在不可靠的人手中，特权账户是对企业最大的威胁，因为这些帐户可以侵害个人资料，进行未授权的交易，导致拒绝服务攻击，并通过删除审计数据隐藏活动痕迹。特权帐户，例如UNIX里的root，Windows里的Administrator帐户，以及其它一些与数据库归属或路由器访问有关的帐户，是平台运作所必需的。此外，在需要“打破玻璃”的紧急情况下，以及普通的日常任务下，都需要特权帐户。

　　虽然很重要，但是特权帐户却很难保障安全，因为它们并不属于实际的使用人，通常是许多管理员共同使用，而目前这种不景气的经济形势更增加了员工愤恁不满的风险，使得比以往任何时候都更需要一个系统来控制特权访问。

　　此外，对特权帐户的控制还是审计结果清单里最首要的条目，也是遵循许多安全要求时的必需组件，如萨班斯-奥克斯利法案(Sarbanes-Oxley), 支付卡行业数据安全标准(Payment Card Industry Data Security Standard, PCI DSS),联邦能源管理委员会 (Federal Energy Regulatory Commission ,FERC), 还有健康保险携带和责任法案(HIPAA)等。
下面就让我们看看现有的可以帮你更好地控制特权帐户的技术和策略。

　　特权帐户管理工具 

　　特权帐号管理产品可以帮助减轻越权访问(elevated access)带来的风险。这些产品可以有助于接近审计结果，有助于满足标准的要求，并逐渐使组织通过其SAS 70评估。

　　显然，特权帐户管理产品符合企业需求：这类产品在过去三年中也经历了爆炸性的增长，用户数也每年倍增。现在已经部署了特权帐户管理产品的组织已经超过2000家。

　　特权帐号管理产品通过两种机制控制对账户的访问。第一个机制强制管理员或程序检查帐户密码，第二个机制则是频繁在目标平台上修改帐户密码。这些产品还提供了在许可特权帐户的紧急访问后，执行审批和后续行动等一些工作流能力。

　　检查方式 

　　传统的身份认证开通系统不适用于管理特权帐户，因为它们没有检查办法。与之相比，特权帐户管理工具提供有两种密码检查方式：交互式和编程式。

　　在交互式检查中，系统管理员使用特权帐户，以访问目标平台。通常情况下，系统管理员通过浏览器会话登陆特权帐户管理产品。一旦通过验证，系统管理员获取特定的帐户密码，然后把密码用于交互式会话中，如Windows终端服务，SecureShell ，远程登录，或SQL客户端。

　　程序也需要获得特权帐户凭据。编程访问的例子有：Shell和Perl脚本启动、关闭和维护包括数据库和应用程序在内的目标平台；被Windows Control Manager控制的服务;还有用于数据库和LDAP帐户连接信息的配置文件。这些访问方法一般都需要内嵌进特权帐户的密码。内嵌密码是一个重大的安全风险，因为任何有权访问到这些脚本或配置文件的人都可以窃取到密码，并将其用于不轨行为。

　　特权帐户管理产品有一些工具可以帮忙把内嵌的密码移除，并在程序需要时取回。程序取回需要在目标平台上安装特权帐户管理中间件。该软件可让程序实时检索帐户密码。在某些情况下，运行在目标平台上的Secure Shell客户端可以用来代替中间件。

　　交互式访问方法是目前最简单的安全手段，大多数组织都把它作为首选。通过程序访问的方式保护帐户需要一份清单说明哪里保存着密码，然后再把它用可执行代码取替代，这些代码能在运行时取回密码。这对shell脚本和Perl文件来说比较容易，但其它的编程访问方式就需要大量的工作了。

　　特别是，帐户密码嵌入在配置文件的情况--例如那些与应用程序服务器相关的--更难办，因为在配置文件被读取时特权帐户管理产品无法控制。一些供应商提供针对应用程序服务器的特定模块以解决有困难的编程式访问方式。虽然采取编程式访问方案需要一番苦干，但那些无视内嵌特权帐户密码威胁的会自尝苦果;这些帐户往往会被入侵者用在交互式会话中。

　　密码更改频率 

　　在目标平台上通过经常性地更改帐户密码控制访问时，特权帐户管理产品提供了几种选项，包括有：

• 从不（不推荐，但在陈旧的目标平台上可能需要这么做）
• 经常（可自行置，但范围一般为1至30天）
• 每次会话（也称为独占选项）
• 按需

　　多数企业选择经常更改大部分的帐户密码。部署的早期阶段通常较少更改密码，比如每隔两个星期更改。随着部署的成熟和对特权帐户管理产品的使用更熟悉，密码更改更加频繁;每日一变是是很常见的。

　　对于非常敏感的系统，有些企业执行独占选项。使用这个选项后，系统管理员必须在每次会话结束后“登入”密码。独占选项的好处是，它提供了更严格的问责制，因为登出操作和接下来特权用户所执行的操作是紧密相关的。系统管理员登入系统以后，特权帐户管理产品就把密码随机化。随机化密码是一种有效的手段，在再次密码被再次检查之前没有系统管理员知道密码。当下一位系统管理员检查帐户密码时，她就就享有帐户的“独占”访问权。随后的所有活动现在就都可以与这位系统管理员关联起来。大多数组织都只在很少的高安全性系统里采用独占选项，因为它在操作上有局限性：任何时候在目标平台上都只能有一位用户可以通过这个帐号访问。

　　在这种经济动荡的情况下，密码按需更改机制正变得日益重要。当一个系统管理员离职时，及时收回特权帐户的访问权是必不可少的。按需更改密码能有效的防止管理员访问敏感的系统，因为她不再知道帐户密码。

　　享有特权的单点登录（SSO）
 
　　单点登录是最近才添加到特权帐户管理产品中的新功能。系统管理员通过特权帐户管理产品的工作站客户端软件或代理服务器访问目标平台。这两种机制都提供单一登录，因为系统管理员是透明地登录到目标平台。在幕后，特权帐户管理软件通过会话协议（如telnet, Secure Shell以及Windows终端服务等）取回密码并让用户登陆进系统。增强的安全性是一个额外的好处，因为系统管理员不知道帐户密码。

　　编程式密码缓存 
 
　　在高度分散的生产环境下，比如大型零售商，如果由于网络问题不能取回密码，将处于很不利的位置。此外，某些目标平台上在处理过程中经常要用到帐户密码，不断地去取回特权帐户的密码会使得处理进程渐渐慢下来。一些特权帐户管理厂商通过提供在目标平台上缓存帐户密码的功能作为解决办法。相对于动态获取特权帐户密码来说，缓存带来了额外的安全风险。但是，缓存还是比直接把密码写在文件里要好得多。帐户密码将更加难以窃取，因为它不会存在于文件中，密码也将更频繁地更改。