Privileged accounts essentially involve significant information security risks: compromising of privileged access to the system might lead to severe financial and reputational loss of the company. However, the administrative accounts are routinely protected with password authentication, which is obviously disadvantageous: passwords can be mined or passed to another person without proper authorization. Also, passwords have to be changed promptly when an employee is dismissed. Such problems with administrative access pose a significant threat to the company security. It is necessary to use special Privileged Access Management class solutions to eliminate this risk. The first step to the problem solution is implementation of automatic management for passwords of privileged accounts.


Task description

The tasks of password management for privileged accounts can be formulated as follows:

  • Скрытие паролей от сотрудников, то есть возможность выдать административный доступ без раскрытия пароля.
  • Автоматическая регулярная смена паролей на случайное значение. Данная мера позволит повысить безопасность и снизить риски использования пароля в явном виде.
  • Возможность гранулярно выдавать доступ и отзывать его в любой момент. Должна быть возможность предоставить административный доступ только к явно указанным серверам.


Решение

Для решения перечисленных задач применяется программный комплекс Indeed Privileged Access Manager (Indeed PAM). Комплекс централизованно хранит и управляет привилегированными учетными записями.

Indeed Privileged Access Management обладает следующими характеристиками.

Функции управления паролями

  • Предоставление административного доступа (сессии) без раскрытия пароля привилегированной учетной записи
  • Регулярная смена паролей привилегированных учетных записей
  • Возможность выдать доступ только к определенным ресурсам (серверам)

Поддерживаемые типы учетных записей

  • Microsoft Active Directory
  • Учетные записи ОС Windows
  • Учетные записи ОС Linux (пароли и SSH-ключи)
  • Учетные записи для доступа к сетевому оборудованию

Поиск привилегированных учетных записей

В состав Indeed PAM входит модуль, который выполняет поиск привилегированных учетных записей, регистрирует их в системе и предлагает взять их под контроль.

Регулярная автоматическая смена паролей привилегированных учетных записей

Indeed PAM выполняет регулярную смену паролей на случайное значение, исполняя требования как к сложности паролей, так и периодичности их смены.

Ниже приведена общая архитектурная схема Indeed PAM.