Привилегированные учетные записи несут в себе серьезные риски информационной безопасности: компрометация привилегированного доступа может приводить к крупным финансовым и репутационным потерям компании. При этом для административных учетных записей в большинстве случаев применяется парольная аутентификация, имеющая очевидные недостатки: возможность подбора паролей, возможность несанкционированной передачи паролей, необходимость своевременной смены паролей при увольнении сотрудников. Наличие таких проблем в отношении административного доступа создает угрозы безопасности компании, для их устранения необходимо использовать специализированные средства класса Privileged Access Management. Первым шагом в решении проблемы является реализация автоматического управления паролями привилегированных учетных записей.


Описание задачи

Задачи по управлению паролями привилегированных учетных записей можно сформулировать следующим образом:

  • Скрытие паролей от сотрудников, то есть возможность выдать административный доступ без раскрытия пароля.
  • Автоматическая регулярная смена паролей на случайное значение. Данная мера позволит повысить безопасность и снизить риски использования пароля в явном виде.
  • Возможность гранулярно выдавать доступ и отзывать его в любой момент. Должна быть возможность предоставить административный доступ только к явно указанным серверам.


Решение

Для решения перечисленных задач применяется программный комплекс Indeed Privileged Access Manager (Indeed PAM). Комплекс централизованно хранит и управляет привилегированными учетными записями.

Indeed Privileged Access Management обладает следующими характеристиками.

Функции управления паролями

  • Предоставление административного доступа (сессии) без раскрытия пароля привилегированной учетной записи
  • Регулярная смена паролей привилегированных учетных записей
  • Возможность выдать доступ только к определенным ресурсам (серверам)

Поддерживаемые типы учетных записей

  • Microsoft Active Directory
  • Учетные записи ОС Windows
  • Учетные записи ОС Linux (пароли и SSH-ключи)
  • Учетные записи для доступа к сетевому оборудованию

Поиск привилегированных учетных записей

В состав Indeed PAM входит модуль, который выполняет поиск привилегированных учетных записей, регистрирует их в системе и предлагает взять их под контроль.

Регулярная автоматическая смена паролей привилегированных учетных записей

Indeed PAM выполняет регулярную смену паролей на случайное значение, исполняя требования как к сложности паролей, так и периодичности их смены.

Ниже приведена общая архитектурная схема Indeed PAM.