Zero Standing Privileges (ZSP) 零持续权限


参考最小权限定义(在有限时间内即时授予的足够权限),零持续权限 (ZSP) 类似于刚刚足够的权限。 ZSP 是分析公司 Gartner 创造的一个术语。它通过删除具有相关管理权限的帐号形式的常设权限来提倡更好的 IT 安全性。此类帐号的存在会增加特权滥用的攻击面,从而带来重大风险。 删除此类帐号是理想的,但并非总是可行的。此类帐户应保存在保险库中,并根据需要通过基于工作流的访问请求和批准机制进行管理监督来严格控制访问。这有助于确保特权帐户仅在合法参与者(人类用户或应用程序和服务)需要时(即通过密码签出机制及时)可用。 但是,即使我们将这些帐号保存在保险库中,它们仍然具有特权,因此仍然存在残余风险。例如,检查 Windows 本地管理员帐户密码来配置打印机是矫枉过正的,恶意行为者可能会广泛滥用此类权限。 减轻这种风险的一种方法是不要触摸受保管的帐号密码,而是将即时特权与特权提升结合起来。这允许具有最小权限的合法用户请求他们需要的内容,然后在执行需要此类权限的命令或应用程序(即时)时提升权限。增量权限与命令或应用程序相关联,而不是与更广泛的登录会话相关联,并且当命令完成或应用程序退出时,它们会自动撤销。通过这种方式,通过提升获得的足够权限支持 ZSP 模型。