Windows Server中的PAM

在Windows Server 2016中出現的PAM，是一項旨在加強系統安全的新功能，它并不是IPAM，IPAM指的是IP地址管理 (IP Address Management)；PAM意 為 特權訪問管理（Privileged Access Management），其 主要服務于活動目錄AD DS（Active Directory Domain Services），而另一項功能PIM則從屬于微軟提供的云服務AAD(Azure Active Directory)。

而在筆者看來，PAM理應為微軟安全架構MIM(Microsoft Identity Manager)在Windows Server 2016中的標志性功能，但其實現方式涉及到兩種管理方式，它們分別為JIT (Just in Time)與JEA(Just Enough Administration)，它們針對的當然是系統管理的權力中心。

那么，PAM為管理員帶來了什么？

防止管理員賬戶濫權

值得指出的是，早在Windows 2000 Server中問世的活動目錄Active Directory(AD)，挾 裹 著協 議LDAP(Lightweight Directory Access Protocol)加盟到企業級OS NetWare中并逐漸流行，其中一項重要的服務便是NDS(NetWare Directory Services)，此時AD搖身變為 AD DS(Active Directory Domain Services)并現身于后來各個版本的Windows Server之中，AD DS為Windows中基于域的網絡提供了集中式安全策略。

在近年來版本不斷推新的Win Server 中，AD DS一直在不斷地發展完善，其過程細節筆者在此不再贅述。關鍵在于，Windows Server 2016 AD DS中的新變化正是本文主角PAM，其任務就是解決管理員賬戶使用中的亂局。

在很多管理不善的網絡系統，管理員賬戶隨意亂用的情形較為普遍，為此Windows Vista中提供的User Account Control(UAC)試圖對桌面OS中的管理賬戶加以限制，但在實際應用中由于系統紛紛取消UAC這樣的“素顏”而收效甚微。

因而，服務器管理員賬戶的泛濫就為系統的安全造成了巨大隱患。因為管理賬戶的權限包括：可以安裝程序，改變配置設置，新建刪除用戶，分配文件的操作方式等等，這樣的權力如果交到錯誤的手中，系統的安全則形同虛設,不攻自破。Windows Server 2016下決心扭轉這種痼疾型局面，為此在對“特權管理”中提出了JIT（Just in Time administration）與 JEA（Just Enough Administration）兩種管理模式，依次實現對管理員賬戶的精細化管理，那么它們倆與PAM 有什么關系呢？

PAM作用在于認證AD DS域的賬戶，并貫徹執行MIM(Microsoft Identity Manager)，PAM建立一個在AD中形成的同時又服從AD管理規則的獨立保護區域，從而避開了AD“叢林”中可能存在的危機。由PAM營造的這個“特區”有著其獨立的AD DS及其配套的軟件和媒介，非指定的管理員即便有管理員賬戶也會謝絕入內。

JIT與JEA的作用

PAM通過JIT與JEA用于約束管理員賬戶的權力時段和范圍。在過去很長一段時期，業界流傳的一種說法是管理員應該具有兩個不同賬戶，一個是具有特權的管理賬戶，另外一個就是沒有特權的普通用戶賬戶，他可以根據需要在兩個賬戶之間切換。

這種做法聽上去很不錯，但在實際工作中很多人不會這么做，很多人會圖省事只用他的一個貴族賬號搞定一切，這似乎也很符合人性。為解決這種情形，PAM通過JIT與JEA兩種約束方式加以限制。

JIT的作用主要是，只有在執行工作需要時才提供管理特權，而且是在限定的時間段內，而不能是永久不限時地提供特權，依次降低由于人為因素造成的系統分險。

與此相反的另一種方式，JEA則是限制管理特權的執行范圍，其實現方式為準許特定的用戶在特定的服務器上執行指定的管理任務，而不是給管理員賬戶過多甚至全部的管理特權，通過對權力的限制提升系統的安全系數。

JEA是通過一個名為RBAC(Role Based Access Control)的工作平臺完成的，它有利于精簡管理員的設置人數，讓系統管理更加清晰和條理，當然目的是為了更加安全。