Organizace provozují systémy či nástroje pro řízení přístupových oprávnění uživatelů k jednotlivým zdrojům, datům či aplikacím. Přístupová oprávnění většinou nastavují administrátoři, kteří jsou k tomu plně oprávněni. Kdo však monitoruje a spravuje přístupy těchto administrátorů?
Naše řešení
Téma „Privileged Account Management“ pokrýváme několika softwarovými a hardwarovými nástroji, které efektivně řeší následující oblasti:
- Logování prováděných změn v kritických systémech od Active Directory přes File Shares až např. po SQL server nebo VMware infrastrukturu.
- Pokročilá správa Active Directory zaznamenává veškeré prováděné operace. Dílčí změny může díky vysoké granularitě oprávnění provádět i uživatel, který nemá oprávnění přímo v Active Directory. Workflow navíc umožňuje vnést do změnového řízení schvalovací proces. Například změnu členství zaměstnance v doménové skupině tak může provádět například vedoucí oddělení a nadřízený tuto změnu pouze procesně akceptuje.
- Správa administrátorských hesel do kritických systémů generuje jednorázová přihlašovací hesla včetně omezení časové platnosti. Administrátor tedy požádá o heslo, uvede důvod přístupu a systém vygeneruje heslo. Proces může být samozřejmě podmíněn schvalovacím workflow.
- Nahrávání administrátorských relací zaznamenává činnosti administrátorů při správě kritických systémů. Zaznamenané činnosti pak lze archivovat a přehrávat za účelem kontroly a auditu.
Řešení kladou za cíl jasně stanovit odpovědnost, definovat a auditovat oprávnění a ušetřit správcům administrativní činnost možností delegovat dílčí oprávnění. Své využití velmi často nacházejí i v dodavatelsko-odběratelských vztazích, kde formou outsourcingu spravuje externí subjekt např. informační systém a vyžaduje k této činnosti účet s vysokým lokálním či doménovým oprávněním.
Použité produkty
- Quest Change Auditor
- Quest Active Roles Server
- Quest TPAM/Safeguard
- Quest Privileged Session Manager