公开(公告)号：CN107430666B

公开(公告)日：2020-06-26

申请号：CN201680016671.4

申请日：2016-03-18

Applicant: 微软技术许可有限责任公司

Inventor： R·达尼 ,  A·M·梅农 ,  P·H·里奇 ,  N·马丹 ,  V·阿胡贾 ,  S·马图尔 ,  L·朱

IPC: G06F21/60

Abstract: 提供针对操作员访问租户数据的许可。为了准许服务人员操作员访问租户的数据以执行所请求的动作，锁箱确定操作员需要被提升到以执行所请求的动作的安全分组角色，计算被授权以准许暂时的角色提升的一组内部管理员和租户管理员，并向所述管理员发送访问控制请求。在从内部管理员和租户管理员接收到对访问控制请求的批准之后，锁箱将操作员提升到安全分组角色，准许操作员所需要的一组许可，以便允许操作员执行所请求的动作。由此，使得租户能够控制对其数据的访问并且按照其公司流程和合规需求来审查访问请求。

公开(公告)号：CN107111696B

公开(公告)日：2020-08-21

申请号：CN201580069417.6

申请日：2015-12-17

Applicant: 微软技术许可有限责任公司

Inventor： L·朱 ,  A·梅农 ,  何光辉 ,  王嘉惠 ,  N·希普 ,  N·沃伊库 ,  曾毅 ,  Y·K·黄 ,  R·达尼 ,  D·赫瑟林顿 ,  刘肇安 ,  G·阿克罗伊德

IPC: G06F21/30 ,  H04L29/06

Abstract: 当用户输入将要在目标机器上执行的动作请求例如所请求的命令时，管理系统接收该请求并利用独立的认证和权限系统进行校验。经校验的命令请求被发送到目标机器。目标机器上的认证工作者访问针对目标机器是本地的策略的集合，以识别其中可执行所请求的命令的最小特权执行环境。目标机器上的认证工作者在目标机器上的所识别的最小特权执行环境中启动该所请求的命令。

公开(公告)号：CN107113302B

公开(公告)日：2020-05-19

申请号：CN201580069392.X

申请日：2015-12-17

Applicant: 微软技术许可有限责任公司

Inventor： L·朱 ,  R·达尼

IPC: H04L29/06 ,  G06F21/30

Abstract: 当用户输入要在目标机器上执行的动作请求(例如，所请求的命令)时，管理系统接收请求并利用分离的认证和许可系统对其进行验证。认证和许可系统验证请求上的签名并对其进行签署，并且生成已批准的工作流封装。该已批准的工作流封装被发送到目标机器。

公开(公告)号：CN107113302A

公开(公告)日：2017-08-29

申请号：CN201580069392.X

申请日：2015-12-17

Applicant: 微软技术许可有限责任公司

Inventor： L·朱 ,  R·达尼

IPC: H04L29/06 ,  G06F21/30

Abstract: 当用户输入要在目标机器上执行的动作请求(例如，所请求的命令)时，管理系统接收请求并利用分离的认证和许可系统对其进行验证。认证和许可系统验证请求上的签名并对其进行签署，并且生成已批准的工作流封装。该已批准的工作流封装被发送到目标机器。

公开(公告)号：CN106104563B

公开(公告)日：2019-08-13

申请号：CN201580015232.7

申请日：2015-03-18

Applicant: 微软技术许可有限责任公司

Inventor： S·布雷迪 ,  S·马瑟 ,  R·达尼 ,  S·库玛 ,  L·舍恩 ,  D·赫瑟林顿

IPC: G06F21/62

CPC classification number: H04L63/1466 ,  G06F21/6218 ,  G06F21/629 ,  H04L63/1416

Abstract: 通过恰好准时(JIT)开通的账户来遏制攻击者的横向移动的技术包括账户管理组件，该账户管理组件经由客户端设备从第一账户接收对用以访问一组服务器设备中的服务器设备的第二账户的请求；账户授权组件，该账户授权组件至少部分基于与第一账户关联的账户信息授权对第二账户的请求；账户开通组件，该账户开通组件开通第二账户，以使得客户端能够访问服务器设备；以及账户通知组件，该账户通知组件经由客户端设备向客户端提供与第二账户关联的账户信息。描述并要求保护其他实施例。

公开(公告)号：CN107430666A

公开(公告)日：2017-12-01

申请号：CN201680016671.4

申请日：2016-03-18

Applicant: 微软技术许可有限责任公司

Inventor： R·达尼 ,  A·M·梅农 ,  P·H·里奇 ,  N·马丹 ,  V·阿胡贾 ,  S·马图尔 ,  L·朱

IPC: G06F21/60

Abstract: 提供针对操作员访问租户数据的许可。为了准许服务人员操作员访问租户的数据以执行所请求的动作，锁箱确定操作员需要被提升到以执行所请求的动作的安全分组角色，计算被授权以准许暂时的角色提升的一组内部管理员和租户管理员，并向所述管理员发送访问控制请求。在从内部管理员和租户管理员接收到对访问控制请求的批准之后，锁箱将操作员提升到安全分组角色，准许操作员所需要的一组许可，以便允许操作员执行所请求的动作。由此，使得租户能够控制对其数据的访问并且按照其公司流程和合规需求来审查访问请求。

公开(公告)号：CN107111696A

公开(公告)日：2017-08-29

申请号：CN201580069417.6

申请日：2015-12-17

Applicant: 微软技术许可有限责任公司

Inventor： L·朱 ,  A·梅农 ,  何光辉 ,  王嘉惠 ,  N·希普 ,  N·沃伊库 ,  曾毅 ,  Y·K·黄 ,  R·达尼 ,  D·赫瑟林顿 ,  刘肇安 ,  G·阿克罗伊德

IPC: G06F21/30 ,  H04L29/06

Abstract: 当用户输入将要在目标机器上执行的动作请求例如所请求的命令时，管理系统接收该请求并利用独立的认证和权限系统进行校验。经校验的命令请求被发送到目标机器。目标机器上的认证工作者访问针对目标机器是本地的策略的集合，以识别其中可执行所请求的命令的最小特权执行环境。目标机器上的认证工作者在目标机器上的所识别的最小特权执行环境中启动该所请求的命令。

公开(公告)号：CN106134154A

公开(公告)日：2016-11-16

申请号：CN201580016828.9

申请日：2015-03-23

Applicant: 微软技术许可有限责任公司

Inventor： L·舍恩 ,  S·库马尔 ,  R·达尼 ,  S·马图尔 ,  S·布拉迪 ,  R·阿里米利 ,  D·赫瑟林顿 ,  V·阿胡贾

IPC: H04L29/06 ,  H04W12/04

CPC classification number: H04L63/0853 ,  H04L63/06 ,  H04L63/08 ,  H04W12/04

Abstract: 通过机器生成的认证令牌操作服务的技术，包括认证令牌管理组件，至少部分地基于与客户的第一账户相关联的客户认证信息来建立与客户端设备的安全连接，接收对与客户的第一账户相关联的一个或多个账户的账户信息的请求，经由客户端设备提供与第一账户相关联的第二账户的账户信息给客户，接收生成针对第二账户的认证令牌的请求，基于与所述客户相关联的所述客户认证信息来验证生成所述认证令牌的所述请求，以及令牌生成组件，其生成针对第二账户的认证令牌。描述并且要求保护其他实施例。

公开(公告)号：CN106104563A

公开(公告)日：2016-11-09

申请号：CN201580015232.7

申请日：2015-03-18

Applicant: 微软技术许可有限责任公司

Inventor： S·布雷迪 ,  S·马瑟 ,  R·达尼 ,  S·库玛 ,  L·舍恩 ,  D·赫瑟林顿

IPC: G06F21/62

CPC classification number: H04L63/1466 ,  G06F21/6218 ,  G06F21/629 ,  H04L63/1416

Abstract: 通过恰好准时(JIT)开通的账户来遏制攻击者的横向移动的技术包括账户管理组件，该账户管理组件经由客户端端设备从第一账户接收对用以访问一组服务器设备中的服务器设备的第二账户的请求；账户授权组件，该账户授权组件至少部分基于与第一账户关联的账户信息授权对第二账户的请求；账户开通组件，该账户开通组件开通第二账户，以使得客户端能够访问服务器设备；以及账户通知组件，该账户通知组件经由客户端端设备向客户端提供与第二账户关联的账户信息。描述并要求保护其他实施例。