ochrona lokalnego konta administratora

Ochrona lokalnego konta administratora – Microsoft LAPS vs Break Glass Account

Pojawienie się nowej funkcji w Admin By Request pozwala na ograniczenie potrzeby używania niezmiennego hasła administratora lokalnego. Break Glass Account – jednorazowe konto to bardziej wydajna i bezpieczna wersja Microsoft LAPS. Dlaczego? Przeczytaj artykuł i dowiedz się o różnicach między tymi funkcjami, a także korzyściach związanych z wdrożeniem Break Glass Account na Twoim urządzeniu.

Czym jest Microsoft LAPS?

LAPS to aplikacja zaprojektowana w celu zwiększenia bezpieczeństwa infrastruktury IT danej organizacji czy przedsiębiorstwa. Odbywa się to poprzez ustawianie złożonych, unikalnych haseł, będących ciągiem losowych znaków, dla każdego konta administratora lokalnego w domenie. Dane te przechowywane są na urządzeniu w usłudze Active Directory. Zgodnie z wcześniejszymi konfiguracjami oraz polityką haseł, są one automatycznie rotowane co pewien okres czasu.

Do odczytu bazy haseł mają wgląd jedynie administratorzy domeny i to oni mogą przyznać dostęp do danych uwierzytelniających użytkownikom, którzy muszą zalogować się na konto administratora lokalnego.

Dlaczego funkcjonalność Microsoft LAPS jest tak potrzebna?

W wielu firmach nadal praktykuje się używanie identycznego hasła dla każdego lokalnego konta administratora w domenie. Hakerzy wykorzystują ten fakt i za pomocą jednej z najpowszechniejszych technik nielegalnie wykorzystują i nadużywają konta administratorów. Mowa tutaj o poziomej lub pionowej eskalacji uprawnień. Co kryje się pod tymi pojęciami?

Pozioma eskalacja uprawnień – użytkownik stopniowo uzyskuje coraz szerszy dostęp do funkcji i zasobów zarezerwowanych wyłącznie dla administratorów. Skutkuje to otrzymaniem przez atakującego możliwości modyfikacji systemu oraz zainstalowania złośliwego oprogramowania.

Pionowa eskalacja uprawnień – atakujący o podstawowych uprawnieniach rozszerza je, aby uzyskać dostęp do treści przeznaczonych dla innych użytkowników o podstawowych przywilejach. Realnym przykładem może być uzyskanie dostępu do aplikacji bankowej lub prywatnego konta na platformie internetowej.

Microsoft LAPS zapobiega tym zjawiskom wykorzystując usługę Active Directory do zarządzania hasłami kont uprzywilejowanych. Funkcja ta odpowiedzialna jest za regularną rotację haseł.

Czym jest jednorazowe konto Break Glass?

Break Glass Account to funkcja wbudowana w rozwiązanie do kompleksowego zarządzania dostępem uprzywilejowanym – Admin By Request. Opcja ta ma na celu prewencję zagrożeń związanych z niekontrolowaną eskalacją uprawnień poprzez umożliwienie administratorom IT wygenerowanie tymczasowego, jednorazowego, lokalnego konta na danym punkcie końcowym.

Jak to działa w praktyce?

Nazwa użytkownika i hasło niezbędne do autoryzacji jednorazowe konta Break Glass są generowane automatycznie dla każdego konta. Hasło to założony, unikalny, losowo wygenerowany ciąg znaków, przechowywany w aplikacji internetowej i dostępny wyłącznie dla administratorów. To właśnie oni mogą przekazać dane uwierzytelniające do odpowiedniego użytkownika za pomocą wiadomości SMS lub innej formy wiadomości tekstowej.

Więcej o funkcji Break Glass Account przeczytasz na stronie Admin By Request.

Microsoft LAPS vs Break Glass

Jednorazowe konto w Admin By Request to połączenie funkcjonalności Microsoft LAPS oraz dodatkowych warstw zabezpieczeń, co gwarantuje pełną kontrolę kont uprzywilejowanych w obrębie Twojego systemu.

W przypadku Break Glass Account istnieje kilka dodatkowych funkcji, która wzbogacają działanie MS LAPS.

Konfiguracja i łatwość obsługi

W przypadku MS LAPS konieczne jest zainstalowanie usługi na wszystkich urządzeniach końcowych podłączonych do infrastruktury IT firmy. Wiele problemów może sprawić także skonfigurowanie zasad grup oraz zaktualizowanie uprawnień dostępu w Active Directory.

W przypadku Break Glass Account, wszystkimi dostępnymi funkcjami możesz zarządzać za pośrednictwem wyłącznie jednej aplikacji. Nie musisz więc przejmować się konfiguracją wielu rozwiązań zabezpieczających, na różnych platformach. Uciążliwe kroki konfiguracyjne są ograniczone do minimum.

Zabezpieczenia

W ramach korzystania z jednorazowego konta w Admin By Request istnieje opcja, na której oparte jest działanie wszystkich funkcji tego rozwiązania.

Mowa tutaj o audycie wszelkich uprzywilejowanych działań, które podejmuje użytkownik z poziomu sesji administratora. Każda podjęta aktywność rejestrowana jest w raporcie, w portalu użytkownika ABR. Dzięki temu masz kontrolę nad uprawnieniami administratora lokalnego w obszarze całego systemu IT Twojej firmy.

Dostępność

Break Glass Account to jedna z funkcji Admin By Request. Jeśli masz więc wdrożone to kompleksowe rozwiązanie do zarządzania dostępem uprzywilejowanym – możesz bez problemów korzystać z jednorazowego konta. Dzięki ABR możesz zabezpieczyć do 25 urządzeń całkowicie za darmo. Dodatkowo, Break Glass Account będzie niebawem dostępne na systemach operacyjnych macOS oraz Linux!

Ochrona lokalnego konta administratora z Admin By Request

Duża część naruszeń danych w organizacjach związana jest nadużyciem poświadczeń administratora lokalnego. Odpowiednie zarządzanie dostępem uprzywilejowanym pozwoli na ograniczenie nadmiernego przydzielania podwyższonych uprawnień, które może okazać się powodem powstawania luk w systemie. Dzięki Admin By Request możesz w nieinwazyjny sposób odebrać dostęp administratora i przyznawać go jedynie w bezpiecznych i kontrolowanych warunkach. Break Glass Account to tylko jedna z wielu funkcji dostępnych w ABR. Napisz do nas, aby dowiedzieć się więcej w tym temacie.

5/5 - (1 vote)