performing-privileged-account-access-review

执行特权账户访问审查

概述

特权账户访问审查是一项关键的身份治理流程，用于验证拥有提升权限的用户是否仍需要其访问权限。该审查涵盖域管理员、服务账户、数据库管理员、云 IAM 角色以及应用级特权账户。定期访问审查由 SOC 2、PCI DSS、HIPAA 和 SOX 合规框架强制要求，高权限账户通常需要每季度审查一次。

前提条件

• 已部署 PAM 解决方案（CyberArk、BeyondTrust、Delinea 或等效方案）
• 身份治理平台（SailPoint、Saviynt 或等效方案）
• 跨所有平台的完整特权账户清单
• 已定义访问审查策略，包含 SLA 和升级流程
• 已指定审查员（账户所有者、经理、安全团队）

核心概念

特权账户分类

类别	示例	风险等级	审查频率
域管理员	企业管理员、域管理员、架构管理员	严重	每月
服务账户	SQL 服务、备份代理、监控代理	高	每季度
云 IAM	AWS root、Azure 全局管理员、GCP 所有者	严重	每月
数据库管理员	DBA 账户、sa/sys 账户	高	每季度
应用管理员	应用管理员角色、具有管理员范围的 API 密钥	中	每半年
紧急/应急账户	紧急调用账户、应急访问	严重	每次使用后

四支柱审查框架

发现                        验证                        修复                      监控
  │                           │                           │                       │
  ├─ 枚举所有                 ├─ 验证业务                 ├─ 移除多余              ├─ 持续
  │  特权账户                 │  合理性                   │  权限                  │  监控
  │                           │                           │                       │
  ├─ 识别孤立                 ├─ 确认账户                 ├─ 禁用孤立              ├─ 异常
  │  账户                     │  所有权                   │  账户                  │  检测
  │                           │                           │                       │
  ├─ 将权限映射到             ├─ 检查策略                 ├─ 强制密码              ├─ 会话
  │  业务角色                 │  合规性                   │  轮换                  │  记录
  │                           │                           │                       │
  └─ 按风险                   └─ 审查最后使用             └─ 实施 JIT              └─ 审计
     等级分类                    时间和活动                  访问                    日志

实施步骤

步骤 1：账户发现与清点

枚举整个环境中的所有特权账户：

Active Directory：

• 域管理员、企业管理员、架构管理员组
• 具有 AdminCount=1 属性的账户
• 具有 SPN（服务主体名称）的服务账户
• 具有委派权限的账户（非约束/约束委派）

云平台：

• AWS：具有 AdministratorAccess、PowerUserAccess 或 iam:* 权限的 IAM 用户/角色
• Azure：全局管理员、特权角色管理员、安全管理员角色
• GCP：组织/项目级别的所有者、编辑者角色

数据库：

• SQL Server：sysadmin、db_owner、securityadmin 固定角色
• Oracle：DBA、SYSDBA、SYSOPER 权限
• PostgreSQL：superuser、createrole、createdb 属性

步骤 2：建立审查标准

每个特权账户必须根据以下标准进行评估：

1. 业务合理性：用户当前职责是否需要此权限？
2. 最小权限：是否可以用更低权限完成任务？
3. 账户活动：账户在过去 90 天内是否有活动？
4. 合规状态：账户是否满足密码策略和 MFA 要求？
5. 职责分离：该访问权限是否会造成 SoD 冲突？
6. 所有权：是否已分配负责任的所有者且其仍处于活跃状态？

步骤 3：执行审查

对于每个账户，指定审查员必须：

1. 审查账户详情、权限和最后活动日期
2. 如果仍需访问，审批（认证）并提供书面合理性说明
3. 如果不再需要或无法证明权限的合理性，撤销访问
4. 如果检测到异常活动或违反策略，标记以供调查
5. 如果审查员无法做出判断，进行升级

决策矩阵：

条件	操作
活跃用户，权限合理	认证 - 维持访问
活跃用户，权限过多	修复 - 降至最小权限
超过 90 天未活跃	禁用账户，通知所有者
未识别所有者	禁用账户，升级至安全团队
检测到 SoD 冲突	修复 - 重新分配或添加补偿控制
应急账户	验证最后使用是否经过授权，重置凭据

步骤 4：修复与执行

审查完成后：

• 撤销在 SLA 期限内未认证账户的访问权限
• 对 14 天内未审查的账户实施自动撤销
• 轮换所有已认证特权账户的凭据
• 尽可能将常设权限转换为即时（JIT）访问
• 使用当前账户清单更新 PAM 保险库

步骤 5：报告与记录

生成审查报告，包含：

• 已审查账户总数与在审范围总数对比
• 认证率（批准与撤销对比）
• 平均审查完成时间
• 逾期审查和升级情况
• 已采取的修复操作
• 与上一审查周期的对比

验证检查清单

• 完整的特权账户清单已记录
• 所有账户已分配负责任的所有者/审查员
• 审查标准和决策矩阵已定义
• 审查员在 SLA（14 天）内完成认证
• 已撤销账户已禁用且凭据已轮换
• 孤立账户已识别并禁用
• 服务账户已针对最小权限进行审查
• 应急账户已审计，确保仅授权使用
• 审查报告已生成，包含指标和趋势
• 修复工单已创建并跟踪至完成
• 证据已保存以备合规审计

参考资料

• NIST SP 800-53 AC-2: 账户管理
• CIS Controls v8 - 控制 5: 账户管理
• Netwrix PAM 最佳实践指南
• StrongDM PAM 最佳实践 2025