На некотором этапе карьеры вам, вероятно, передавался пароль от учетной записи другого администратора, написанный на листке бумаги, для использования в нестандартной ситуации. Хотелось бы думать, что после того, как этот пароль будет использован по своему прямому назначению, ответственное лицо сменит его, и пароль снова станет секретом для остальных. Однако на практике шесть месяцев спустя, когда возникает подобная ситуация, обычно выясняется, что пароль тот же, что и был в прошлый раз.

.

Enterprise Random Password Manager
ЗА:
обеспечивает простой метод автоматизации управления конфиденциальными привилегированными учетными записями в различных средах и их защиты.
ПРОТИВ: ИТ-специалистам может потребоваться некоторое время, чтобы приспособиться к новому подходу
ОЦЕНКА: 4,5 из 5.
ЦЕНА: 25000 долл. за лицензию на 500 рабочих станций/устройств
РЕКОМЕНДАЦИИ: система ERPM — эффективное решение для минимизации распространения паролей конфиденциальных учетных записей.
КОНТАКТНАЯ ИНФОРМАЦИЯ: Lieberman Software, www.liebsoft.com

Сложный процесс

ERPM не просто запоминает пароли для определенных учетных записей, а работает по более сложной схеме. Когда ИТ-специалист должен выполнить задачу, которая требует использования привилегированной учетной записи, он запускает веб-консоль ERPM и запрашивает пароль для этой учетной записи.

В зависимости от настройки системы EPRM, запрос может быть одобрен автоматически либо ИТ-специалисту придется дождаться одобрения. В любом случае, после того как запрос будет одобрен, система ERPM выдаст пользователю временный сложный пароль для учетной записи. Этот пароль может быть отображен на экране, отправлен по электронной почте или передан в текстовом сообщении.

Механизм ERPM гарантирует, что пароль синхронизируется с соответствующей системой перед его передачей ИТ-специалисту. В отличие от обычных паролей администратора, этот пароль действует только в течение ограниченного периода, и, когда срок истечет, он будет изменен. Администраторы также имеют возможность осуществить возврат пароля, после чего он будет сброшен принудительно, до окончания срока действия.

Можно связать систему ERPM с приложением службы поддержки, такой как Microsoft System Center Configuration Manager (SCCM), чтобы убедиться, что построена соответствующая инфраструктура утверждения, прежде чем начнется выдача паролей для конфиденциальных учетных записей.

Упрощенное управление

Преимущество системы ERPM состоит в том, что она упрощает управление привилегированными учетными записями. Организации могут упростить процессы отслеживания обладателей доступа к привилегированным учетным данным, так как учетные данные будут предоставляться только на определенный период. Даже если ИТ-специалист изменит временный пароль, продукт ERPM все равно сменит его, когда истечет срок действия. Вместо предоставления доступа к привилегированным учетным записям на постоянной основе используется схема, в которой администраторы получают доступ только тогда, когда он им нужен непосредственно для выполнения работы.

После завершения настройки в рабочем окружении ERPM использует непрерывный процесс поиска, чтобы обнаружить новые привилегированные учетные записи и обеспечить их защиту. Например, если вы установили сервер Microsoft SQL Server и добавили новые учетные записи и базы данных, система ERPM будет пополняться этими учетными данными по мере их создания.

Многие организации используют простые пароли для взаимодействия между приложениями внутри организации в качестве одной из возможностей упростить процесс. Проблема данного подхода в том, что простые пароли, скорее всего, будут взломаны злоумышленниками. Поскольку пароли приложений и служб управляются централизованно через систему ERPM, они могут быть значительно сложнее.

Продукт ERPM также может отслеживать взаимосвязи между приложениями и в соответствии с этим обновлять учетные данные. Эта функция решает одну из самых важных проблем ИТ-специалистов — ротацию паролей приложений и учетных записей служб. Когда такая ротация производится вручную, про один или несколько экземпляров учетных записей неизбежно забывают, и служба или приложение перестает работать из-за проблем проверки подлинности.

Расширенные функции составления отчетов

Другое существенное преимущество продукта ERPM заключается в том, что, поскольку он использует серверные компоненты системы SQL Server, вы можете создавать отчеты для аудита и проверки соответствия требованиям, которые показывают, какие пароли были запрошены из системы, кем и с какой целью. Продукт ERPM поддерживает управление паролями не более чем на 120 тыс. систем, до 360 тыс. учетных записей на систему — в общей сложности поддерживая до 3 млн учетных записей.

Скрытая угроза

Единственная капля дегтя в бочке меда мне здесь видится в том, что, образно говоря, все ключи висят на одной связке. Так как система ERPM может изменить любой пароль в вашей организации, администратор, который контролирует продукт, косвенно контролирует всю инфраструктуру. Особое внимание необходимо уделить настройке системы ERPM, чтобы гарантировать ее безопасность. При неправильной настройке продукт может представлять «слабое звено» в периметре безопасности организации.

Изменения к лучшему

Система ERPM реализует логическую структуру для управления реквизитами привилегированных учетных записей. Несмотря на то что стратегия использования временных паролей администратора (а не долгосрочных, с неограниченным сроком действия) повергнет многих ИТ-специалистов в «культурный шок», данное решение может, если будет правильно реализовано, сделать управление привилегированными учетными записями более безопасным.

Орин Томас (orin@windowsitpro.com) — редактор Windows IT Pro