Защита
привилегированных
учетных записей

Получить решение

Описание решения

Полномочия на управление или настройку целевых ресурсов и приложений привязаны к соответствующим учетным записям. При «классическом» подходе пароли или другие аутентификаторы от таких привилегированных учетных записей выдаются уполномоченным на это сотрудникам - привилегированным пользователям.

Среди этих полномочий могут присутствовать права на:

  • Очистку журналов
  • Установку дополнительного ПО
  • Выполнение критических и опасных операций, способных нарушить работоспособность ресурса
  • И другие.

Эти права часто доступны привилегированным пользователям без какого-либо контроля. Такая практика несет в себе угрозы неправомерного или некорректного использованием выданных полномочий.

Сложность контроля за действиями привилегированных пользователей состоит в получении привилегированного доступа напрямую, в обход мер защиты, к ресурсу или при консольном подключении (непосредственное подключение периферии к аппаратному серверу). Это актуально, если администратор имеет полномочия на управление сетевыми устройствами и сетевым взаимодействием.

При этом для таких учетных записей зачастую применяется только парольная аутентификация, имеющая значительные недостатки:

  • Подбор паролей
  • Несанкционированная передача паролей
  • Требование своевременной смены паролей при увольнении сотрудников
  • И другие.

Наличие таких проблем в отношении привилегированного доступа создает угрозы безопасности компании. Оптимальным решением будет использование специализированных программных комплексов класса Privileged Access Management (также известны как: Privileged User Management, Privileged Identity Management, Privileged Account Management).

Понимание этой задачи — важный шаг на пути к построению комплексной информационной безопасности компании.

Первый шаг в решении проблемы обеспечения защиты информации при привилегированном доступе — реализация автоматического управления паролями привилегированных учетных записей. Платформа Indeed Privileged Access Manager (Indeed PAM) находит привилегированные учетные записи и ставит под контроль их использование. В первую очередь это требуется для исключения их несанкционированного и неконтролируемого использования.

В рамках решения задачи управления паролями (Password Management), программный комплекс Indeed PAM осуществляет комплексные действия:

  • Автоматический поиск привилегированных учетных записей
  • Ручное внесение и постановка под контроль паролей приложений
  • Автоматическая смена паролей с заданной периодичностью
  • Предоставление паролей из хранилища
  • Ведение истории паролей

Все пароли таких учетных записей находятся в зашифрованном виде в хранилище, а ключом обладает только сервер Indeed PAM.

При попытке подключении привилегированного пользователя сервер Indeed PAM самостоятельно предоставляет логин-пароль только целевому ресурсу. Важно, что сотрудникам остаются недоступны пароли к самим привилегированным учетным записям.

Таким образом, сотрудник, уполномоченный на управление каким-либо сервером или бизнес-приложением не сможет авторизоваться на ресурсе в обход Indeed PAM, т.к. ему неизвестен пароль.

Автоматический поиск учетных записей

Продукт Indeed Privileged Access Management осуществляет автоматический поиск привилегированных учетных записей в Active Directory и на серверах с ОС Microsoft Windows, Linux/Unix.

При «классическом» подходе все данные учетных записей придется искать и вносить в хранилище вручную, чтобы поставить их под контроль и управлять их паролями.. Это требует значительных трудозатрат со стороны обслуживающего персонала и повышает риск проявления «человеческого фактора» в виде пропуска некоторых учетных записей.

Автоматический поиск позволит радикально снизить наличие неучтенных привилегированных учетных записей от критичных ресурсов в ИТ-инфраструктуре, а также сделает эту работу оперативно, с минимальными трудозатратами сотрудников отделов ИТ и ИБ.

Хранение паролей приложений

В хранилище паролей вводят пароли привилегированных учетных записей от целевых приложений, опубликованных на сервере доступа Indeed PAM. Это позволяет контролировать использование не только стандартных протоколов удаленного администрирования (RDP, SSH), но и использование проприетарных приложений для администрирования специализированных целевых ресурсов:

  • Инфраструктура виртуализации
  • Средства защиты информации
  • Консоли централизованного управления сетевыми устройствами
  • Бизнес-приложения
  • СУБД
  • и другие

Управление паролями иных пользователей

Кроме защиты учетных записей администраторов, функционал управления паролями Indeed PAM может применяться с целью защиты любых учетных записей, в .т.ч. непривилегированных пользователей, например:

  • Аудиторы
  • Операторы финансовых сервисов
  • Разработчики
  • Менеджеры по продажам
  • и другие

Автоматическая смена паролей

Управление паролями не ограничивается их автоматическим поиском и внесение в хранилище.

С целью исключения обхода системы контроля действий привилегированных действий платформа Indeed PAM обладает функциональностью автоматической смены паролей привилегированных учетных записей от целевых ресурсов на случайные значения. Это значит, что привилегированные пользователи могут подключаться к критичным ресурсам только посредством Indeed PAM.

Indeed PAM проверяет актуальность паролей, находящихся в хранилище. Это имеет значение, в случае, когда администратору удалось сменить пароль к привилегированной учетной записи от критичного ресурса ИТ-инфраструктуры.

Восстановление паролей в нештатных ситуациях

В случае возникновения внештатной ситуации (например, если целевой ресурс оказывается недоступен по сети) Indeed PAM предоставляет пароль к привилегированной учетной записи с целью прямого подключения и последующего управления ресурсом. При этом, после восстановления сетевого подключения, предоставленный ранее пароль будет опять заменен на случайный.

В ситуации, когда целевой сервер становится неработоспособен и единственный способ восстановить его это восстановление из резервной копии, проблема несоответствия пароля для доступа к привилегированным учетным записям восстановленного ресурса легко решается при использовании Indeed PAM. Для этого Indeed PAM ведет историю паролей, поэтому все пароли можно восстановить по состоянию на указанную дату (предшествующую дате создания резервной копии) и продолжить работу с целевым ресурсом.

Показать еще

Управление паролями:

  • Автоматический поиск привилегированных учётных записей;
  • Ручное внесение и постановка под контроль паролей приложений;
  • Автоматическая смена паролей с заданной периодичностью;
  • Предоставление паролей из хранилище;
  • Ведение истории паролей.

Поддерживаемые типы учетных записей (поиск, управление):

  • Microsoft Active Directory
  • Учетные записи ОС Windows
  • Учетные записи ОС Linux/Unix (пароли и SSH-ключи)
  • Учетные записи для доступа к сетевому оборудованию (на базе ОС Linux/Unix)
  • Учётные записи СУБД: Microsoft SQL, MySQL, Postgre SQL, Oracle DB

Поддерживаемые типы учетных записей (только управление):

  • Учётные записи прикладного ПО
  • Учётные записи Web-приложений

Поддерживаемые протоколы доступа:

  • RDP
  • SSH
  • RemoteApp

отзывы клиентов

Получить консультацию

Опыт работы ключевых сотрудников компании в отрасли информационной безопасности составляет более 10 лет. Силами наших специалистов успешно реализованы сотни проектов для компаний из различных отраслей: банки, телекоммуникация, энергетика, транспорт, государственные и учебные заведения.

Антон Шлыков

Руководитель службы технической поддержки

Николай Ильин

Эксперт по аутентификации пользователей

Николай Лазицкий

Эксперт по управлению цифровыми сертификатами

Максим Кузьмов

Эксперт по управлению привилегированными учетными записями

другие решения