Mikroporadnik #1 Konfiguracja Password Managera w Ekran System

Kategoria: 

Na rynku dostępny jest szeroki wybór rozwiązań biznesowych przeznaczonych do zarządzania dostępem uprzywilejowanym. Ich celem jest zapewnienie bezpiecznego dostępu administratorom, kontrolowanie sesji uprzywilejowanych oraz ochrona poświadczeń. Biorąc pod uwagę złożoność dzisiejszych infrastruktur IT, zapanowanie nad aktywnością użytkowników uprzywilejowanych jest dość trudnym zadaniem.

 

W tym cyklu mikroporadników omówimy wyzwania związane z zarządzaniem dostępem uprzywilejowanym, z którymi boryka się większość organizacji. Wyjaśnimy również, jak można rozwiązać każde z nich za pomocą Ekran System. Wskazówki dotyczące konfiguracji pozwolą Ci zrozumieć działanie każdej z opisanych funkcji.

 

 

 

Ryzyko naruszenia danych uwierzytelniających

Password Manager – przekazywanie poświadczeń w tle

Dodawanie poświadczeń w Password Managerze

Uruchomienie trybu Jump Servera

Dodanie konta domenowego

Konfiguracja rotacji haseł

Uzyskanie dostępu do docelowego hosta

 

 

 

Ryzyko naruszenia danych uwierzytelniających

 

Brak kontroli nad uprzywilejowanymi użytkownikami może sprawić, że wgląd do procesów wewnętrznych firmy uzyska osoba nieupoważniona. To stwarza zagrożenie przejęcia kontroli nad kontem zaufanego dostawcy lub administratora, który posiada dostęp do wrażliwych danych. Aby zminimalizować takie ryzyko, proces dostania się do takich informacji powinien odbywać się bez ujawniania danych uwierzytelniających użytkownikowi końcowemu. Z tym problemem świetnie poradzi sobie Password Manager w ramach narzędzia Ekran System.

 

Password Manager – przekazywanie poświadczeń w tle

 

Dane dostępowe do serwera są zdefiniowane przez administratora bezpieczeństwa i zapisane w panelu ustawień Ekran System. Użytkownicy mają dostęp jedynie do ograniczonego miejsca w sieci firmowej, a poświadczenia niezbędne do wstąpienia tam, są przekazywane w tle i niedostępne dla zewnętrznego pracownika.

 

Użyj funkcji password managera szczególnie gdy potrzebujesz:

 

  • Zautomatyzować rotację haseł dla kont uprzywilejowanych
  • Unikać ujawniania danych uwierzytelniających konta pracownikom i osobom trzecim

Dodawanie poświadczeń w Password Managerze

 

Kolejne kroki przedstawione są na przykładzie administratora domeny Active Directory

 

  • Utwórz standardowe konto domenowe dla każdego administratora systemu jako standardowego użytkownika domeny (bez podwyższonych uprawnień).
  • Utwórz jedno konto administratora domeny.
  • W Konsoli Zarządzania Ekran System utwórz nowe poświadczenie logowania i nadaj mu nazwę. Wybierz typ poświadczenia. Dodaj login i hasło do utworzonego wcześniej konta administratora.
  • konfiguracja poswiadczen

     

  • Przejdź do zakładki Automatyzacja i skonfiguruj okresową rotację hasła administratora domeny.
  • rotacja hasel

     

  • W karcie Uprawnienia ustaw poziomy uprawnień dla administratorów systemu do korzystania z tego poświadczenia.
  • uprawnienial

     

 

Uruchomienie trybu Jump Servera

 

  • Zaloguj się do Konsoli zarządzania i przejdź do menu Zarządzanie agentami monitorowania.
  • Kliknij przycisk Edytuj agenta monitorowania.
  • W zakładce Właściwości zaznacz dwie opcje: Włącz tryb Jump Server oraz Zamień Windows Shell na Ekran System Connection Manager.

 

aktywacja jump server

 

Dodanie konta domenowego

 

  • Przejdź do menu Zarządzanie użytkownikami.
  • W otwartym oknie kliknij przycisk Dodaj użytkownika, wybierz Dodaj użytkownika Active Directory.
  • Wybierz domenę oraz nazwę użytkownika.
  • W zakładce Grupy użytkowników wybierz Użytkownicy PAM.
  • W zakładce Uprawnienia administratora nie zaznaczaj żadnych uprawnień – w ten sposób użytkownik będzie miał ograniczony dostęp do Konsoli zarządzania Ekran System, ale będzie mógł korzystać z poświadczeń.

 

Konfiguracja rotacji haseł

 

  • Przejdź na stronę Zarządzanie hasłami.
  • Wybierz Dodaj poświadczenia.
  • Wprowadź nazwę poświadczenia i wybierz typ (w tym przypadku jest to konto Active Directory).
  • Wprowadź login i hasło użytkownika dla utworzonego wcześniej konta administratora Active Directory.
  •  

    wlasciwosci secretu

     

  • Dodaj standardowe konta administratorów systemu i pozwól im na korzystanie z nowo utworzonego poświadczenia logowania.
  • Z listy rozwijanej wybierz typ uprawnienia Użytkownik PAM.
  •  

    uprawnienia secretu

     

  • Otwórz zakładkę Automatyzacja i określ ustawienia dla automatycznej rotacji haseł.
  •  

Uzyskanie dostępu do docelowego hosta

 

  • Używając Remote Desktop Protocol (RDP), czyli pulpitu zdalnego, połącz się z Jump Serverem i zaloguj się do systemu na swoje konto domowe.
  • W otwartym oknie Ekran System Connection Manager, wybierz poświadczenie logowania konta Active Directory spośród dostępnych poświadczeń i kliknij Connect.
  •  

    praca z poswiadczeniami

     

  • W kolejnym oknie wpisz nazwę hosta punktu końcowego, z którym chcesz się połączyć.
  • Z listy rozwijanej wybierz typ uprawnienia Użytkownik PAM.
  •  

    praca z poswiadczeniami 2

     

  • Następnie jeszcze raz kliknij przycisk Connect.
  •