Привилегированными называют учетные записи, которые дают доступ к системе с очень широкими полномочиями. Например, root в Unix или Administrator в Windows. Логин и пароль для домашнего роутера, с помощью которого делается настройка – это тоже привилегированная учетная запись. Коротко говоря, это такие учетные записи, используя которые можно сделать с системой или устройством (почти) все что угодно. Иногда их называют «ключами от королевства” (keys of the kingdom), ведь они дают возможность получить полный доступ к информации и параметрам работы системы. Используя привилегированный доступ можно сделать что-то полезное, а можно и вредное. Все, как обычно, зависит от того, кто делает и с какой целью. Зачем управлять?
Если у Вас имеется 3 компьютера, один роутер и скучающий администратор, то никакого особенного управления, скорее всего, не потребуется. Потребность в управлении привилегированным доступом обычно возникает в больших компаниях (например, в банках, страховых компаниях), у которых обширная клиентская база. Информационные системы таких компаний управляют финансовыми и персональными данными, работу с которыми опасно пускать на самотек. Существуют нормативные документы, которые описывают некоторые требования, которым должны соответствовать процессы в организации. В частности, важно обеспечить:
- Четкое понимание, кто именно и в какое время мог иметь доступ к системе
- Возможность получить информацию, кто именно обращался к системе в определенный момент времени, что он там делал и зачем
Все это нужно, главным образом, для готовности к разбору полетов, если вдруг что-то случится.
Важный момент – ответы на эти вопросы позволяют не только найти виноватого, но и доказать непричастность конкретных людей.
К примеру, в сеть утекла база клиентов банка с их номерами телефонов, адресами и т.п. Есть 10 администраторов, которые, теоретически, могли иметь доступ к базам в любое время суток. В логах видно, что некто под учетной записью Administrator заходил в систему и выполнил копирование базы данных. Но кто именно это был – неизвестно. Более того, в отсутствие явного управления доступом, нельзя с уверенностью утверждать, что это один из этих 10 администраторов. Ведь пароль мог узнать кто-то еще, подслушав разговор, увидев на бумажке или просто подобрав.
Итак, надеюсь, вопрос о том, надо ли управлять привилегированным доступом, уже не возникает.
Перед нами теперь другой вопрос.
Как управлять?
Управление привилегированными учетными записями отличается от управления обычными, персональными учетными записями.
Каждому пользователю информационной системы выдается его персональная учетная запись в системе, для которой назначены необходимые права доступа. Чтобы получить доступ к системе по этой учетной записи нужно знать пароль, управление которым почти целиком находится на совести пользователя. Организация может влиять на этот процесс только косвенно, вводя политики управления паролями, вынуждающие пользователя создавать пароли требуемого уровня сложности и изменять с заданной периодичностью. Предполагается, что пароль кроме пользователя никто не знает, так что если при разборе полетов в протоколах мелькает его имя – то он сам и виноват. Либо в том, что сделал что-то не то, либо в том, что не обеспечил должного усердия по защите своего пароля. Чтобы бороться с кражей пароля применяют многофакторные методы аутентификации, но это уже другая история.
С привилегированными учетными записями ситуация немного другая. Управление привилегированными учетными записями сводится к организации такого процесса, при котором всегда достоверно известно, кто именно и в какой момент времени работал под учетной записью администратора. Как правило, одной и той же учетной записью пользуются сразу несколько человек. При этом, определить, кто именно может знать пароль администратора – достаточно сложно. Люди приходят и уходят, а пароль остается. Для обеспечения контроля необходимо, чтобы в каждый момент времени полный доступ к системе (даже теоретически) имел минимум сотрудников, в идеале – никто.
Таким образом, мы приходим к неожиданному решению: пароли от привилегированных учетных записей раздавать никому не надо. Сотрудник будет получать пароль только на время, когда ему потребуется что-то сделать в системе. А как только он свою работу сделал – пароль меняется и его опять никто не знает. А раз не знает – то и сделать ничего не может, даже теоретически. А чтобы никто не смог подобрать пароль за разумное время, меняется он на что-то неудобоваримое, криптографически сложное и т.п. Алиби администраторам обеспечено (см. выше пример про утечку данных).
На практике такой процесс обычно реализуется одним из двух способов: административный или автоматизированный.
Первый способ – административный, путем внедрения административных регламентов. В компании вводится специальная должность хранителя паролей. В его задачи входит хранить пароли в секретном шкафчике, выдавать по запросу администраторов и записывать все события в журнал, чтобы потом можно было восстановить, кто именно работал с данной учетной записью в определенное время. По завершении работ он меняет пароль в системе, а новый пароль (который теперь никто не знает) опять прячет в шкафчик. Такой подход применим для систем, к которым обращаются достаточно редко. Для критичных систем, когда нужно посреди ночи быстро подключиться, чтобы восстановить работоспособность, такой подход неприменим – слишком медленный.
Если доступ к системам выполняется часто и многими сотрудниками, а контроль над происходящим терять не хочется, используют автоматизированные системы, которые делают процесс управления привилегированным доступом простым и понятным. Вместо секретного шкафчика пароли хранятся в защищенной базе данных. Сотрудники запрашивают и получают пароли через Web-интерфейс, предварительно войдя в систему под своей персональной учетной записью (для дополнительной защиты может применяться многофакторная аутентификация). По завершении работы (или по истечении определенного периода времени) пароль автоматически изменяется, новый пароль записывается в базу данных и лежит там до следующего использования. Важным преимуществом автоматизированных решений по сравнению с административным методом является возможность быстрого построения отчетов, необходимых при проведении аудиторских проверок.
Вот, собственно, почти все, что можно сказать про управление привилегированными учетными записями. В заключение лишь замечу, что кроме элементарных действий по управлению паролями, такие системы часто обладают целым рядом полезных функций, сильно упрощающих жизнь как администраторам, так и безопасникам. Например, удаленный доступ к системе может предоставляться прозрачным образом, без показа пароля на экране. Система сама, скрыто от пользователя передаст пароль на удаленный компьютер и сразу откроет экран удаленного доступа. Пароль доступа изменится сразу после закрытия сессии. Сессии удаленного доступа могут автоматически записываться в виде видеороликов. Некоторые системы умеют сканировать сеть и автоматически обнаруживать системы и приложения, доступом к которым нужно управлять. Все эти полезные функции являются полезным дополнением к основной задаче – управлению доступом.
