尽管业内权威一再提醒管理特权账户的重要性，许多特权帐户仍然未受到保护、不被重视或管理不善，使它们成为容易被攻击的目标。基于这些现实情况，本文列出了几条保护特权账户的实践，仅供IT管理员和安全管理员参考。

1.自动发现特权账户，并对其进行集中化追踪

如果您想管理公司的特权账户，实现账户信息安全化，随着公司发展的壮大，您需要一个能够自动化定期扫描网络、检测新账户，并登记管理的应用程序，将成为PAM（特权访问管理）战略的组成部分。

2. 安全集中存储特权账户

摒弃过去那种本地化、单独分散式的、需要由许多团队共同维护的数据管理模式，正确的做法是将部门的特权帐户和凭据存储在一个集中的存储库中。此外，使用如今严密的加密算法（如AES-256）来保护您存储特权帐户凭证的存储库，以避免恶意访问。

3. 设置特权访问权限，明确用户角色

特权帐户被安全地存储于存储库后，针对用户对其的访问就可以进行有效的管理与控制了。对于PAM管理员来讲，需要明确划分各IT成员的角色，使该角色仅具有其所需的最低访问权限，同时确保特权账户不是针对日常活动，如阅读邮件、浏览网页等设定。

4.设定多重身份验证

根据Symantec公司的2016年互联网安全威胁报告，通过使用多重身份验证的方法，可以有效避免大部分的漏洞。对于PAM管理员和用户而言，实施双重或多重身份验证可以保证敏感数据的访问安全。

5.消除纯文本式特权帐户凭据共享行为

PAM管理员不仅要关注消除因角色划分不明确而带来的安全隐患，同时也要实现安全地共享实践。同时借助PAM管理工具，使用户无需查看或输入该凭证，就可以一键式连接到目标设备。

6.严格的自动密码重置策略

对于IT团队的管理而言，每个特权账户都使用同一个密码，能够使工作相对轻松容易许多。但是这种方法却极其危险，会导致整个网络环境出现高危漏洞。为了消除固定密码以及未授权访问带来的安全隐患，您需要将密码自动重置视为PAM策略中不可分割的一部分。

7.临时访问的控制实施

当用户需要账户凭证访问某个远程资产时，强制要求他们给公司的PAM管理员发送访问申请。PAM管理员将只为用户提供临时访问凭据的权限，同时可通过设置访问时间、在规定的访问时间到期时能够撤销访问权限并强制消除密码。

8.停止在脚本文件中嵌入凭据

许多应用程序需要频繁访问数据库和其他应用程序，以查询与业务相关的信息。使用固定的密码使管理员的工作更加轻松，但也为黑客们提供了便捷的入侵途径。当应用程序需要使用其他应用程序或远程资产的特权帐户时，IT部门利用安全API直接查询PAM工具。

9.审计

审计记录、实时警报和通知确实让工作变得更轻松，通过与内部事件管理工具的集成，将PAM活动事件与公司其他事件进行整合分析，智能识别异常并提供通知。

上述实践并不是安全战略的终极方案，我们还需要做更多的工作。卓豪Password Manager Pro是一个面向企业的特权对象管理软件，用于管理服务器、网络设备、数据库以及各种应用程序的密码，以及各种SSL、SSH数字证书等。帮助集中存储安全对象信息、安全共享密码、实施标准化的密码策略、追踪密码访问历史、控制用户非法使用，助力企业实现安全化的管理规范要求。