05.07.2022

Autor: Daniel Kamiński

Kategorie: Aktualności, Artykuł

Od najnowszej wersji aplikacji PAM360 (5400 i wyżej) doszła nowa funkcjonalność:  samoobsługowe podnoszenie uprawnień dla aplikacji określonych na liście w oprogramowaniu. Zanim zapoznamy się dokładniej z tą funkcją, zacznijmy od podstaw.

System PEDM (Privilege Elevation and Delegation Management) pozwala na zarządzanie dostępem uprzywilejowanym w systemach PAM, które obejmują podstawowe mechanizmy bezpieczeństwa.  Pomaga to administratorom w udzielaniu dostępu do krytycznych zasobów i aplikacji w oparciu o czas i wymagania. Wszelki podwyższony dostęp do tych zasobów jest przyznawany tylko na określony czas. Wcześniej administrator musi zweryfikować i zatwierdzić żądania użytkownika. Po upływie tego okresu, użytkownicy zostają pozbawieni uprawnień administracyjnych. Poświadczenia do wrażliwych aplikacji biznesowych są natomiast zmieniane.  Dzięki temu zapobiegamy  nadużyciom lub nieautoryzowanemu dostępowi w przyszłości.

W jaki sposób PAM360 zarządza kontrolą PEDM?

 

PAM360 oferuje przede wszystkim tryb PEDM, znany również jako podnoszenie uprawnień just-in-time, bez konieczności instalacji agenta na maszynach. Użytkownicy posiadają podwyższony dostęp do systemów docelowych poprzez tymczasowe podniesienie ich do lokalnych grup bezpieczeństwa. Następnie konta te są przywracane do swoich pierwotnych, minimalnych uprawnień, kiedy okres wniosku dobiegnie końca. Jeśli chodzi o konta użytkowników domeny, możemy je tymczasowo przenieść do grup zabezpieczeń domeny przy użyciu integracji z ManageEngine ADManager Plus.

Samoobsługowe podnoszenie uprawnień w celu uzyskania precyzyjnego dostępu do krytycznych aplikacji

 

Funkcja samoobsługowego podnoszenia uprawnień zawiera dodatkowe kontrole bezpieczeństwa. Dzięki temu administrator może skonfigurować, dla jakich źródeł aplikacji zostaną podniesione odpowiednie uprawnienia podczas zdalnego połączenia do zasobów. Funkcjonalność ta pozwala na instalowanie i konfigurowanie agenta samoobsługowego na punktach końcowych. Użytkownicy mogą logować się na wskazane urządzenia i uruchamiać aplikacje, które  administratorzy dodają bezpośrednio w programie PAM360.

SSPE zapewnia podwyższony dostęp do niektórych aplikacji na liście dozwolonych (CMD, EXE, MSI, MSC i BAT) dla kont domenowych Windows oraz kont lokalnych Windows, bez konieczności posiadania poświadczeń konta uprzywilejowanego.

Podczas korzystania z SSPE, użytkownicy mogą wykonywać czynności na punktach końcowych tylko przez wyznaczony czas. Gwarantuje to nam,  że podwyższenie uprawnień ma swoje zastosowanie tylko w trakcie zamierzonych zadań.

Kilka przykładów użycia:

  • Osoby, które muszą zainstalować lub uruchomić aplikację, ale nie posiadają odpowiednich uprawnień do jej uruchomienia. Aby to zrobić mogą użyć SSPE do wykonania instalacji aplikacji.
  • Administratorzy baz danych, którzy chcą przeprowadzić operację wyszukiwania na instancji PostgreSQL. Jeśli nie mają uprawnień administracyjnych dostępu do punktu końcowego, w którym zainstalowana jest instancja bazy danych, mogą użyć SSPE do uruchomienia zapytania wyszukiwania jako konta uprzywilejowanego PAM360.

Jeżeli jesteś zainteresowany nadawanie odpowiednich uprawnień dla użytkowników przy pomocy połączenia zdalnego, zapraszamy do przetestowania aplikacji PAM360. Podczas 30 dniowego darmowego Proof of Concept będziesz mógł, wspólnie z naszym technikiem, poznać pełne możliwości tego narzędzia.

 

05.07.2022

Autor: Daniel Kamiński

Kategorie: Aktualności Artykuł

Newsletter. Bądź na bieżąco.

Kontakt

MWT SOLUTIONS S.A.

ul. Szyperska 14, 61-754 Poznań

Napisz do nas: