implementing-privileged-access-workstation
设计并实施特权访问工作站(PAW,Privileged Access Workstation),包括设备加固、即时访问(JIT)以及与 CyberArk 或 BeyondTrust 的集成,以保障安全的管理操作。
Best use case
implementing-privileged-access-workstation is best used when you need a repeatable AI agent workflow instead of a one-off prompt.
设计并实施特权访问工作站(PAW,Privileged Access Workstation),包括设备加固、即时访问(JIT)以及与 CyberArk 或 BeyondTrust 的集成,以保障安全的管理操作。
Teams using implementing-privileged-access-workstation should expect a more consistent output, faster repeated execution, less prompt rewriting.
When to use this skill
- You want a reusable workflow that can be run more than once with consistent structure.
When not to use this skill
- You only need a quick one-off answer and do not need a reusable workflow.
- You cannot install or maintain the underlying files, dependencies, or repository context.
Installation
Claude Code / Cursor / Codex
Manual Installation
- Download SKILL.md from GitHub
- Place it in
.claude/skills/implementing-privileged-access-workstation/SKILL.mdinside your project - Restart your AI agent — it will auto-discover the skill
How implementing-privileged-access-workstation Compares
| Feature / Agent | implementing-privileged-access-workstation | Standard Approach |
|---|---|---|
| Platform Support | Not specified | Limited / Varies |
| Context Awareness | High | Baseline |
| Installation Complexity | Unknown | N/A |
Frequently Asked Questions
What does this skill do?
设计并实施特权访问工作站(PAW,Privileged Access Workstation),包括设备加固、即时访问(JIT)以及与 CyberArk 或 BeyondTrust 的集成,以保障安全的管理操作。
Where can I find the source code?
You can find the source code on GitHub using the link provided at the top of the page.
SKILL.md Source
# 实施特权访问工作站 ## 概述 特权访问工作站(PAW,Privileged Access Workstation)是专用于执行敏感管理任务的加固设备。本技能涵盖使用分层管理模型(Tiered Administration Model)进行 PAW 设计、通过 Microsoft Intune 或组策略(Group Policy)强制执行设备合规性、即时访问(JIT,Just-In-Time)权限配置,以及与 CyberArk 和 BeyondTrust 等特权访问管理(PAM)平台的集成。 ## 前置条件 - Windows 10/11 企业版,启用基于虚拟化的安全性(VBS,Virtualization Based Security) - Microsoft Intune 或 Active Directory 组策略 - CyberArk Privileged Access Security 或 BeyondTrust Password Safe(可选) - Python 3.9+,安装 `requests`、`subprocess`、`json` - 对目标端点具有管理员访问权限 ## 步骤 1. 审计当前特权访问模式并识别 Tier 0/1/2 资产 2. 配置设备加固基线(AppLocker、Credential Guard、Device Guard) 3. 通过 Intune 或 GPO 强制执行合规策略 4. 使用时限管理员组成员资格实施即时访问 5. 与 CyberArk/BeyondTrust 集成进行凭据保管 6. 对照 CIS 和 Microsoft PAW 指南验证 PAW 配置 7. 监控特权会话并生成合规报告 ## 预期输出 - JSON 报告,列出设备合规状态、加固检查项、JIT 访问窗口和 PAM 集成验证结果 - 每台工作站的风险评分及修复建议
Related Skills
testing-for-broken-access-control
系统性测试 Web 应用程序中的访问控制缺陷,包括权限提升、缺失的功能级检查以及不安全的直接对象引用。
securing-remote-access-to-ot-environment
本技能涵盖为操作员、工程师和供应商实施OT/ICS环境的安全远程访问,同时防止可能危害工业运营的未授权访问。涉及跳板服务器架构、多因素认证、会话记录、特权访问管理、供应商远程访问控制,以及符合IEC 62443和NERC CIP-005远程访问要求。
performing-privileged-account-discovery
发现并清点企业基础设施中的所有特权账户,包括域管理员、本地管理员、服务账户、数据库管理员、云 IAM 角色和应用管理员账户。
performing-privileged-account-access-review
对特权账户进行系统性审查,验证访问权限,识别过多权限,并在 PAM 基础设施中执行最小权限原则。
performing-initial-access-with-evilginx3
在红队演练中,使用 EvilGinx3 中间人(Adversary-in-the-Middle)钓鱼框架执行授权的初始访问,捕获会话令牌并绕过多因素认证(MFA)。
performing-credential-access-with-lazagne
在授权红队行动中,使用 LaZagne 后渗透工具从已控制的终端提取存储的凭据,从浏览器、数据库、系统密钥库和应用程序中恢复密码。
performing-access-review-and-certification
开展系统性的访问审查和认证,确保用户拥有与其角色相符的访问权限。涵盖审查活动设计、审查员选择、基于风险的优先级排序、微认证策略,以及满足 SOX、HIPAA 和 PCI DSS 要求的整改跟踪。
performing-access-recertification-with-saviynt
在 Saviynt Enterprise Identity Cloud 中配置和执行访问重认证活动,以验证用户权限、撤销多余的访问权限,并维持对 SOX、SOC2 和 HIPAA 的合规性。
implementing-zero-trust-with-hashicorp-boundary
使用 HashiCorp Boundary 实现具备动态凭据代理、会话录制和 Vault 集成的身份感知零信任基础设施访问管理。
implementing-zero-trust-with-beyondcorp
使用身份感知代理(IAP,Identity-Aware Proxy)、上下文感知访问策略、设备信任验证和 Access Context Manager,部署 Google BeyondCorp Enterprise 零信任访问控制,对 GCP 资源和内部应用强制执行基于身份和安全态势的访问。
implementing-zero-trust-network-access
通过配置身份感知代理、微分段、基于条件访问策略的持续验证,以及在 AWS、Azure 和 GCP 环境中以 BeyondCorp 风格的架构替代传统 VPN 访问,在云环境中实施零信任网络访问(ZTNA)。
implementing-zero-trust-network-access-with-zscaler
使用 Zscaler 实施零信任网络访问(Zero Trust Network Access,ZTNA),通过 Zscaler Private Access(ZPA)配置应用分段、访问策略和连接器,替代传统 VPN 架构