Управление паролями
административных учетных записей

Контроль использования привилегированных учетных записей и сохранение административных паролей в секрете

Indeed Privileged Access Manager

Привилегированные учетные записи несут в себе серьезные риски информационной безопасности: отсутствие системы контроля сотрудников и компрометация привилегированного доступа может приводить к крупным финансовым и репутационным потерям компании. При этом для административных учетных записей в большинстве случаев применяется парольная аутентификация, имеющая очевидные недостатки: возможность подбора паролей, возможность несанкционированной передачи паролей, необходимость своевременной смены паролей при увольнении сотрудников. Наличие таких проблем в отношении доступа администратора создает угрозы безопасности компании, для их устранения необходимо использовать специализированные средства класса Privileged Access Management. Первым шагом в решении проблемы обеспечения безопасности информации является реализация автоматического управления паролями привилегированных учетных записей.

Описание задачи

Задачи по управлению паролями привилегированных учетных записей можно сформулировать следующим образом:

    • Обеспечение информационной безопасности путем сокрытия паролей от сотрудников, то есть возможность выдать административный доступ без раскрытия пароля.
    • Автоматическая регулярная смена паролей на случайное значение. Данная мера позволит повысить безопасность и снизить риски использования пароля в явном виде.
    • Возможность гранулярно выдавать доступ и отзывать его в любой момент. Должна быть возможность предоставить административный доступ только к явно указанным серверам.

Решение

Для защиты информационной безопасности применяется программный комплекс Indeed Privileged Access Manager (Indeed PAM). Комплекс централизованно хранит и управляет привилегированными учетными записями.

Indeed Privileged Access Manager обладает следующими характеристиками.

Функции управления паролями

    • Предоставление административного доступа (сессии) без раскрытия пароля привилегированной учетной записи
    • Регулярная смена паролей привилегированных учетных записей
    • Возможность выдать доступ только к определенным ресурсам (серверам)

Поддерживаемые типы учетных записей

    • Microsoft Active Directory
    • Учетные записи ОС Windows
    • Учетные записи ОС Linux (пароли и SSH-ключи)
    • Учетные записи для доступа к сетевому оборудованию

Поддерживаемые протоколы доступа

    • RDP
    • SSH

Поиск привилегированных учетных записей

В состав Indeed PAM входит модуль, который выполняет поиск привилегированных учетных записей, регистрирует их в системе и предлагает взять их под контроль.

Регулярная автоматическая смена паролей привилегированных учетных записей

Indeed PAM выполняет регулярную смену паролей на случайное значение, исполняя требования как к сложности паролей, так и периодичности их смены.

Ниже приведена общая архитектурная схема Indeed PAM.

Общая архитектурная схема  аутентификации Indeed PAM

Решение задачи управления паролями в Indeed PAM обеспечивают следующие модули.

Indeed PAM Server

Центральный компонент инфраструктуры Indeed PAM. Представляет собой web-приложение, работающее на сервере Internet Information Services (IIS). Indeed PAM сервер обеспечивает централизованное управление пользователями системы, учетными данными и политиками доступа.

Сервер доступа

Сервер доступа является центральным звеном в схеме получения привилегированного доступа. Сервер обеспечивает соблюдение политик доступа, открывает административную сессию на целевом ресурсе и ведет текстовую и видео запись сессий.

Коннекторы к целевым системам

Коннекторы реализуют интеграцию с целевыми системами, такими как Windows и Linux сервера. Коннекторы используются для поиска привилегированных учетных записей и регулярной смены их паролей на случайное значение.

Журнал событий

Система фиксирует все события, выполняемые пользователями или администраторами в web-интерфейсе системы, а также все попытки получения привилегированного доступа. Просмотр журнала, построение и печать отчетов выполняется в консоли администратора. На любое событие системы может быть назначено почтовое уведомление администратору или пользователю.

Реестр привилегированных учетных записей

Реестр содержит учетные данные для привилегированного доступа. Данные в реестре хранятся в зашифрованном виде. В качестве базы данных поддерживается SQL СУБД и Microsoft Active Directory.

Узнайте больше
Задайте вопрос в чате на нашем сайте
  • Какие задачи решает продукт?
  • Какие требования к инфраструктуре?
  • Как провести пилот?
  • Сколько стоит внедрение?
Клиенты о наших решениях
Владимир Солонин
В модуле SSO (Single Singh on) есть возможность придумать пароль за пользователя в момент его смены, а сложность этого пароля задается отдельной политикой, позволяющей сделать пароль как минимум длинным. Таким образом, решалась основная задача – пароли должны стать уникальными и сложными.
Владимир Солонин
директор по информационной безопасности, «СДМ-Банк»
Анатолий Скородумов
Мы отказались от парольного доступа к информационным системам (ИС) банка и внедрили строгую аутентификацию на основе биометрических сканеров. Основная ценность для бизнеса при внедрении такого класса системы — снижение потерь рабочего времени и повышение комфорта при работе с ИС.
Анатолий Скородумов
Начальник отдела информационной безопасности ОАО «Банк «Санкт-Петербург»
Иван Чернокнижников
«Проблемы с паролями в большой степени определяются человеческим фактором, поэтому простые организационные меры в данном случае малоэффективны. Для обеспечения безопасности данных необходимо использовать более защищенные методы аутентификации
Иван Чернокнижников
Руководитель отдела информационных технологий компании ООО «Газпром сера»
Алексей Иванов
Сотрудники теперь не записывают свои пароли где-нибудь, так как просто их не знают. Пароли генерируются с учетом сложности самой системой. Пользователь лишь идентифицирует себя по отпечатку пальца при необходимости ввода пароля в систему.
Алексей Иванов
Начальник Управления защиты информации Службы информационной безопасности АКБ "Абсолют Банк" (ПАО)
Александр Синицын
Количество систем и приложений выросло настолько, что стало практически невозможно дать ответ на простой вопрос: «Кто, к чему и на каких основаниях имеет доступ?». С помощью централизованных инструментов у администратора появилась возможность управлять правилами и политиками предоставления доступа.
Александр Синицын
начальник службы информационной безопасности ОАО «Крайинвестбанк»
Юрий Юрченко
Для "ОКБМ Африкантов", имеющего только в одной сети свыше 3000 рабочих станций, возможность централизованного управления доступом и аутентификацией крайне важна, ведь это позволяет не только в разы сэкономить время ИТ-персонала, но и в первую очередь сократить время ожидания для бизнес-пользователей.
Юрий Юрченко
руководитель IT-отдела ОАО «ОКБМ Африкантов»