Управление привилегиями в современных операционных системах работает через систему управления привилегированным доступом (PAM). 24 Она собирает данные привилегированных учётных записей в Active Directory и на серверах с ОС Microsoft Windows, Linux/Unix. 4 Это позволяет исключить наличие неучтённых привилегированных учётных записей, изолировать их использование и регистрировать их деятельность. 4

Некоторые принципы работы PAM-системы:

• Идентификация людей, процессов и технологий, которым требуется привилегированный доступ. 5 Решение PAM указывает, какие политики необходимо к ним применить. 5
• Ведение полного списка всех активных привилегированных учётных записей в сети и обновление этого списка при каждом создании новой учётной записи. 2
• Хранение привилегированных идентификаторов, таких как пароли, ключи SSH и сертификаты SSL, в безопасном хранилище. 2
• Применение строгих политик безопасности, охватывающих сложность пароля, частоту его сброса, создание надёжных пар ключей SSH и так далее. 2
• Предоставление привилегированного доступа с минимальными разрешениями, необходимыми для выполнения задания. 2
• Аудит всех операций с идентификацией, таких как вход для привилегированных пользователей, общие пароли, попытки доступа к паролю, действия по сбросу и т. д.. 2
• Мониторинг и запись всех сеансов привилегированных пользователей в режиме реального времени. 2

Назначение и отзыв привилегий — прерогатива локального администратора безопасности LSA (Local Security Authority). 1