Управляем локальными аккаунтами::Журнал СА 9.2015
www.samag.ru
     
Поиск   
              
 www.samag.ru    Web  0 товаров , сумма 0 руб.
E-mail
Пароль  
 Запомнить меня
Регистрация | Забыли пароль?
Журнал "Системный администратор"
Журнал «БИТ»
Наука и технологии
Подписка
Где купить
Авторам
Рекламодателям
Магазин
Архив номеров
Контакты
   

  Опросы
1001 и 1 книга  
12.02.2021г.
Просмотров: 10472
Комментарии: 11
Коротко о корпусе. Как выбрать системный блок под конкретные задачи

 Читать далее...

11.02.2021г.
Просмотров: 10909
Комментарии: 13
Василий Севостьянов: «Как безболезненно перейти с одного продукта на другой»

 Читать далее...

20.12.2019г.
Просмотров: 17796
Комментарии: 2
Dr.Web: всё под контролем

 Читать далее...

04.12.2019г.
Просмотров: 16345
Комментарии: 13
Особенности сертификаций по этичному хакингу

 Читать далее...

28.05.2019г.
Просмотров: 17141
Комментарии: 7
Анализ вредоносных программ

 Читать далее...

Друзья сайта  

Форум системных администраторов  

sysadmins.ru

 Управляем локальными аккаунтами

Архив номеров / 2015 / Выпуск №9 (154) / Управляем локальными аккаунтами

Рубрика: Безопасность /  Инструменты

Андрей Бирюков АНДРЕЙ БИРЮКОВ, ЗАО «НИП Информзащита», системный архитектор, mex_inet@rambler.ru

Управляем локальными аккаунтами

Одинаковые пароли для учетных записей локальных администраторов – это серьезная брешь в безопасности. Какие средства существуют для борьбы с этой угрозой?

Управление учетными записями в крупной организации является достаточно сложной задачей. В сети существует множество компьютеров и множество пользователей, уследить за всеми без средств автоматизации крайне сложно.

К сожалению, достаточно распространенной практикой стало использование в больших сетях локальных административных учетных записей с одинаковыми паролями. Делается это по многим причинам.

Зачастую локальные админы сохраняются в эталонном образе операционной системы, который затем распространяется на все пользовательские рабочие станции.

В других случаях эти записи создаются для того, чтобы техподдержка могла подключаться к машине даже при недоступности домена Active Directory.

Так или иначе, административная учетная запись с единым паролем является серьезной брешью в безопасности корпоративной сети.

На практике, к примеру, не составит большого труда узнать пароль учетной записи локального админа. Для этого достаточно загрузиться с LiveCD вроде KaliLinux или аналогичного средства и запустить утилиту L0phtcrack. Время, необходимое на взлом пароля, напрямую зависит от его сложности, однако современные вычислительные мощности в совокупности с такими технологиями, как «радужные таблицы» (rainbowtables), позволяют существенно ускорить процесс взлома. Также данный пароль может знать уволившийся сотрудник. Узнав пароль от локального админа на своей машине, злоумышленник сможет затем подключаться с данным паролем к чужим компьютерам и получать на них неограниченный доступ.

Для борьбы с этим существуют различные средства, о некоторых из них мы поговорим в данной статье.

При поступлении сотрудника на работу ему необходимо предоставить аккаунты для доступа в различные приложения, необходимые для работы. Кроме того, служба технической поддержки должна обеспечить пользователей возможностью восстановления или замены потерянных паролей. При увольнении сотрудника также необходимо проследить, что все его учетные данные заблокированы. За всем этим многообразием задач работа с локальными учетными записями отходит на второй план.

Для централизованного управления учетными записями существует целый класс решений Identity Management (IdM). Это дорогостоящие, часто «громоздкие» системы, позволяющие из одной точки добавлять или изменять аккаунты для различных систем, таких как операционные системы, системы управления базами данных, бизнес-приложения и другое ПО.

Монстры IdM

Системы управления учетными записями обладают весьма широким набором функций, в том числе и возможностями по автоматизации управления паролями. Однако не стоит забывать, что от системы IdM требуется адаптация под инфраструктуру и бизнес-процессы компании. Поэтому наличие некоторого функционала дает не так много, как возможность реализовать его в соответствии с задачами конкретной организации. В связи с этим важное значение имеет интеграционный функционал, позволяющий интегрировать IdM в существующую корпоративную среду.

Наиболее распространенными на российском рынке являются следующие IdM: Oracle Identity Manager, IBM Security Privileged Identity Manager и SailPoint IdentityIQ. Рассмотрим их более подробно.

Статью целиком читайте в журнале «Системный администратор», №9 за 2015 г. на страницах 26-29.

PDF-версию данного номера можно приобрести в нашем магазине.


  1. Статья, посвященная IdM-решениям – http://www.jetinfo.ru/stati/populyarnye-idm-resheniya-chto-i-kak.
  2. Oracle IdM – http://www.oracle.com/us/products/middleware/identity-management/overview/index.html.
  3. IBM Security Privileged Identity Manager – http://www-03.ibm.com/software/products/ru/pim.
  4. Решения SailPoint – https://www.sailpoint.com.
  5. Cтатья об уязвимости в GPP – http://winitpro.ru/index.php/2013/12/12/pochemu-ne-stoit-zadavat-paroli-cherez-group-policy-preferences.
  6. Описание LAPS – http://winitpro.ru/index.php/2015/05/07/ms-local-administrator-password-solution-upravlenie-parolyami-lokalnyx-administratorov-v-domene.

Комментарии отсутствуют

Добавить комментарий

Комментарии могут оставлять только зарегистрированные пользователи

               Copyright © Системный администратор

Яндекс.Метрика
Tel.: (499) 277-12-41
Fax: (499) 277-12-45
E-mail: sa@samag.ru