 |
|
|
|
Управляем локальными аккаунтами
Управляем локальными аккаунтами Одинаковые пароли для учетных записей локальных администраторов – это серьезная брешь в безопасности. Какие средства существуют для борьбы с этой угрозой? Управление учетными записями в крупной организации является достаточно сложной задачей. В сети существует множество компьютеров и множество пользователей, уследить за всеми без средств автоматизации крайне сложно. К сожалению, достаточно распространенной практикой стало использование в больших сетях локальных административных учетных записей с одинаковыми паролями. Делается это по многим причинам. Зачастую локальные админы сохраняются в эталонном образе операционной системы, который затем распространяется на все пользовательские рабочие станции. В других случаях эти записи создаются для того, чтобы техподдержка могла подключаться к машине даже при недоступности домена Active Directory. Так или иначе, административная учетная запись с единым паролем является серьезной брешью в безопасности корпоративной сети. На практике, к примеру, не составит большого труда узнать пароль учетной записи локального админа. Для этого достаточно загрузиться с LiveCD вроде KaliLinux или аналогичного средства и запустить утилиту L0phtcrack. Время, необходимое на взлом пароля, напрямую зависит от его сложности, однако современные вычислительные мощности в совокупности с такими технологиями, как «радужные таблицы» (rainbowtables), позволяют существенно ускорить процесс взлома. Также данный пароль может знать уволившийся сотрудник. Узнав пароль от локального админа на своей машине, злоумышленник сможет затем подключаться с данным паролем к чужим компьютерам и получать на них неограниченный доступ. Для борьбы с этим существуют различные средства, о некоторых из них мы поговорим в данной статье. При поступлении сотрудника на работу ему необходимо предоставить аккаунты для доступа в различные приложения, необходимые для работы. Кроме того, служба технической поддержки должна обеспечить пользователей возможностью восстановления или замены потерянных паролей. При увольнении сотрудника также необходимо проследить, что все его учетные данные заблокированы. За всем этим многообразием задач работа с локальными учетными записями отходит на второй план. Для централизованного управления учетными записями существует целый класс решений Identity Management (IdM). Это дорогостоящие, часто «громоздкие» системы, позволяющие из одной точки добавлять или изменять аккаунты для различных систем, таких как операционные системы, системы управления базами данных, бизнес-приложения и другое ПО. Монстры IdM Системы управления учетными записями обладают весьма широким набором функций, в том числе и возможностями по автоматизации управления паролями. Однако не стоит забывать, что от системы IdM требуется адаптация под инфраструктуру и бизнес-процессы компании. Поэтому наличие некоторого функционала дает не так много, как возможность реализовать его в соответствии с задачами конкретной организации. В связи с этим важное значение имеет интеграционный функционал, позволяющий интегрировать IdM в существующую корпоративную среду. Наиболее распространенными на российском рынке являются следующие IdM: Oracle Identity Manager, IBM Security Privileged Identity Manager и SailPoint IdentityIQ. Рассмотрим их более подробно. Статью целиком читайте в журнале «Системный администратор», №9 за 2015 г. на страницах 26-29. PDF-версию данного номера можно приобрести в нашем магазине.
|
АНДРЕЙ БИРЮКОВ, ЗАО «НИП Информзащита», системный архитектор, Комментарии отсутствуют
| Добавить комментарий |
|
Комментарии могут оставлять только зарегистрированные пользователи |
|
