端点——员工日常使用的笔记本电脑、设备和工作站——正在成为网络攻击者的目标。

如果他们可以仅通过一个端点访问组织的系统，那么他们就拥有一个启动板，可以从该启动板在网络上横向移动，以窃取数据或植入勒索软件等。

他们甚至可以提升权限以获得对整个企业 IT 环境的访问权限。

如果端点用户拥有允许他们执行特权管理任务和流程的凭据（例如设置新帐户、安装软件或更改配置设置），则这种风险会放大。意外暴露这些凭据或丢失链接到本地​​管理员帐户的设备可能会导致重大损失。

控制风险

事实上，每个组织都拥有太多的特权，太多的员工拥有他们不需要的权限。控制这一点是降低网络风险的重要一步。然而，这必须在不损害用户执行其工作的能力或导致对 IT 帮助台的简单任务的大量请求的情况下完成。全面取消权利并不是答案。

端点权限管理 (EPM) 允许将这些强大的特权帐户和凭据从不需要它们的用户中永久删除，这样它们就不会被攻击者利用。

该方法在保护端点（进而保护系统和数据）免遭破坏和允许员工继续保持高效之间取得了平衡。

EPM 没有提升用户，而是将重点转移到提升他们执行特定任务所需的应用程序和流程。换句话说，IT 团队能够批准用户在有限的时间内以提升的权限运行工具，而所需的绝对最低权限级别。

将人员与密码分开

即使已获得批准的用户也与特权凭据分开，这意味着这些信息永远不会暴露给任何人。EPM 软件将直接将登录信息注入目标系统。由于无法访问它们，员工就无法滥用或泄露它们。

减少摩擦

当然，避免 IT 部门被员工大量的批准请求淹没是很重要的。因此，EPM 工具应该能够创建规则和策略，确定谁可以访问什么内容以及具有什么级别的权限，并大规模应用它们。

他们还应该提供所有用户活动的可见性，以防需要停止，以及审计跟踪，以防以后需要调查事件。为了满足当今的许多网络安全法规，需要展示特权访问管理的最佳实践。

实施的任何 EPM 解决方案都应在后台自动运行这些进程 - 不仅是为了确保安全性，而且还为了避免减慢或中断任何人的工作。

作为重要的网络安全防御手段，采用 EPM 来保护组织的端点变得越来越重要。即使是最有经验和训练有素的员工也可能会犯错误，尤其是在人们使用多种设备从多个位置访问公司资源的混合工作环境中。

EPM 将特权帐户的控制权重新交到 IT 团队手中。他们可以准确管理用户的行为以及如何通过删除不需要的权限来减少攻击面，同时优先考虑生产力，确保员工可以继续安全地访问他们所需的高效 IT 系统、服务和数据。