在Windows Server 2016中出現(xiàn)的PAM，是一項(xiàng)旨在加強(qiáng)系統(tǒng)安全的新功能，它并不是IPAM，IPAM指的是IP地址管理 (IP Address Management)；PAM意 為 特權(quán)訪問管理（Privileged Access Management），其 主要服務(wù)于活動(dòng)目錄AD DS（Active Directory Domain Services），而另一項(xiàng)功能PIM則從屬于微軟提供的云服務(wù)AAD(Azure Active Directory)。

而在筆者看來，PAM理應(yīng)為微軟安全架構(gòu)MIM(Microsoft Identity Manager)在Windows Server 2016中的標(biāo)志性功能，但其實(shí)現(xiàn)方式涉及到兩種管理方式，它們分別為JIT (Just in Time)與JEA(Just Enough Administration)，它們針對(duì)的當(dāng)然是系統(tǒng)管理的權(quán)力中心。

那么，PAM為管理員帶來了什么？

防止管理員賬戶濫權(quán)

值得指出的是，早在Windows 2000 Server中問世的活動(dòng)目錄Active Directory(AD)，挾 裹 著協(xié) 議LDAP(Lightweight Directory Access Protocol)加盟到企業(yè)級(jí)OS NetWare中并逐漸流行，其中一項(xiàng)重要的服務(wù)便是NDS(NetWare Directory Services)，此時(shí)AD搖身變?yōu)?AD DS(Active Directory Domain Services)并現(xiàn)身于后來各個(gè)版本的Windows Server之中，AD DS為Windows中基于域的網(wǎng)絡(luò)提供了集中式安全策略。

在近年來版本不斷推新的Win Server 中，AD DS一直在不斷地發(fā)展完善，其過程細(xì)節(jié)筆者在此不再贅述。關(guān)鍵在于，Windows Server 2016 AD DS中的新變化正是本文主角PAM，其任務(wù)就是解決管理員賬戶使用中的亂局。

在很多管理不善的網(wǎng)絡(luò)系統(tǒng)，管理員賬戶隨意亂用的情形較為普遍，為此Windows Vista中提供的User Account Control(UAC)試圖對(duì)桌面OS中的管理賬戶加以限制，但在實(shí)際應(yīng)用中由于系統(tǒng)紛紛取消UAC這樣的“素顏”而收效甚微。

因而，服務(wù)器管理員賬戶的泛濫就為系統(tǒng)的安全造成了巨大隱患。因?yàn)楣芾碣~戶的權(quán)限包括：可以安裝程序，改變配置設(shè)置，新建刪除用戶，分配文件的操作方式等等，這樣的權(quán)力如果交到錯(cuò)誤的手中，系統(tǒng)的安全則形同虛設(shè),不攻自破。Windows Server 2016下決心扭轉(zhuǎn)這種痼疾型局面，為此在對(duì)“特權(quán)管理”中提出了JIT（Just in Time administration）與 JEA（Just Enough Administration）兩種管理模式，依次實(shí)現(xiàn)對(duì)管理員賬戶的精細(xì)化管理，那么它們倆與PAM 有什么關(guān)系呢？

PAM作用在于認(rèn)證AD DS域的賬戶，并貫徹執(zhí)行MIM(Microsoft Identity Manager)，PAM建立一個(gè)在AD中形成的同時(shí)又服從AD管理規(guī)則的獨(dú)立保護(hù)區(qū)域，從而避開了AD“叢林”中可能存在的危機(jī)。由PAM營造的這個(gè)“特區(qū)”有著其獨(dú)立的AD DS及其配套的軟件和媒介，非指定的管理員即便有管理員賬戶也會(huì)謝絕入內(nèi)。

JIT與JEA的作用

PAM通過JIT與JEA用于約束管理員賬戶的權(quán)力時(shí)段和范圍。在過去很長一段時(shí)期，業(yè)界流傳的一種說法是管理員應(yīng)該具有兩個(gè)不同賬戶，一個(gè)是具有特權(quán)的管理賬戶，另外一個(gè)就是沒有特權(quán)的普通用戶賬戶，他可以根據(jù)需要在兩個(gè)賬戶之間切換。

這種做法聽上去很不錯(cuò)，但在實(shí)際工作中很多人不會(huì)這么做，很多人會(huì)圖省事只用他的一個(gè)貴族賬號(hào)搞定一切，這似乎也很符合人性。為解決這種情形，PAM通過JIT與JEA兩種約束方式加以限制。

JIT的作用主要是，只有在執(zhí)行工作需要時(shí)才提供管理特權(quán)，而且是在限定的時(shí)間段內(nèi)，而不能是永久不限時(shí)地提供特權(quán)，依次降低由于人為因素造成的系統(tǒng)分險(xiǎn)。

與此相反的另一種方式，JEA則是限制管理特權(quán)的執(zhí)行范圍，其實(shí)現(xiàn)方式為準(zhǔn)許特定的用戶在特定的服務(wù)器上執(zhí)行指定的管理任務(wù)，而不是給管理員賬戶過多甚至全部的管理特權(quán)，通過對(duì)權(quán)力的限制提升系統(tǒng)的安全系數(shù)。

JEA是通過一個(gè)名為RBAC(Role Based Access Control)的工作平臺(tái)完成的，它有利于精簡管理員的設(shè)置人數(shù)，讓系統(tǒng)管理更加清晰和條理，當(dāng)然目的是為了更加安全。