Kontrolowane podnoszenie uprawnień dla użytkowników w PAM360
17.07.2023
Autor: Daniel Kamiński
Kategorie: Aktualności,Artykuł
PAM360 to rozwiązanie do nadawania dostępów w sposób kontrolowany przez administratorów dla użytkowników końcowych oraz zapewnia dokładny audyt, jak i możliwość przeglądania nagranych sesji wykonanych przy pomocy aplikacji.
Dzięki PAM360 w prosty sposób możemy zapisywać hasła w repozytorium oraz wykorzystywać je do połączeń zdalnych lub współdzielić swoje hasła z innymi użytkownikami oraz nadawać im dostęp do urządzeń.
Dodatkowo dzięki temu rozwiązaniu jesteśmy w stanie dla połączenia RDP oraz od niedawna również dla połączeń z urządzeniami Linux podnieś uprawnienia dla zwykłego konta użytkownika i nadać mu uprawnienia administratora na określony czas oraz dla określonych aplikacji.
Istnieje również możliwość integracji rozwiązania PAM360 z aplikacją Service Desk Plus dzięki czemu wszelkie próby połączeń będą poprzedzone oknem dialogowym, do którego należy wprowadzić ID ticketu aby można było takie połączenie wykonać. Pozwoli to na dokładniejsze sprawdzanie przez aplikację czy dane zgłoszenie o nadaniu podniesionych uprawnień zostało rozpatrzone pozytywnie przez inne osoby w organizacji oraz użytkownik uzyska dostęp tylko w przypadku, gdy np. Dane zgłoszenie posiada status “Resolved”.
Możemy również wykorzystać ten proces w przypadku, kiedy firmy outsourcingowe potrzebują uzyskać dostęp do naszej infrastruktury i w sposób kontrolowany weryfikować, kiedy wykonywali połączenia, dla jakich aplikacji uzyskają oni uprawnienia, oraz na jak długo udzielamy im takiego połączenia, dzięki czemu mamy też jasny audyt z tego, co zostało przez nich wykonane.
Funkcja ta nazywa się Self service privilege elevation, a sama konfiguracja nie należy do skomplikowanych procesów.
Aby można było podnieść uprawnienia i nadać uprawnienia administratora na określone aplikacje należy posiadać konto z takimi uprawnieniami na komputerze lokalnie lub posiadać konto użytkownika z takimi uprawnieniami w domenie.
Aby funkcja mogła zostać zrealizowana, wymagana jest również instalacja agenta na maszynie, gdzie takie uprawnienia chcemy podnosić. Po zainstalowaniu agenta i skomunikowaniu go z rozwiązaniem PAM360 podczas uruchamiania aplikacji z rozszerzeniem CMD, EXE, MSI, MSC, oraz BAT na urządzeniach Windows pokaże nam się dodatkowe pole do wybrania, czyli “Run as PAM360 Privileged Account”.
Natomiast aby można było tą operację wykonać, należy wpierw w aplikacji PAM360 skonfigurować, dla których aplikacji będziemy chcieli zezwolić na takie rozwiązanie.
W prosty sposób przy pomocy Powershell należy wykonać polecenie “Get-FileHash” oraz podać odpowiednią ścieżkę do aplikacji, a następnie dodać ją do narzędzia do kontroli zdalnej.
Ostatnim krokiem jest ustawnie przy pomocy, jakiego konta aplikacja będzie podnosiła uprawnienia oraz dla jakich aplikacji będzie to robiła.
Po wykonaniu wszystkich powyższych kroków jesteśmy w stanie uruchomić jedną w wybranych aplikacji na komputerze i korzystać z niej jako użytkownik uprzywilejowany. Oczywiście możemy również skonfigurować opcję access controll, dzięki czemu użytkownicy nie będą posiadali stałego dostępu do uprawnień administratora a tylko za zgodą odpowiednich użytkowników oraz na określony przez nich czas.
Jest to jedna z funkcji, które posiada aplikacja PAM360 natomiast jeżeli chcesz poznać więcej możliwości tego rozwiązania, to zapraszam do kontaktu z naszym działem sprzedaży!
Pasjonat informatyki, dzięki czemu stale rozszerza swoją wiedzę w tym zakresie. Śledzi coraz to nowsze informacje na temat nowych technologii. W MWTSolutions odpowiedzialny za wdrażanie oprogramowania od ManageEngine z zakresu AD, bezpieczeństwa oraz monitoringu. W wolynch chwilach spędza czas na udoskonalaniu umiejętności związanych z IT, które następnie wykorzystuje wraz z produktami ManageEngine do wzbogacenia rozwiązania końcowego do klienta.