Mikroporadnik #2 Kontrolowanie kont współdzielonych - dodatkowe uwierzytelnianie

Kategoria: 

Organizacje często używają kont współdzielonych do zarządzania różnymi systemami, dostępem, usługami i aplikacjami. I chociaż takie podejście wydaje się korzystniejsze cenowo, korzystanie ze współdzielonych kont wiąże się z pewnymi problemami dotyczącymi cyberbezpieczeństwa.

 

W kolejnym artykule z cyklu mikroporadników poruszymy kwestię wdrożenia dodatkowego uwierzytelniania w celu większej kontroli aktywności konkretnego użytkownika. Funkcja ta, w Ekran System, została zaprojektowana specjalnie do zarządzania wspólnymi kontami i może być włączona dla konkretnego Agenta Ekran System lub grupy.

 

 

 

Jak to działa?

Przepływ pracy związany z dodatkowym uwierzytelnianiem

Konfiguracja dodatkowego uwierzytelniania dla klienta

Konfiguracja dodatkowego uwierzytelniania dla użytkownika

 

 

 

Jak to działa?

 

Działa to w następujący sposób: Kiedy użytkownik próbuje uzyskać dostęp do punktu końcowego z włączonym dodatkowym uwierzytelnianiem, musi wprowadzić dwie pary danych uwierzytelniających:

  • Po pierwsze loguje się do systemu, używając poświadczeń pierwotnych - loginu i hasła do konta współdzielonego.
  • Następnie wprowadza poświadczenia dodatkowe - login i hasło do swojego konta, z którego standardowo korzysta (przykładowo konto Windows lub konto domenowe).
  • Użytkownik uzyskuje dostęp do docelowego punktu końcowego.

 

Przepływ pracy związany z dodatkowym uwierzytelnianiem

 

schemat

 

Dzięki wykorzystaniu dodatkowych poświadczeń użytkownika, Ekran System może powiązać każdą sesję zainicjowaną na koncie współdzielonym z konkretnym użytkownikiem, który ją rozpoczął. W sekcji Monitoring Results możesz sprawdzić, kto dokładnie wszedł do systemu, używając konta współdzielonego. Dla każdej takiej sesji Ekran System zapisuje nazwy obu użytkowników.

 

schemat

 

Ekran System dodaje również nazwę drugiego użytkownika do powiadomień e-mail o wykrytych incydentach cyberbezpieczeństwa związanych z kontami współdzielonymi.

 

Konfiguracja dodatkowego uwierzytelniania dla klienta

 

Zobaczmy teraz jak można skonfigurować tę funkcję w Konsoli zarządzania Ekran System. Zaczniemy od włączenia wieloskładnikowego uwierzytelniania dla klienta Ekran System:

 

  • W Narzędziu do zarządzania otwórz stronę Zarządzanie agentami monitorowania.
  • Znajdź na liście klienta, którego chcesz skonfigurować, i kliknij przycisk Edytuj agenta.
  •  

    schemat

     

  • Przejdź do sekcji Ustawienia agenta monitorowania i otwórz zakładkę Opcje uwierzytelniania.
  • Zaznacz opcję Włącz dodatkowe uwierzytelnianie użytkownika podczas logowania.
  •  

    schemat

     

  • Kliknij Zakończ i wyjdź.

 

Następnie należy określić użytkowników, którzy będą mogli zalogować się do tego punktu końcowego po wprowadzeniu dodatkowych danych uwierzytelniających.

 

Konfiguracja dodatkowego uwierzytelniania dla użytkownika

 

Uwaga: Aby zachować odpowiednie bezpieczeństwo krytycznych serwerów, dostęp do nich powinien być tylko dla administratorów systemu. Zwykli użytkownicy nie powinni mieć dostępu do takich punktów końcowych.

 

Zobaczmy, jak można dodać nowego użytkownika do Ekran System i włączyć dodatkowe uwierzytelnianie:

 

  • Otwórz stronę Zarządzanie użytkownikami. (Użytkownik wewnętrzny lub użytkownik Active Directory).
  • Wypełnij informacje o użytkowniku.
  • Przejdź do zakładki Uprawnienia i kliknij przycisk Edytuj uprawnienia dla klienta lub grupy klientów, dla których chcesz włączyć dodatkowe uwierzytelnianie.
  • W otwartym oknie zaznacz opcję Dostęp do komputera poprzez podwójne uwierzytelnianie.

 

schemat

 

 

Jeśli pracownik zrezygnuje z pracy w organizacji, upewnij się, że został usunięty odpowiadający mu użytkownik Ekran System. Jeśli posiadał on konto użytkownika domenowego, należy je zablokować w Active Directory. W ten sposób upewnisz się, że odchodzący pracownik nie będzie miał dostępu do chronionego punktu końcowego poprzez konto współdzielone, nawet jeśli zna do niego login i hasło.