企业实施特权身份管理是基于一个理念：最先进的安全威胁往往都会涉及到一个共同的因素，即获取管理员、超级用户、甚至本地程序管理员的权限凭据。通过获取这些权限凭据，网络攻击者可以将迁移内部系统转为对自己有利的方面，重写安全策略并保持不被察觉。

　　特权身份管理工具能够锁定那些特殊的用户身份凭据，所以，即使攻击者成功的实施了违规破坏行为，也只是针对低级别的端点，而不会造成多大的危害。而一旦这些攻击者试图在受损系统中提升其权限，他们不仅将快速被检测到，而且尝试任何程序运行的行为都将会被阻止。

　　在这篇测评文章中，我们分别测评了来自BeyondTrust公司、CyberArk公司、Lieberman公司、NetIQ公司、Centrify公司和Viewfinity的特权身份管理(PIM)产品。当然，这仍然是一个不断发展的领域，而各个测评供应厂商也正在从不同的角度来进行产品的研发。因此，这不是一对一的直接比较，而更多涉及的则是对于每家产品供应商研发PIM方法的分析。

　　每家产品供应商似乎都至少在一个领域内大放异彩。如Viewfinity公司的特权管理套件在锁定所有用户的权限方面运行良好，其通过对于大多数用户完全不可见的很轻的接触，是这方面产品中的佼佼者。

　　而Centrify公司的服务器套件和特权服务产品则淘汰了传统的对于密码库的需要，让用户能够通过使用正常登录root据其需要访问网络资产，并从整个过程中删除了多个密码。

　　而CyberArk公司的特权帐户的安全解决方案则是我们所测试的最为全面的系统之一，因为其是由五个不同的元素所组成的一个最全面的安全系统。

　　Lieberman的软件解决方案的核心是其企业随机密码管理器，其可以在短短的几分钟内随机生成成千上万个密码，确保即使发生密码被捕获的事件，也不会持续太久的时间。

　　NetIQ公司的特权帐户经理集中在经常被人们所忽视的非人类账户领域，这些账户可能是属于某些程序或进程程的，或者是那些无意中获得了比其实际工作需要更大的访问权限的任何用户。

　　而BeyondTrust公司的PowerBroker UNIX & Linux产品则将PIM带到了Windows环境之外，跨Linux和Unix 系统，这是当前市场所最迫切需要的。

　　以下，是我们对于每款产品的具体测评报告：

　　BeyondTrust PowerBroker UNIX & Linux

　　BeyondTrust公司的这款PowerBroker UNIX & Linux产品只能用于那些操作系统，尽管其可以绑定到一个能在网络上控制所有系统的管理控制台，包括那些为Windows产品提供保护的BeyondTrust PowerBroker。在撰写这篇评论时，我们只测评了Linux系统。BeyondTrust公司的所有的产品都是永久性基于服务器的。这款PowerBroker产品的起价为199美元，折扣适用于批量采购。

　　当这款PowerBroker 产品最初被安装在网络上时，少数代码被安装在每一台Linux机器上，以便作为回到中央安全服务器通信的代理。此后，针对每位用户和每一个可能的命令的政策便可以从其他来源导入或使用主界面创建。虽然有一个非常干净的GUI界面，BeyondTrust公司的官方发言人表示说，绝大多数的Linux用户喜欢使用命令行界面。因此，我们的大部分测试都是使用命令行完成的。

　　PowerBroker将最低权限的概念发挥到了极致。安装完成之后，用户运行进程的所有请求，无论是远程或在本地机器上，都需要发送到授权服务器。有很多规则可以基于诸如实际命令的需要来设置，包括用户发出请求、他们的位置、甚至在一天中发出请求的时间。授权服务器将检查策略文件，然后要么允许用户运行该命令或拒绝他们的请求。在这两种情况下，请求和决议都将被记录。

　　如果某个请求得到批准，这并不一定意味着进程将作为root用户运行。可以通过设置相应的策略，这样命令是从低特权帐户作为一个额外的安全层运行。所以一名用户可能想要root访问权限以运行一个进程，但并非让该进程像某些管理类型或甚至是正常的用户应该做的那样运行。PowerBroker可以被配置只为每一个进程提供所需的绝对最低权限级别。

　　在我们的测试中，任何试图绕过授权服务器的尝试都失败了。默认情况下，如果无法联系授权服务器，例如如果断开网络电缆，所有请求都会被拒绝。尝试在不经过授权服务器的情况下，获得root访问或对本地机器的管理员访问权限，会被立即关闭。而本地机和授权服务器之间的所有通信均使用AES加密保护，以防止发生窥探或欺骗。

　　每个用户请求的日志文件被存储在中央服务器，其从网络上任何一台客户机器上都是无法访问的。因此，即使是来自企业内部的安全威胁也无法掩盖其踪迹。在PowerBroker的控制台可以很容易地从每天的日志文件中发现所有失败的请求，其可能是在一片以绿色标示的获审批请求中，以红色突出显示。在这种情况下，即使一位用户仅仅只是测试防御系统或数据库，这些请求尝试都将得到记录。策略服务器管理员可以在任何时候通过报告进行检查，或者设置为以各种形式定期提交，如以发送电子邮件的形式。

　　作为一种选择，用户会话可以被记录并在以后进行回放。这可以通过设置，使得其能够基于某些事件自动记录，如正在发布的更高级别的命令或用户远程控制一台机器而非在本地，或管理员所认为的任何有必要以保持安全性和一致性的记录。由于大多数用户正在利用Linux命令行界面，大部分这类记录被简单地捕捉为文本和按键，这使得文件相对较小。然而，如果存储空间成为一个问题，数据限制也是可设置的。比方说，该程序仅捕获最初的500K的数据，这通常对于了解用户试图达到什么目的是足够的。

　　当使用记录组件时，甚至包括删除键的操作也会被捕获。我们试图模拟用户想输入一个命令，类似于删除一个文件的命令，并在退出之前将该命令打出，然后又改变想法将其删除。即使如此，只要我们输入该命令，该进程也会被记录，即使其从未发送。