performing-privileged-account-access-review
对特权账户进行系统性审查,验证访问权限,识别过多权限,并在 PAM 基础设施中执行最小权限原则。
Best use case
performing-privileged-account-access-review is best used when you need a repeatable AI agent workflow instead of a one-off prompt.
对特权账户进行系统性审查,验证访问权限,识别过多权限,并在 PAM 基础设施中执行最小权限原则。
Teams using performing-privileged-account-access-review should expect a more consistent output, faster repeated execution, less prompt rewriting.
When to use this skill
- You want a reusable workflow that can be run more than once with consistent structure.
When not to use this skill
- You only need a quick one-off answer and do not need a reusable workflow.
- You cannot install or maintain the underlying files, dependencies, or repository context.
Installation
Claude Code / Cursor / Codex
Manual Installation
- Download SKILL.md from GitHub
- Place it in
.claude/skills/performing-privileged-account-access-review/SKILL.mdinside your project - Restart your AI agent — it will auto-discover the skill
How performing-privileged-account-access-review Compares
| Feature / Agent | performing-privileged-account-access-review | Standard Approach |
|---|---|---|
| Platform Support | Not specified | Limited / Varies |
| Context Awareness | High | Baseline |
| Installation Complexity | Unknown | N/A |
Frequently Asked Questions
What does this skill do?
对特权账户进行系统性审查,验证访问权限,识别过多权限,并在 PAM 基础设施中执行最小权限原则。
Where can I find the source code?
You can find the source code on GitHub using the link provided at the top of the page.
SKILL.md Source
# 执行特权账户访问审查
## 概述
特权账户访问审查是一项关键的身份治理流程,用于验证拥有提升权限的用户是否仍需要其访问权限。该审查涵盖域管理员、服务账户、数据库管理员、云 IAM 角色以及应用级特权账户。定期访问审查由 SOC 2、PCI DSS、HIPAA 和 SOX 合规框架强制要求,高权限账户通常需要每季度审查一次。
## 前提条件
- 已部署 PAM 解决方案(CyberArk、BeyondTrust、Delinea 或等效方案)
- 身份治理平台(SailPoint、Saviynt 或等效方案)
- 跨所有平台的完整特权账户清单
- 已定义访问审查策略,包含 SLA 和升级流程
- 已指定审查员(账户所有者、经理、安全团队)
## 核心概念
### 特权账户分类
| 类别 | 示例 | 风险等级 | 审查频率 |
|------|------|----------|----------|
| 域管理员 | 企业管理员、域管理员、架构管理员 | 严重 | 每月 |
| 服务账户 | SQL 服务、备份代理、监控代理 | 高 | 每季度 |
| 云 IAM | AWS root、Azure 全局管理员、GCP 所有者 | 严重 | 每月 |
| 数据库管理员 | DBA 账户、sa/sys 账户 | 高 | 每季度 |
| 应用管理员 | 应用管理员角色、具有管理员范围的 API 密钥 | 中 | 每半年 |
| 紧急/应急账户 | 紧急调用账户、应急访问 | 严重 | 每次使用后 |
### 四支柱审查框架
```
发现 验证 修复 监控
│ │ │ │
├─ 枚举所有 ├─ 验证业务 ├─ 移除多余 ├─ 持续
│ 特权账户 │ 合理性 │ 权限 │ 监控
│ │ │ │
├─ 识别孤立 ├─ 确认账户 ├─ 禁用孤立 ├─ 异常
│ 账户 │ 所有权 │ 账户 │ 检测
│ │ │ │
├─ 将权限映射到 ├─ 检查策略 ├─ 强制密码 ├─ 会话
│ 业务角色 │ 合规性 │ 轮换 │ 记录
│ │ │ │
└─ 按风险 └─ 审查最后使用 └─ 实施 JIT └─ 审计
等级分类 时间和活动 访问 日志
```
## 实施步骤
### 步骤 1:账户发现与清点
枚举整个环境中的所有特权账户:
**Active Directory:**
- 域管理员、企业管理员、架构管理员组
- 具有 AdminCount=1 属性的账户
- 具有 SPN(服务主体名称)的服务账户
- 具有委派权限的账户(非约束/约束委派)
**云平台:**
- AWS:具有 AdministratorAccess、PowerUserAccess 或 `iam:*` 权限的 IAM 用户/角色
- Azure:全局管理员、特权角色管理员、安全管理员角色
- GCP:组织/项目级别的所有者、编辑者角色
**数据库:**
- SQL Server:sysadmin、db_owner、securityadmin 固定角色
- Oracle:DBA、SYSDBA、SYSOPER 权限
- PostgreSQL:superuser、createrole、createdb 属性
### 步骤 2:建立审查标准
每个特权账户必须根据以下标准进行评估:
1. **业务合理性**:用户当前职责是否需要此权限?
2. **最小权限**:是否可以用更低权限完成任务?
3. **账户活动**:账户在过去 90 天内是否有活动?
4. **合规状态**:账户是否满足密码策略和 MFA 要求?
5. **职责分离**:该访问权限是否会造成 SoD 冲突?
6. **所有权**:是否已分配负责任的所有者且其仍处于活跃状态?
### 步骤 3:执行审查
对于每个账户,指定审查员必须:
1. 审查账户详情、权限和最后活动日期
2. 如果仍需访问,审批(认证)并提供书面合理性说明
3. 如果不再需要或无法证明权限的合理性,撤销访问
4. 如果检测到异常活动或违反策略,标记以供调查
5. 如果审查员无法做出判断,进行升级
决策矩阵:
| 条件 | 操作 |
|------|------|
| 活跃用户,权限合理 | 认证 - 维持访问 |
| 活跃用户,权限过多 | 修复 - 降至最小权限 |
| 超过 90 天未活跃 | 禁用账户,通知所有者 |
| 未识别所有者 | 禁用账户,升级至安全团队 |
| 检测到 SoD 冲突 | 修复 - 重新分配或添加补偿控制 |
| 应急账户 | 验证最后使用是否经过授权,重置凭据 |
### 步骤 4:修复与执行
审查完成后:
- 撤销在 SLA 期限内未认证账户的访问权限
- 对 14 天内未审查的账户实施自动撤销
- 轮换所有已认证特权账户的凭据
- 尽可能将常设权限转换为即时(JIT)访问
- 使用当前账户清单更新 PAM 保险库
### 步骤 5:报告与记录
生成审查报告,包含:
- 已审查账户总数与在审范围总数对比
- 认证率(批准与撤销对比)
- 平均审查完成时间
- 逾期审查和升级情况
- 已采取的修复操作
- 与上一审查周期的对比
## 验证检查清单
- [ ] 完整的特权账户清单已记录
- [ ] 所有账户已分配负责任的所有者/审查员
- [ ] 审查标准和决策矩阵已定义
- [ ] 审查员在 SLA(14 天)内完成认证
- [ ] 已撤销账户已禁用且凭据已轮换
- [ ] 孤立账户已识别并禁用
- [ ] 服务账户已针对最小权限进行审查
- [ ] 应急账户已审计,确保仅授权使用
- [ ] 审查报告已生成,包含指标和趋势
- [ ] 修复工单已创建并跟踪至完成
- [ ] 证据已保存以备合规审计
## 参考资料
- [NIST SP 800-53 AC-2: 账户管理](https://csf.tools/reference/nist-sp-800-53/r5/ac/ac-2/)
- [CIS Controls v8 - 控制 5: 账户管理](https://www.cisecurity.org/controls/account-management)
- [Netwrix PAM 最佳实践指南](https://netwrix.com/en/resources/guides/privileged-account-management-best-practices/)
- [StrongDM PAM 最佳实践 2025](https://www.strongdm.com/blog/privileged-access-management-best-practices)Related Skills
testing-for-broken-access-control
系统性测试 Web 应用程序中的访问控制缺陷,包括权限提升、缺失的功能级检查以及不安全的直接对象引用。
securing-remote-access-to-ot-environment
本技能涵盖为操作员、工程师和供应商实施OT/ICS环境的安全远程访问,同时防止可能危害工业运营的未授权访问。涉及跳板服务器架构、多因素认证、会话记录、特权访问管理、供应商远程访问控制,以及符合IEC 62443和NERC CIP-005远程访问要求。
performing-yara-rule-development-for-detection
通过识别可执行文件中的唯一字节模式、字符串和行为指标,开发精准的 YARA 恶意软件检测规则,同时将误报率降至最低。
performing-wireless-security-assessment-with-kismet
使用 Kismet 通过被动射频监控进行无线网络安全评估,检测流氓接入点(Rogue AP)、隐藏 SSID、弱加密和未授权客户端。
performing-wireless-network-penetration-test
执行无线网络渗透测试,通过捕获握手包、破解 WPA2/WPA3 密钥、检测流氓接入点以及使用 Aircrack-ng 和相关工具测试无线网络分段,评估 WiFi 安全性。
performing-windows-artifact-analysis-with-eric-zimmerman-tools
使用 Eric Zimmerman 的开源 EZ Tools 套件(包括 KAPE、MFTECmd、PECmd、LECmd、JLECmd 和 Timeline Explorer)执行全面的 Windows 取证制品分析,解析注册表 hive、预取文件、事件日志和文件系统元数据。
performing-wifi-password-cracking-with-aircrack
在授权无线安全评估中捕获 WPA/WPA2 握手包,并使用 aircrack-ng、hashcat 和字典攻击进行离线密码破解, 以评估密码短语强度和无线网络安全状况。
performing-web-cache-poisoning-attack
在授权安全测试期间,通过未纳入缓存键的头部和参数毒化缓存响应,利用 Web 缓存机制向其他用户投递恶意内容。
performing-web-cache-deception-attack
通过利用 CDN 缓存层与源服务器之间的路径规范化差异,执行 Web 缓存欺骗攻击,从而缓存并获取敏感的已认证内容。
performing-web-application-vulnerability-triage
使用 OWASP 风险评级方法论对 DAST/SAST 扫描器的 Web 应用程序漏洞发现进行分类,区分真阳性和假阳性,并确定修复优先级。
performing-web-application-scanning-with-nikto
Nikto 是一款开源 Web 服务器和 Web 应用程序扫描器,可针对超过 7,000 个潜在危险文件/程序进行测试,检查超过 1,250 个服务器的过期版本,并识别超过 270 个服务器的版本特定问题。
performing-web-application-penetration-test
遵循 OWASP Web 安全测试指南(WSTG)方法论,对 Web 应用程序执行系统化安全测试,识别认证、授权、 输入验证、会话管理和业务逻辑中的漏洞。测试人员以 Burp Suite 作为主要拦截代理,结合手动测试技术 发现自动化扫描器遗漏的缺陷。适用于 Web 应用渗透测试、OWASP 测试、应用安全评估或 Web 漏洞测试等请求场景。