performing-privileged-account-access-review

对特权账户进行系统性审查,验证访问权限,识别过多权限,并在 PAM 基础设施中执行最小权限原则。

9 stars

Best use case

performing-privileged-account-access-review is best used when you need a repeatable AI agent workflow instead of a one-off prompt.

对特权账户进行系统性审查,验证访问权限,识别过多权限,并在 PAM 基础设施中执行最小权限原则。

Teams using performing-privileged-account-access-review should expect a more consistent output, faster repeated execution, less prompt rewriting.

When to use this skill

  • You want a reusable workflow that can be run more than once with consistent structure.

When not to use this skill

  • You only need a quick one-off answer and do not need a reusable workflow.
  • You cannot install or maintain the underlying files, dependencies, or repository context.

Installation

Claude Code / Cursor / Codex

$curl -o ~/.claude/skills/performing-privileged-account-access-review/SKILL.md --create-dirs "https://raw.githubusercontent.com/killvxk/cybersecurity-skills-zh/main/skills/performing-privileged-account-access-review/SKILL.md"

Manual Installation

  1. Download SKILL.md from GitHub
  2. Place it in .claude/skills/performing-privileged-account-access-review/SKILL.md inside your project
  3. Restart your AI agent — it will auto-discover the skill

How performing-privileged-account-access-review Compares

Feature / Agentperforming-privileged-account-access-reviewStandard Approach
Platform SupportNot specifiedLimited / Varies
Context Awareness High Baseline
Installation ComplexityUnknownN/A

Frequently Asked Questions

What does this skill do?

对特权账户进行系统性审查,验证访问权限,识别过多权限,并在 PAM 基础设施中执行最小权限原则。

Where can I find the source code?

You can find the source code on GitHub using the link provided at the top of the page.

SKILL.md Source

# 执行特权账户访问审查

## 概述

特权账户访问审查是一项关键的身份治理流程,用于验证拥有提升权限的用户是否仍需要其访问权限。该审查涵盖域管理员、服务账户、数据库管理员、云 IAM 角色以及应用级特权账户。定期访问审查由 SOC 2、PCI DSS、HIPAA 和 SOX 合规框架强制要求,高权限账户通常需要每季度审查一次。

## 前提条件

- 已部署 PAM 解决方案(CyberArk、BeyondTrust、Delinea 或等效方案)
- 身份治理平台(SailPoint、Saviynt 或等效方案)
- 跨所有平台的完整特权账户清单
- 已定义访问审查策略,包含 SLA 和升级流程
- 已指定审查员(账户所有者、经理、安全团队)

## 核心概念

### 特权账户分类

| 类别 | 示例 | 风险等级 | 审查频率 |
|------|------|----------|----------|
| 域管理员 | 企业管理员、域管理员、架构管理员 | 严重 | 每月 |
| 服务账户 | SQL 服务、备份代理、监控代理 | 高 | 每季度 |
| 云 IAM | AWS root、Azure 全局管理员、GCP 所有者 | 严重 | 每月 |
| 数据库管理员 | DBA 账户、sa/sys 账户 | 高 | 每季度 |
| 应用管理员 | 应用管理员角色、具有管理员范围的 API 密钥 | 中 | 每半年 |
| 紧急/应急账户 | 紧急调用账户、应急访问 | 严重 | 每次使用后 |

### 四支柱审查框架

```
发现                        验证                        修复                      监控
  │                           │                           │                       │
  ├─ 枚举所有                 ├─ 验证业务                 ├─ 移除多余              ├─ 持续
  │  特权账户                 │  合理性                   │  权限                  │  监控
  │                           │                           │                       │
  ├─ 识别孤立                 ├─ 确认账户                 ├─ 禁用孤立              ├─ 异常
  │  账户                     │  所有权                   │  账户                  │  检测
  │                           │                           │                       │
  ├─ 将权限映射到             ├─ 检查策略                 ├─ 强制密码              ├─ 会话
  │  业务角色                 │  合规性                   │  轮换                  │  记录
  │                           │                           │                       │
  └─ 按风险                   └─ 审查最后使用             └─ 实施 JIT              └─ 审计
     等级分类                    时间和活动                  访问                    日志
```

## 实施步骤

### 步骤 1:账户发现与清点

枚举整个环境中的所有特权账户:

**Active Directory:**
- 域管理员、企业管理员、架构管理员组
- 具有 AdminCount=1 属性的账户
- 具有 SPN(服务主体名称)的服务账户
- 具有委派权限的账户(非约束/约束委派)

**云平台:**
- AWS:具有 AdministratorAccess、PowerUserAccess 或 `iam:*` 权限的 IAM 用户/角色
- Azure:全局管理员、特权角色管理员、安全管理员角色
- GCP:组织/项目级别的所有者、编辑者角色

**数据库:**
- SQL Server:sysadmin、db_owner、securityadmin 固定角色
- Oracle:DBA、SYSDBA、SYSOPER 权限
- PostgreSQL:superuser、createrole、createdb 属性

### 步骤 2:建立审查标准

每个特权账户必须根据以下标准进行评估:

1. **业务合理性**:用户当前职责是否需要此权限?
2. **最小权限**:是否可以用更低权限完成任务?
3. **账户活动**:账户在过去 90 天内是否有活动?
4. **合规状态**:账户是否满足密码策略和 MFA 要求?
5. **职责分离**:该访问权限是否会造成 SoD 冲突?
6. **所有权**:是否已分配负责任的所有者且其仍处于活跃状态?

### 步骤 3:执行审查

对于每个账户,指定审查员必须:

1. 审查账户详情、权限和最后活动日期
2. 如果仍需访问,审批(认证)并提供书面合理性说明
3. 如果不再需要或无法证明权限的合理性,撤销访问
4. 如果检测到异常活动或违反策略,标记以供调查
5. 如果审查员无法做出判断,进行升级

决策矩阵:

| 条件 | 操作 |
|------|------|
| 活跃用户,权限合理 | 认证 - 维持访问 |
| 活跃用户,权限过多 | 修复 - 降至最小权限 |
| 超过 90 天未活跃 | 禁用账户,通知所有者 |
| 未识别所有者 | 禁用账户,升级至安全团队 |
| 检测到 SoD 冲突 | 修复 - 重新分配或添加补偿控制 |
| 应急账户 | 验证最后使用是否经过授权,重置凭据 |

### 步骤 4:修复与执行

审查完成后:

- 撤销在 SLA 期限内未认证账户的访问权限
- 对 14 天内未审查的账户实施自动撤销
- 轮换所有已认证特权账户的凭据
- 尽可能将常设权限转换为即时(JIT)访问
- 使用当前账户清单更新 PAM 保险库

### 步骤 5:报告与记录

生成审查报告,包含:

- 已审查账户总数与在审范围总数对比
- 认证率(批准与撤销对比)
- 平均审查完成时间
- 逾期审查和升级情况
- 已采取的修复操作
- 与上一审查周期的对比

## 验证检查清单

- [ ] 完整的特权账户清单已记录
- [ ] 所有账户已分配负责任的所有者/审查员
- [ ] 审查标准和决策矩阵已定义
- [ ] 审查员在 SLA(14 天)内完成认证
- [ ] 已撤销账户已禁用且凭据已轮换
- [ ] 孤立账户已识别并禁用
- [ ] 服务账户已针对最小权限进行审查
- [ ] 应急账户已审计,确保仅授权使用
- [ ] 审查报告已生成,包含指标和趋势
- [ ] 修复工单已创建并跟踪至完成
- [ ] 证据已保存以备合规审计

## 参考资料

- [NIST SP 800-53 AC-2: 账户管理](https://csf.tools/reference/nist-sp-800-53/r5/ac/ac-2/)
- [CIS Controls v8 - 控制 5: 账户管理](https://www.cisecurity.org/controls/account-management)
- [Netwrix PAM 最佳实践指南](https://netwrix.com/en/resources/guides/privileged-account-management-best-practices/)
- [StrongDM PAM 最佳实践 2025](https://www.strongdm.com/blog/privileged-access-management-best-practices)

Related Skills

testing-for-broken-access-control

9
from killvxk/cybersecurity-skills-zh

系统性测试 Web 应用程序中的访问控制缺陷,包括权限提升、缺失的功能级检查以及不安全的直接对象引用。

securing-remote-access-to-ot-environment

9
from killvxk/cybersecurity-skills-zh

本技能涵盖为操作员、工程师和供应商实施OT/ICS环境的安全远程访问,同时防止可能危害工业运营的未授权访问。涉及跳板服务器架构、多因素认证、会话记录、特权访问管理、供应商远程访问控制,以及符合IEC 62443和NERC CIP-005远程访问要求。

performing-yara-rule-development-for-detection

9
from killvxk/cybersecurity-skills-zh

通过识别可执行文件中的唯一字节模式、字符串和行为指标,开发精准的 YARA 恶意软件检测规则,同时将误报率降至最低。

performing-wireless-security-assessment-with-kismet

9
from killvxk/cybersecurity-skills-zh

使用 Kismet 通过被动射频监控进行无线网络安全评估,检测流氓接入点(Rogue AP)、隐藏 SSID、弱加密和未授权客户端。

performing-wireless-network-penetration-test

9
from killvxk/cybersecurity-skills-zh

执行无线网络渗透测试,通过捕获握手包、破解 WPA2/WPA3 密钥、检测流氓接入点以及使用 Aircrack-ng 和相关工具测试无线网络分段,评估 WiFi 安全性。

performing-windows-artifact-analysis-with-eric-zimmerman-tools

9
from killvxk/cybersecurity-skills-zh

使用 Eric Zimmerman 的开源 EZ Tools 套件(包括 KAPE、MFTECmd、PECmd、LECmd、JLECmd 和 Timeline Explorer)执行全面的 Windows 取证制品分析,解析注册表 hive、预取文件、事件日志和文件系统元数据。

performing-wifi-password-cracking-with-aircrack

9
from killvxk/cybersecurity-skills-zh

在授权无线安全评估中捕获 WPA/WPA2 握手包,并使用 aircrack-ng、hashcat 和字典攻击进行离线密码破解, 以评估密码短语强度和无线网络安全状况。

performing-web-cache-poisoning-attack

9
from killvxk/cybersecurity-skills-zh

在授权安全测试期间,通过未纳入缓存键的头部和参数毒化缓存响应,利用 Web 缓存机制向其他用户投递恶意内容。

performing-web-cache-deception-attack

9
from killvxk/cybersecurity-skills-zh

通过利用 CDN 缓存层与源服务器之间的路径规范化差异,执行 Web 缓存欺骗攻击,从而缓存并获取敏感的已认证内容。

performing-web-application-vulnerability-triage

9
from killvxk/cybersecurity-skills-zh

使用 OWASP 风险评级方法论对 DAST/SAST 扫描器的 Web 应用程序漏洞发现进行分类,区分真阳性和假阳性,并确定修复优先级。

performing-web-application-scanning-with-nikto

9
from killvxk/cybersecurity-skills-zh

Nikto 是一款开源 Web 服务器和 Web 应用程序扫描器,可针对超过 7,000 个潜在危险文件/程序进行测试,检查超过 1,250 个服务器的过期版本,并识别超过 270 个服务器的版本特定问题。

performing-web-application-penetration-test

9
from killvxk/cybersecurity-skills-zh

遵循 OWASP Web 安全测试指南(WSTG)方法论,对 Web 应用程序执行系统化安全测试,识别认证、授权、 输入验证、会话管理和业务逻辑中的漏洞。测试人员以 Burp Suite 作为主要拦截代理,结合手动测试技术 发现自动化扫描器遗漏的缺陷。适用于 Web 应用渗透测试、OWASP 测试、应用安全评估或 Web 漏洞测试等请求场景。