许多Linux管理员可能使用SUDO来执行最低的特权策略。正如已经由其官方认可的，BeyondTrust公司有一个被称为PBSUDO策略服务器的PowerBroker产品版本，其为SUDO用户集成了PowerBroker的大部分功能特点，而最重要的是，除了从本地机器删除了SUDO命令授权，其还能够在远程授权服务器像PowerBroker产品的主要版本那样提供保护。

　　PowerBroker套件的最后一个组件是BeyondInsight工具，其使用分析来识别异常行为和首次事件。因此，如果一名用户始终在本地登录，却突然进行了远程操作，这一行为可能会被标记出来。或者，如果一家企业的某个管理员突然开始在其并不负责的区域闲逛，这一事件也可能会被用一面红旗标注。这款工具的一个负面作用则是，其需要很长的时间才能变得有用，一般以三个月的时间最小基线。值得庆幸的是，用户界面​​显示经批准的所有命令行，并在此期间将命令拒绝工作执行得很好，尤其是在如果有人花时间来熟悉正常的网络操作的情况下。

　　而BeyondInsight可以真正发挥其帮助作用的地方便是在非常大型的企业组织内，或是在配置不正确的政策使得某些用户执行了一些不应该做的事情的情况之下。其可以捕捉流氓信任的内部人士，但同时也属于不正确配置的政策，可能会意外地允许不必要的流程和命令执行。

　　NetIQ公司的特权帐户管理器3.0版本

　　来自NetIQ公司的特权帐户管理器，该产品现在也是Micro Focus公司产品组合，将那些特权帐户定义为可以访问文件、运行程序、添加或更改现有用户的权利。他们还专注于非人类的帐户，而这些非人类的帐户很可能是由某些程序或进程，以及任何被授予了超出所应该获得的访问权限以外的用户所持有的。对于大多数企业组织而言，这是一个相当庞大的人员群体，但特权帐户管理器则能够通过使用自动化以及直接监测用户活动来对它们实施管理。

　　NetIQ公司的产品的核心是企业凭证库，其其以一种加密的数据安全方法存储了所有资产的密码。用户并不需要知道他们需要访问的系统或资产的密码。相反，他们提出访问申请，而如果访问申请被批准，他们会被给予临时性的密码，而这些临时性的密码仅在一定的时间段内可用，时间过期之后无用了。这些密码可能需要root据政策或需要通过策略服务器管理员的批准自动给出。几乎任何规则均可以基于用户和围绕着该资产访问请求的安全性进行配置。由于自动化方面的要求，诸如数据库和云服务等程序可以利用vault源控制工具以及有效的自动流程，因为他们需要定期的执行。

　　使用图形界面制定各种政策是一个简单的过程。在选择规则组时，企业用户有各种各样的分类选择，如Windows访问和甲骨文数据库密码检查规则。您可以从活动目录中导入一整套规则，或采用在企业组织内已经有的一些用户形式或基于密码的安全性事件中的任何其他数据库程序规则。

　　管理员还可以在一个会话被授权的情况下设置规则，这是非常特殊的。例如，可以限制用户输入删除任何文件的命令，或阻止用户打开记事本复制数据到本地机器。您还可以指定某些禁止行为，例如试图在Windows服务器上运行服务命令。不仅仅只是将其锁定，用户如若执行其中的一项被禁止的行为，便会自动断开，结束用户会话，剥夺他们的访问权限和他们的系统密码，并通知管理员发生了什么情况以及为何发生该情况。

　　我们试图通过一些偷偷摸摸的巧妙方式以便在受保护的机器上规避这些禁止行为的规定，而每一次我们都会遭遇到会话连接被断开，并被吊销证书。在特权帐户管理器的管理员面板上，那些被迫断开将以明亮的红色闪显，使得我们企图滥用的格局模式变得相当明显。我们非常肯定我们曾试图这样在一个真实的生产网络上进行操作，然后，就会有人会来找我们谈话，或可能是护送我们走出大楼。

　　策略管理员甚至可以控制密码检查请求本身，假设系统被配置为在其循环中有一个人为因素。例如，如果一个用户请求对某个特定服务器的一个高级别的访问权限，但其给出的相关解释说明并不能证明其是正确的，那么管理员就可以不必授予该用户使用一个临时的密码，而是分配给那位用户一个较低的访问权限。为什么被授予低级别的访问权限的一种解释是，以便用户知道该决定背后的逻辑。

　　通过特权帐户管理器可以对用户的全部会话进行记录。有一款极好的审查程序列出了用户在左侧输入的所有命令，同时在桌面的右边像放电影一样有一个完整命令视图。您可以通过点击左侧的命令窗口，选择视频中的任意部分，这样您可以看到用户什么时候以及如何试图打开服务，其也可以像播放正常视频一样通过控制键播放，获快进按钮快进，或在屏幕的底部点击进度条进行视频播放。在会话结束后，这可以在任何时间进行检查，为管理员调查的一部分，或者在实时会话的情况下，对特定用户进行调查。而且，为避免政策管理者滥用他们手中的权力，他们的所有行动也将会被记录下来，因此会有人被分配检查这些政策管理者的操作，以确保更好的安全性。

　　特权帐户管理器3.0版本的自动功能可进行编程，令人印象相当深刻，其能真正帮助制止恶劣的犯罪和愚蠢的用户错误，毕竟，这两者造成的损失对于企业组织而言都可能是非常昂贵的。但是特权帐户管理器真正发挥最佳作用的时候是人为操作行为也将会被监测，并积极响应用户访问系统资源的请求。该接口界面很光滑，单个管理员可以轻松地管理相当多的用户，请求可能需要等待几分钟，即使是在高峰时段的请求批准。

　　特权帐户管理器3.0版本的起始售价为每个实例许可证787美元。对于这个价格，其对于那些有安全运营中心有专门的工作人员的企业而言，将是一款相当棒的工具，能够帮助他们在实时保卫自己的网络方面发挥积极作用。在大多数企业组织中，较之有SOC团队响应无尽的警报，这会更有效。由于所有特权帐户均被锁定，并实施了主动的监测，那些猖獗的SIM警报的重要性将大大降低，同时也可能不再频繁了。