通过一组预定义的策略配置实现的,允许域用户使用自己的凭据轻松登录并在目标系统上执行特权任务。一旦时间用完,权限将自动撤销,确保用户不再拥有访问关键系统的特权。

PAM360还支持Windows资源的开箱即用本地帐户特权提升。这些额外的、基于时间框架的对特权系统的访问限制有助于企业获得对特权访问的完全控制。

Windows域PAM360的特权提升
Windows域PAM360的即时特权提升

直接从ADManager Plus扩展控制

虽然集成使PAM360管理员能够提升域帐户的权限,但它不会影响ADManager Plus对用户权限的控制。作为安全预防措施,工作流程的设计是,ADManager Plus管理员对域用户的权限级别所做的任何更改都会覆盖PAM360中所做的更改。通过这种方式,域帐户在ADManager Plus中处于完全控制之下,防止任何未经授权的访问。