权限提升和委派管理（PEDM）

特权提升是 IT 团队向标准用户提供的独占、有时间限制的访问，这些用户通常无权访问关键企业资源，简而言之，权限提升不是授予永久或长期权限，而是允许在特定时间范围内访问某些企业资产。

例如，需要访问不属于其权限范围的资源的员工将需要基于时间的特权提升才能执行相关任务，这确保了他们只能在指定时冒险进入授权区域，而无需采取不必要的控制措施。基于需求的访问委派可防止授予过多权限，并增强组织的 IT 安全性。

权限提升攻击

当恶意内部人员试图非法访问企业资源时，就会发生权限提升攻击，孤立帐户或具有永久提升权限的帐户允许此类用户访问企业的僻静边界并执行数据泄露等恶意操作。

权限提升攻击的类型

在企业场景中，提权攻击通过以下方式对系统访问功能进行渐进式控制：

• 授予水平权限提升以提供对相同角色级别之间功能的访问，它允许用户模拟另一个用户，而两者都具有相同级别的权限。例如，员工使用被盗的凭据登录同事的系统，可以访问前者的敏感信息，如密码、文件，甚至是他们所属的网络。
• 垂直权限提升允许非管理用户访问管理用户的功能。例如，尝试访问组织系统管理员门户的新员工要求将权限提升到他们通常无权访问的管理区域。

将特权提升和委派管理合并到企业工作流中，允许向用户授予受控权限，从而简化特权提升策略，并有助于建立高效的零信任模型。

什么是权限提升和委派管理（PEDM）

PEDM 是特权访问管理（PAM）的一部分，旨在根据非管理员用户的要求为其提供临时的精细权限。

通过利用 PEDM，IT 团队可以确保仅在需要时才能授予对特权帐户和资源的访问权限。当与 PAM 系统集成时，这种精细功能可以降低意外暴露帐户和密码的风险，从而防止攻击者和恶意内部人员通过企业的特权途径横向移动。