Централизованная аутентификация и управление файлами в решениях от One Identity — анонс вебинара / Блог компании Gals Software / Хабр

Введение

Данной публикацией мы продолжаем обзор системы управления идентификационными данными и доступом One Identity Manager.

Ниже мы рассмотрим основные возможности модуля Privileged Account Governance (PAG), входящего в состав продукта One Identity Manager. Этот программный модуль предназначен для интеграции с системами управления привилегированным доступом (в IT-индустрии класс таких систем именуют Privileged Access Management — PAM). Наш обзор мы будем вести применительно к собственному PAM-решению компании One Identity — системе Safeguard.

A2a — access request broker

• New-SafeguardA2aAccessRequest

A2a — credential retrieval

• Get-SafeguardA2aRetrievableAccounts
• Get-SafeguardA2aPassword
• Get-SafeguardA2aPrivateKey

Access requests

• Get-SafeguardAccessRequest
• Find-SafeguardAccessRequest
• New-SafeguardAccessRequest
• Edit-SafeguardAccessRequest
• Get-SafeguardActionableRequest
• Get-SafeguardMyRequest
• Get-SafeguardMyApproval
• Get-SafeguardMyReview
• Get-SafeguardRequestableAccount (Get-SafeguardMyRequestable)
• Find-SafeguardRequestableAccount (Find-SafeguardMyRequestable)
• Get-SafeguardAccessRequestPassword (Get-SafeguardAccessRequestCheckoutPassword)
• Get-SafeguardAccessRequestSshHostKey
• Get-SafeguardAccessRequestSshKey
• Get-SafeguardAccessRequestRdpFile
• Get-SafeguardAccessRequestRdpUrl
• Get-SafeguardAccessRequestSshUrl
• Start-SafeguardAccessRequestSession
• Copy-SafeguardAccessRequestPassword
• Close-SafeguardAccessRequest
• Approve-SafeguardAccessRequest
• Deny-SafeguardAccessRequest (Revoke-SafeguardAccessRequest)
• Get-SafeguardAccessRequestActionLog
• Assert-SafeguardAccessRequest

Appliance settings

• Get-SafeguardApplianceSetting
• Set-SafeguardApplianceSetting
• Get-SafeguardCoreSetting
• Set-SafeguardCoreSetting

Archive servers

• Get-SafeguardArchiveServer
• New-SafeguardArchiveServer
• Test-SafeguardArchiveServer
• Remove-SafeguardArchiveServer
• Edit-SafeguardArchiveServer

Asset accounts

• Get-SafeguardAssetAccount
• Find-SafeguardAssetAccount
• New-SafeguardAssetAccount
• Edit-SafeguardAssetAccount
• Set-SafeguardAssetAccountPassword
• New-SafeguardAssetAccountRandomPassword
• Test-SafeguardAssetAccountPassword
• Invoke-SafeguardAssetAccountPasswordChange
• Invoke-SafeguardAssetSshHostKeyDiscovery
• Remove-SafeguardAssetAccount

Asset partitions

• Get-SafeguardAssetPartition
• New-SafeguardAssetPartition
• Remove-SafeguardAssetPartition
• Edit-SafeguardAssetPartition
• Get-SafeguardAssetPartitionOwner
• Add-SafeguardAssetPartitionOwner
• Remove-SafeguardAssetPartitionOwner
• Enter-SafeguardAssetPartition
• Exit-SafeguardAssetPartition
• Get-SafeguardCurrentAssetPartition

Assets

• Get-SafeguardAsset
• Find-SafeguardAsset
• New-SafeguardAsset
• Test-SafeguardAsset
• Remove-SafeguardAsset
• Edit-SafeguardAsset
• Sync-SafeguardDirectoryAsset

Certificates

• Install-SafeguardTrustedCertificate
• Uninstall-SafeguardTrustedCertificate
• Get-SafeguardTrustedCertificate
• Install-SafeguardAuditLogSigningCertificate
• Uninstall-SafeguardAuditLogSigningCertificate
• Get-SafeguardAuditLogSigningCertificate
• Install-SafeguardSslCertificate
• Uninstall-SafeguardSslCertificate
• Get-SafeguardSslCertificate
• Set-SafeguardSslCertificateForAppliance
• Clear-SafeguardSslCertificateForAppliance
• Get-SafeguardSslCertificateForAppliance
• Get-SafeguardCertificateSigningRequest (Get-SafeguardCsr)
• New-SafeguardCertificateSigningRequest (New-SafeguardCsr)
• Remove-SafeguardCertificateSigningRequest (Remove-SafeguardCsr)
• New-SafeguardTestCertificatePki

Clustering

• Add-SafeguardClusterMember
• Remove-SafeguardClusterMember
• Get-SafeguardClusterMember
• Get-SafeguardClusterHealth
• Get-SafeguardClusterPrimary
• Set-SafeguardClusterPrimary
• Enable-SafeguardClusterPrimary
• Get-SafeguardClusterOperationStatus
• Unlock-SafeguardCluster
• Get-SafeguardClusterSummary
• Get-SafeguardClusterPlatformTaskLoadStatus
• Get-SafeguardClusterPlatformTaskQueueStatus

Data types

• Get-SafeguardIdentityProviderType
• Get-SafeguardPlatform
• Find-SafeguardPlatform
• Get-SafeguardTimeZone
• Get-SafeguardTransferProtocol

Debug settings

• Get-SafeguardDebugSettings
• Set-SafeguardDebugSettings
• Enable-SafeguardTlsLogging
• Disable-SafeguardTlsLogging

Desktop client

• Install-SafeguardDesktopClient

Diagnostics

• Invoke-SafeguardPing
• Invoke-SafeguardTelnet

Directories

• Get-SafeguardDirectoryIdentityProvider
• New-SafeguardDirectoryIdentityProvider
• Remove-SafeguardDirectoryIdentityProvider
• Edit-SafeguardDirectoryIdentityProvider
• Sync-SafeguardDirectoryIdentityProvider
• Get-SafeguardDirectoryIdentityProviderDomain
• Get-SafeguardDirectoryIdentityProviderSchemaMapping
• Set-SafeguardDirectoryIdentityProviderSchemaMapping
• Get-SafeguardDirectory
• New-SafeguardDirectory
• Test-SafeguardDirectory
• Remove-SafeguardDirectory
• Edit-SafeguardDirectory
• Sync-SafeguardDirectory
• Get-SafeguardDirectoryMigrationData

Directory accounts

• Get-SafeguardDirectoryAccount
• Find-SafeguardDirectoryAccount
• New-SafeguardDirectoryAccount
• Edit-SafeguardDirectoryAccount
• Set-SafeguardDirectoryAccountPassword
• New-SafeguardDirectoryAccountRandomPassword
• Test-SafeguardDirectoryAccountPassword
• Invoke-SafeguardDirectoryAccountPasswordChange
• Remove-SafeguardDirectoryAccount

Discover available cmdlets

Use the Get-SafeguardCommand to see what is available from the module.

Since there are so many cmdlets in safeguard-ps you can use filters to find
exactly the cmdlet you are looking for.

For example:

Discovery

You can discover assets and accounts that are not being managed so you can place them under management, if appropriate. Discovery jobs can be configured to discover assets and accounts.

Events

• Get-SafeguardEvent
• Get-SafeguardEventName
• Get-SafeguardEventProperty
• Find-SafeguardEvent
• Get-SafeguardEventSubscription
• Find-SafeguardEventSubscription
• New-SafeguardEventSubscription
• Remove-SafeguardEventSubscription
• Edit-SafeguardEventSubscription

Getting started

Once you have loaded the module, you can connect to Safeguard using the
Connect-Safeguard cmdlet. If you do not have SSL properly configured, you
must use the -Insecure parameter to avoid SSL trust errors.

Authentication in Safeguard is based on OAuth2. In most cases the
Connect-Safeguard cmdlet uses the Resource Owner Grant of OAuth2.

The Connect-Safeguard cmdlet will create a session variable that includes
your access token and connection information. This makes it easier to call
other cmdlets provided by the module.

Getting started with a2a

Once you have configured your A2A registration in Safeguard, you can get
the information to call Safeguard A2A by running the following:

This will report the certificate thumbprint you need to use as well as the
API key required to request a specific account password.

Installation

This Powershell module is published to the
PowerShell Gallery
to make it as easy as possible to install using the built-in Import-Module cmdlet.
It can also be updated using the Update-Module to get the latest functionality.

Licensing

• Install-SafeguardLicense
• Uninstall-SafeguardLicense
• Get-SafeguardLicense

Managementshell

• Get-SafeguardCommand
• Get-SafeguardBanner

Module versioning

The version of safeguard-ps mirrors the version of Safeguard that it was
developed and tested against. However, the build numbers (fourth number)
should not be expected to match.

For Example:

safeguard-ps 2.2.152 would correspond to Safeguard 2.2.0.6958.

This does not mean that safeguard-ps 2.2.152 won’t work at all with
Safeguard 2.4.0.7846. For the most part the cmdlets will still work, but
you may occasionally come across things that are broken.

For the best results, please try to match the first two version numbers of
the safeguard-ps module to the first two numbers of the Safeguard appliance
you are communicating with. The most important thing for safeguard-ps is
the version of the Safeguard Web API, which will never change between
where only the third and fourth numbers differ.

Networking

• Get-SafeguardNetworkInterface
• Set-SafeguardNetworkInterface
• Get-SafeguardDnsSuffix
• Set-SafeguardDnsSuffix

One identity starling

• Invoke-SafeguardStarlingJoin
• Get-SafeguardStarlingSubscription
• New-SafeguardStarlingSubscription
• Remove-SafeguardStarlingSubscription
• Get-SafeguardStarlingJoinUrl
• Get-SafeguardStarlingSetting
• Set-SafeguardStarlingSetting

One identity starling access certification

• Get-SafeguardAccessCertificationAll
• Get-SafeguardAccessCertificationAccount
• Get-SafeguardAccessCertificationGroup
• Get-SafeguardAccessCertificationEntitlement
• Get-SafeguardAccessCertificationIdentity
• Get-ADAccessCertificationIdentity
• Update-SafeguardAccessCertificationGroupFromAD

Powershell cmdlets

The following cmdlets are currently supported. More will be added to this
list over time. Every cmdlet in the list supports Get-Help to provide
additional information as to how it can be called.

Please file GitHub Issues for cmdlets that are not working and to request
cmdlets for functionality that is missing.

The following list of cmdlets might not be complete. To see everything that
safeguard-ps can do run:

Please report anything you see from the output that is missing, and we will
update this list.

Pre-release builds

As of version 2.2.x, safeguard-ps began using a three digit version number.
It also now supports prerelease builds. This is so the next version of
safeguard-ps can be developed in lock step with the Safeguard product.

Dropping the third number is insignificant as the Safeguard Web API never
changes in those releases.

Prerelease versions

To install a pre-release version of safeguard-ps you need to use the latest version
of PowerShellGet if you aren’t already. Windows comes with one installed, but you
want the newest and it requires the -Force parameter to get it.

If you don’t have PowerShellGet, run:

Restart your Powershell shell. Then, you can install a pre-release version of safeguard-ps by running:

Profiles

• Get-SafeguardAccountPasswordRule
• New-SafeguardAccountPasswordRule
• Remove-SafeguardAccountPasswordRule
• Rename-SafeguardAccountPasswordRule
• Copy-SafeguardAccountPasswordRule
• Edit-SafeguardAccountPasswordRule
• Get-SafeguardPasswordCheckSchedule
• New-SafeguardPasswordCheckSchedule
• Remove-SafeguardPasswordCheckSchedule
• Rename-SafeguardPasswordCheckSchedule
• Copy-SafeguardPasswordCheckSchedule
• Edit-SafeguardPasswordCheckSchedule
• Get-SafeguardPasswordChangeSchedule
• New-SafeguardPasswordChangeSchedule
• Remove-SafeguardPasswordChangeSchedule
• Rename-SafeguardPasswordChangeSchedule
• Copy-SafeguardPasswordChangeSchedule
• Edit-SafeguardPasswordChangeSchedule
• Get-SafeguardPasswordProfile
• New-SafeguardPasswordProfile
• Remove-SafeguardPasswordProfile
• Rename-SafeguardPasswordProfile
• Copy-SafeguardPasswordProfile
• Edit-SafeguardPasswordProfile

Reporting and csv output

Safeguard 2.6 added the capability of returning CSV from the API by passing in
an Accept header set to ‘text/csv’. Several reporting cmdlets were built on
this functionality.

Run:

to see all of these reporting cmdlets.

The following video shows how the reporting cmdlets work, including parameters
for opening the output directly in Excel.

Reporting Cmdlet video

Session cluster join

• Get-SafeguardSessionCluster
• Set-SafeguardSessionCluster
• Join-SafeguardSessionCluster
• Split-SafeguardSessionCluster
• Get-SafeguardSessionSplitCluster
• Remove-SafeguardSessionSplitCluster
• Enable-SafeguardSessionClusterAccessRequestBroker
• Disable-SafeguardSessionClusterAccessRequestBroker
• Get-SafeguardSessionClusterAccessRequestBroker
• Enable-SafeguardSessionClusterAuditStream
• Disable-SafeguardSessionClusterAuditStream
• Get-SafeguardSessionClusterAuditStream

Syslog server

• Get-SafeguardSyslogServer
• New-SafeguardSyslogServer
• Edit-SafeguardSyslogServer
• Remove-SafeguardSyslogServer

Upgrading

If you want to upgrade from the
PowerShell Gallery
you should use:

Активы (assets)

Рисунок 11. Активы, зарегистрированные для управления в системе PAM — отображение в административной консоли One Identity Manager

Показывает все устройства (серверы, сетевое оборудование и пр.), привилегированными учётными записями которых управляет система PAM.

Рисунок 12. Свойства активов, зарегистрированных для управления в системе PAM — отображение в административной консоли One Identity Manager

Группы активов (asset groups)

Рисунок 13. Группы активов — отображение в административной консоли One Identity Manager

Рисунок 14. Свойства группы активов — отображение в административной консоли One Identity Manager

Группы учётных записей (account groups)

Рисунок 18. Группы привилегированных учётных записей на активах — отображение в административной консоли One Identity Manager

Запрос привилегированного доступа из портала самообслуживания it shop

Из портала самообслуживания One Identity Manager можно запрашивать:

• Привилегированные сессии к системам (RDP, SSH, Telnet и др.).
• Пароли привилегированных учётных записей.
• Создание новой учётной записи в PAM-системе для сотрудника.
• Добавление учётной записи в PAM-системе в те или иные группы PAM.

Ниже приведено несколько примеров таких запросов.

Рисунок 21. Запрос RDP-сессии из портала самообслуживания One Identity Manager

После отправки запроса и прохождения настроенной процедуры согласования запросившее лицо получает уведомление по электронной почте с прямой ссылкой на открытие сессии RDP (без необходимости ввода пароля привилегированной учётной записи).

Рисунок 22. Запрос пароля привилегированного аккаунта из портала самообслуживания One Identity Manager

После отправки запроса и прохождения процедуры согласования сотрудник получит уведомление по электронной почте со ссылкой в систему PAM, где он сможет получить текущий пароль запрашиваемой привилегированной учётной записи.

Рисунок 23. Запрос пароля привилегированного аккаунта из портала самообслуживания One Identity Manager — продолжение

При запросе указывается дополнительная информация: пароль какой привилегированной учётной записи нужен и на каком активе (сервере, сетевом устройстве и т. п.).

Рисунок 24. Запрос создания учётной записи в системе PAM из портала самообслуживания One Identity Manager

После отправки запроса и прохождения процедуры согласования для сотрудника автоматически будет создана учётная запись в системе PAM. Вся история запроса и его согласования будет бессрочно храниться в системе IGA.

Рисунок 25. Запрос членства в группе PAM из портала самообслуживания One Identity Manager

После отправки запроса и прохождения процедуры согласования учётная запись пользователя (которая принадлежит сотруднику, запросившему доступ) в системе PAM будет добавлена в запрошенную группу; таким образом сотрудник получит доступ к тем или иным активам / привилегированным учётным записям.

Модульинтеграции privileged account governance (pag)

PAM-решение One Identity Safeguard интегрируется с IGA-системой One Identity Manager при помощи стандартного модуля (PAG), входящего в комплект поставки последней. После активации модуля и настройки подключения к системе Safeguard становятся возможными следующие типовые сценарии:

• Автоматическое назначение доступа в PAM-систему из системы IGA. Например, для вновь принятого на работу сотрудника (или для уже существующего) в случае его приёма / перевода в «Отдел системного администрирования» можно автоматически создать учётную запись в PAM-системе (локальную или связанную с аккаунтом сотрудника в каталоге Active Directory) и / или добавить его учётную запись в ту или иную группу в той же PAM-системе (с группами могут быть связаны те или иные полномочия и политики привилегированного доступа, определяющие, к каким активам, аккаунтам, сессиям, в какое время и т. п. сотрудник сможет запрашивать привилегированный доступ). При увольнении или переходе в другой отдел учётную запись и весь доступ в PAM-системе можно автоматически заблокировать (удалить).
• Периодическая аттестация / ресертификация всех сотрудников (и их полномочий), у которых есть доступ в PAM-систему. Про функциональность аттестаций мы рассказывали в первой части обзора One Identity Manager. Здесь же отметим, что для аттестации / ресертификации привилегированного доступа используются тот же самый механизм и те же средства настройки, что и для стандартного доступа сотрудников.
• Показать всю полноту доступов конкретного сотрудника — как стандартного, так и привилегированного, с подробной информацией о том, откуда тот или иной доступ взялся — в виде отчётов и графических схем.
• Выявить неиспользуемый привилегированный доступ (например, сотрудник не заходил в PAM-систему в течение 6 месяцев — вероятно, его права нужно пересмотреть / заблокировать), а также учётные записи в PAM-системе, не привязанные ни к какому сотруднику (т. е. не имеющие владельца, «бесхозные»).

Автоматическое создание учётных записей в PAM-системе и добавление их в нужные группы можно гибко настроить, используя ролевую модель, которая ведётся в решении IGA (бизнес-роли), и /или организационно-штатную структуру компании.

В дополнение рядовые сотрудники могут запрашивать привилегированный доступ к системам (временно или на постоянной основе), используя портал самообслуживания IGA-решения — точно так же, как они запрашивают любой другой, стандартный доступ. При одобрении заявки (через настроенный процесс согласования) создание для них учётных записей в PAM-системе и добавление аккаунтов в те или иные группы доступа произойдёт автоматически.

Считаем необходимым также упомянуть возможность системы Safeguard предоставлять доступ при помощи как локальных учётных записей и групп (т. е. когда для сотрудника создаётся локальная учётная запись в PAM-системе, которую он использует для авторизации в ней и запроса паролей привилегированных аккаунтов и сессий), так и взятых из каталога Active Directory. Другими словами, система одновременно поддерживает работу и автономно, и через интеграцию с корпоративным каталогом AD.

В свою очередь, модуль Privileged Account Governance (PAG) обеспечивает функционирование в обоих режимах «из коробки».

О привилегированном доступе

Прежде чем начать обзор, необходимо сказать несколько слов об управлении доступом (сотрудников компании к информационным ресурсам организации, в которой они работают) в целом. Доступ сотрудников можно условно разделить на два типа:

• стандартный (набор учётных записей и полномочий, выданных сотруднику для выполнения должностных обязанностей);
• привилегированный (набор повышенных прав доступа, вплоть до административных — для настройки и обслуживания информационных систем и оборудования IT-инфраструктуры компании).

Отчёты

Рисунок 26. Пример отчёта «Неиспользуемые учётные записи» — показывает сотрудников, которые не заходили в систему PAM в течение последних N месяцев

Рисунок 27. Пример отчёта «Неиспользуемые учётные записи» — продолжение

Рисунок 28. Пример отчёта «Висячие учётные записи» — показывает аккаунты в системе PAM, не связанные ни с какой карточкой сотрудника в системе IGA

Рисунок 29. Пример отчёта «Висячие учётные записи» — продолжение

Полномочия (entitlements)

Рисунок 19. Объекты полномочий в системе PAM — отображение в административной консоли One Identity Manager

Показывает, какие полномочия выданы каким пользователям (группам) в системе PAM и какие политики доступа связаны с этими правами.

Привязка учётной записи пользователя в системе pam к карточке сотрудника

Вся полнота доступа пользователя представлена на одной картинке. Отображается карточка сотрудника с привязкой всех имеющихся у него учётных записей, включая аккаунт в системе PAM.

Рисунок 20. Привязка учётной записи пользователя в системе PAM к карточке сотрудника в системе IGA — отображение в административной консоли One Identity Manager

Решение для управления привилегированным доступом, объединяющее возможности хранилища и безопасного предоставления паролей, а также записи сессий с возможностью блокировки опасных активностей и выявления аномального поведения пользователей.

Продукт состоит из трех модулей:

• модуль для хранения и безопасного предоставления паролей для привилегированных учетных записей;
• модуль записи сессий, с возможностью блокировки опасных активностей;
• модуль аналитики поведения.

Safeguard for Privileged Passwords

Модуль Safeguard for Privileged Passwords (SPP) обеспечивает безопасный процесс предоставления привилегированного доступа с использованием ролевой модели и автоматизацией рабочих процессов. Удобный пользовательский интерфейс продукта не требует длительного обучения, предоставляя возможность управления паролями практически с любого устройства без привязки к местоположению.

Safeguard for Privileged Sessions

С помощью модуля Safeguard for Privileged Sessions (SPS) вы можете контролировать, отслеживать и записывать привилегированные сессии администраторов, подрядчиков и других пользователей, представляющих высокий уровень риска. Содержимое записанных сессий индексируется, облегчая поиск интересующих событий и упрощая построение отчетности для проведения аудитов и обеспечения соблюдение требованиям.

Safeguard for Privileged Analytics

Модуль Safeguard for Privileged Analytics (SPA) позволяет выявлять аномалии в поведении пользователей (UBA), находить и пресекать ранее неизвестные типы внутренних и внешних угроз. SPA оценивает уровень потенциального риска, чтобы вы могли расставить приоритеты, принять соответствующие меры в отношении первоочередных угроз и, в конечном итоге, предотвратить инцидент безопасности.

Ключевые функции

Прозрачный режим работы, позволяющий пользователям продолжать использовать стандартные инструменты доступа, не испытывают дискомфорта от необходимости использования нестандартных инструментов. Масшрабирование. Продукт позволяет контролировать до 500 одновременных сессий на 1 апплайнс, при этом если нужно контролировать больше, то система легко масштабируется с помощью дополнительных узлов.

Качество записи сессий. Продукто записывыаает сессию без потери качества. Качество распознавания. Продукт распознает картинки в текст и предоставляет возможность полнотекстового поиска по любой информации, отображавшейся на экране во время записи сессии.

Если у Вас возникли вопросы, просим оставить запрос через форму, расположенную ниже. Наши сотрудники с Вами свяжутся.

Система one identity safeguard

Несколько слов также скажем о PAM-решении компании One Identity. В 2021 году One Identity приобрела Balabit — известного и популярного производителя продуктов в сфере информационной безопасности, таких как Session Control Box или syslog-ng, и интегрировала его разработки в своё собственное PAM-решение — Safeguard.

One Identity Safeguard — это решение, сочетающее в себе возможности безопасного хранения паролей привилегированных учётных записей, а также мониторинга и записи «админских» сессий. Оно представлено в виде аппаратного (hardware appliance) или программного (virtual appliance) комплекса и состоит из двух основных независимых, но интегрирующихся между собой модулей:

Управление привилегированными учётными записями в one identity manager

Интерфейс системы управления привилегированным доступом One Identity Safeguard на данный момент — англоязычный. Он позволяет проводить настройку типовых объектов (элементов) PAM-системы, таких как пользователи, привилегированные учётные записи, группы пользователей, группы учётных записей, активы, группы активов, полномочия, политики доступа и др.

Рисунок 1. Интерфейс PAM-системы One Identity Safeguard

При подключении PAM-системы One Identity Safeguard к IGA-решению One Identity Manager посредством модуля Privileged Account Governance (PAG) объекты PAM-системы отображаются следующим образом (см. иллюстрации ниже).

Устройства (appliances)

Рисунок 2. Устройства системы PAM — отображение в административной консоли One Identity Manager

Показывает все виртуальные или «железные» устройства (appliances), составляющие основу системы PAM и её объекты.

Учётные записи актива (asset accounts)

Рисунок 15. Привилегированные учётные записи на активах, зарегистрированные для управления в системе PAM — отображение в административной консоли One Identity Manager

Показывает привилегированные учётные записи на устройствах (серверах, сетевом оборудовании и пр.), которыми управляет система PAM.

Рисунок 16. Свойства привилегированных учётных записей на активах, зарегистрированных для управления в системе PAM — отображение в административной консоли One Identity Manager

Учётные записи каталогов (directory accounts)

Рисунок 17. Учётные записи Active Directory, связанные с PAM-системой — отображение в административной консоли One Identity Manager

Показывает все привилегированные учётные записи Active Directory, которыми управляет система PAM.

Централизованная аутентификация и управление файлами в решениях от one identity — анонс вебинара

Приглашаем Вас принять участие в вебинаре посвящённому решению One Identity для интеграции UNIX, Linux и Mac OS X в Active Directory — One Identity Safeguard Authentication Services и Safeguard for Sudo. Вебинар состоится 17 марта в 12 часов по московскому времени.

→ Регистрация

Вы узнаете, как с помощью One Identity Safeguard Authentication Services входить в системы, отличные от Windows, с использованием своих учетных данных AD. Благодаря централизованной аутентификации, межплатформенному контролю доступа и единому входу ваша организация может расширить возможности соответствия и безопасности Active Directory по всему предприятию и выйти на новый уровень операционной эффективности.

Используя One Identity Safeguard for Sudo вы сможете централизовать управление файлами политик sudo, расширить функционал, упростить управление, централизовать отчётность и многое другое.

Под катом решаемые продуктом задачи и ссылки на другие наши статьи о безопасности. Велкоме.

Как проблемы обеспечения безопасности Unix решает продукт:

Подробнее о решении вы можете узнать на

сайте One Identity

.

Если у вас есть задача по расширению средств безопасности Active Directory на Unix-системы или вы хотели провести тестирование в вашем окружении, оставьте заявку в форме обратной связи или свяжитесь другим удобным способом. Мы подготовим для вас дистрибутив с триальными лицензиями и, в случае необходимости, поможем развернуть и настроить решения One Identity.

А ещё у нас есть на Хабре другие статьи о безопасности:

Как администратору Microsoft Teams обезопасить себя и того парня

А кто это сделал? Автоматизируем аудит информационной безопасности

Что полезного можно вытащить из логов рабочей станции на базе ОС Windows

Управление доступом и формирование отчётов безопасности для окружения Microsoft в Quest Enterprise Reporter

Сравним инструменты для аудита изменений в Active Directory: Quest Change Auditor и Netwrix Auditor

Sysmon теперь может записывать содержимое буфера обмена

Включаем сбор событий о запуске подозрительных процессов в Windows и выявляем угрозы при помощи Quest InTrust

Как InTrust может помочь снизить частоту неудачных попыток авторизаций через RDP

Как снизить стоимость владения SIEM-системой и зачем нужен Central Log Management (CLM)

Выявляем атаку вируса-шифровальщика, получаем доступ к контроллеру домена и пробуем противостоять этим атакам

Группа в Facebook

Канал в Youtube

Выводы

Модуль Privileged Account Governance (PAG) помимо управления стандартным доступом сотрудников компании позволяет также «взять под зонтик» и администрирование расширенных полномочий. Таким образом система управления доступом и контроля над ним (IGA) действительно становится центральной точкой, отвечающей за всю полноту доступа сотрудников к информационным ресурсам предприятия — что и является её истинным предназначением.