This is the Trace Id: 02d80f5bee52764fd3f3dca87bae1350
Перейти к основному контенту
Microsoft Security
Два человека сидят в зоне отдыха и ведут поддерживающий разговор: один внимательно слушает, пока другой говорит в спокойной обстановке внутри помещения.

Что такое Privileged Access Management (PAM)?

Защитите свою организацию от киберугроз: отслеживайте, обнаруживайте и предотвращайте несанкционированный привилегированный доступ к критически важным ресурсам.
Сведения о правах доступа

Что такое Privileged Access Management (PAM)?

Privileged Access Management (PAM) — это решение для обеспечение безопасности удостоверений. Оно отслеживает, обнаруживает и предотвращает несанкционированный привилегированный доступ к критически важным ресурсам, помогая защищать организации от киберугроз. Принцип действия PAM основан на трех составляющих: люди, процессы и технологии. Это решение позволяет следить за тем, кто использует привилегированные учетные записи и чем эти пользователи занимаются, находясь в системе. Ограничение числа пользователей, имеющих доступ к административным функциям, повышает безопасность системы, а дополнительные уровни защиты не позволяют злоумышленникам нарушать безопасность данных.

Принцип работы Privileged Access Management

Решение PAM идентифицирует людей, процессы и технологии, которым требуется привилегированный доступ, и указывает, какие политики необходимо к ним применить. Решение PAM должно поддерживать установленные вами политики (например, автоматическое управление паролями и многофакторную проверку подлинности), а у администраторов должна быть возможность автоматизировать процесс создания, изменения и удаления учетных записей. Кроме того, решение PAM должно постоянно отслеживать сеансы, чтобы вы могли создавать отчеты для выявления и исследования аномалий.

В первую очередь Privileged Access Management используется для предотвращения хищений учетных данных и обеспечения соответствия требованиям.

Хищение учетных записей — это кража преступником данных для входа с целью получения доступа к учетной записи пользователя. После входа в систему злоумышленнику становятся доступны данные организации. Он может установить вредоносные программы на различные устройства, а также получить доступ к системам более высокого уровня. Решение PAM позволяет локализовать риск, так как доступ предоставляется только в нужное время, только с необходимыми привилегиями и только при условии многофакторной проверки подлинности всех удостоверений и учетных записей администраторов.

Какие бы стандарты соответствия ни применялись в организации, скорее всего, вам потребуется политика предоставления минимальных прав для защиты конфиденциальных данных, например платежной информации или личных медицинских записей. Кроме того, решение PAM позволяет подтвердить соответствие требованиям благодаря созданию отчетов о действиях привилегированных пользователей — кому из них понадобился доступ к тем или иным данным и зачем.

Решение PAM также можно использовать для автоматизации жизненного цикла пользователей (например, для создания, подготовки и отзыва учетных записей), мониторинга и регистрации привилегированных учетных записей, безопасного удаленного доступа и управления доступом со стороны. Решения PAM можно также применять к устройствам (Интернет вещей), в облачных средах и проектах DevOps.

Злоупотребление привилегированными учетными записями влечет угрозу кибербезопасности, способную нанести обширный и существенный урон организации. Решение PAM располагает мощными функциями, позволяющими эффективно устранять риски.
 

  • Предоставляйте JIT-доступ к критически важным ресурсам
  • Используйте зашифрованные шлюзы вместо паролей, чтобы обеспечить безопасный удаленный доступ
  • Отслеживайте сеансы привилегированных пользователей для поддержки аудиторских расследований
  • Анализируйте необычную активность привилегированных пользователей, которая может нанести вред вашей организации
  • Регистрируйте данные о событиях, связанных с привилегированными учетными записями, для аудита соответствия требованиям
  • Создавайте отчеты о доступе и действиях привилегированных пользователей
  • Защитите DevOps с помощью интегрированной системы защиты паролем

Типы привилегированных учетных записей и рекомендации

Учетные записи суперпользователей — это привилегированные учетные записи, которыми пользуются администраторы, обладающие неограниченным доступом к файлам, каталогам и ресурсам. Эти пользователи могут устанавливать программное обеспечение, изменять конфигурации и параметры и удалять пользователей и данные.

Привилегированные учетные записи

Привилегированные учетные записи обеспечивают более высокий уровень прав и доступа по сравнению с обычными, стандартными и гостевыми, учетными записями.

Учетные записи служб

Благодаря учетным записям служб приложения могут более безопасно взаимодействовать с операционной системой.

Учетные записи администраторов домена

Учетные записи администраторов домена относятся к наивысшему уровню управления в системе. У них есть доступ ко всем рабочим станциям и серверам в домене, а также к конфигурациям систем управления, учетным записям администраторов и средствам управления членством в группах.

Привилегированные учетные записи бизнес-пользователей

Привилегированные учетные записи бизнес-пользователей обладают высоким уровнем привилегий согласно должностным обязанностям.

Учетные записи локальных администраторов

Учетные записи локальных администраторов позволяют контролировать определенные серверы и рабочие станции и часто создаются для целей обслуживания.

Учетные записи для экстренных ситуаций

Учетные записи для экстренных ситуаций предоставляют права доступа уровня "Администратор" пользователям без соответствующих привилегий. Это делается, чтобы защитить системы в случае аварии или сбоя.

Учетные записи администраторов приложений

Учетные записи администраторов приложений предоставляют полный доступ к определенным приложениям и хранящимся в них данным.
Назад к вкладкам

PAM и PIM

Решение Privilege Access Management помогает организациям управлять удостоверениями и затрудняет проникновение злоумышленников в сеть и получение ими прав доступа, предоставляемого привилегированными учетными записями. Это решение усиливает защиту привилегированных групп пользователей, которые управляют доступом к компьютерам, присоединенным к домену, и к размещенным на них приложениям. PAM тоже обеспечивает слежение, прозрачность и детальное управление. Вы будете знать, кто принадлежит к числу привилегированных администраторов и как используются их учетные записи.

Управление привилегированными пользователями (PIM) обеспечивает активацию ролей согласно установленному времени и полученным утверждениям. Это позволяет снизить риски, связанные со слишком частым, излишним или необоснованным доступом к конфиденциальным ресурсам организации, так как доступ этим учетным записям предоставляется только в нужное время и только с необходимыми привилегиями. Чтобы лучше защитить эти привилегированные учетные записи, PIM позволяет принудительно применять требования политики, такие как многофакторная проверка подлинности.

У PAM и PIM много общего, но PAM использует инструменты и технологии для контроля и отслеживания доступа к ресурсам и работает по принципу предоставления минимальных прав (поэтому сотрудники получают только те привилегии, которые необходимы для выполнения конкретных заданий), тогда как PIM управляет администраторами и суперпользователями, используя ограниченный по времени доступ, и защищает именно эти привилегированные учетные записи.

Важность Privileged Access Management

В цепочке обеспечения безопасности систем человек является самым уязвимым звеном, поэтому привилегированные учетные записи представляют серьезный риск для организации. PAM предоставляет службам безопасности средства, которые позволяют определять вредоносные действия, связанные с применением привилегий не по назначению, и немедленно принимать меры по устранению риска. Благодаря решению PAM сотрудникам предоставляются только те уровни доступа, которые необходимы им для выполнения заданий.

Решение PAM помогает не только обнаруживать вредоносные действия, связанные с применением привилегий не по назначению, но и выполнять еще ряд задач.
 
  • Минимизация риска появления брешей в системе безопасности. Если брешь уже возникла, решение PAM ограничит пределы ее влияния в системе.
  • Сокращение точек входа и путей проникновения злоумышленников. Ограниченные привилегии пользователей, процессов и приложений обеспечивают защиту от внутренних и внешних угроз.
  • Предотвращение вредоносных атак. Если вредоносная программа уже обосновалась в системе, удаление лишних привилегий поможет ограничить ее распространение.
  • Создание более прозрачной для аудита среды. Журналы действий, помогающие отслеживать и обнаруживать подозрительную активность, помогают разработать и внедрить схему всесторонней защиты и стратегию управления рисками.

Внедрение средств безопасности PAM

Чтобы начать работу с Privileged Access Management, необходимо спланировать следующие аспекты.
 
  1. Полная прозрачность по всем привилегированным учетным записям и удостоверениям. Решение PAM должно позволять отслеживать все привилегии, используемые пользователями-людьми и рабочими процессами. Как только вы этого добьетесь, удалите учетные записи администраторов по умолчанию и внедрите принцип предоставления минимальных прав.
  2. Контроль привилегированных учетных записей и управление ими. Вы должны получать актуальную информацию о привилегированном доступе и постоянно следить за повышением прав, чтобы не утратить контроль и не подвергнуть организацию риску в плане кибербезопасности.
  3. Контроль и аудит действий привилегированных пользователей. Установите политики, определяющие допустимое поведение привилегированных пользователей, и обозначьте действия, нарушающие эти политики.
  4. Автоматизация решений PAM. Функции можно масштабировать, охватив миллионы привилегированных учетных записей, пользователей и ресурсов, и тем самым повысить уровень безопасности и соответствия требованиям. Автоматизируйте обнаружение, управление и мониторинг, чтобы снизить количество и сложность задач администрирования.
В зависимости от возможностей вашего ИТ-отдела, вы можете использовать готовое решение PAM и постепенно добавлять модули для расширения и оптимизации его функционала. Чтобы обеспечить соответствие требованиям, необходимо учесть рекомендации по управлению системой безопасности.

Можно также интегрировать решение PAM с вашим решением для управления информационной безопасностью и событиями безопасности (SIEM).

Решения Privileged Access Management

Для защиты организации от кибератак недостаточно только технологических средств. Необходимо решение, которое учитывает пользователей, процессы и технологии.

Узнайте, как решения Microsoft Security для идентификации и доступа помогают защищать организацию, обеспечивая всем вашим пользователям, интеллектуальным устройствам и службам безопасный доступ для взаимодействия в сети.
Человек указывает на код на двух мониторах на рабочей станции с возможностью стоять.

Решения для идентификации и доступа

Защитите свою организацию: обеспечьте безопасный доступ для всех пользователей, интеллектуальных устройств и служб.
Подробнее
Человек стоит у окна и использует планшет в офисе.

Управление привилегированными пользователями

Защитите учетные записи администраторов, ограничив доступ к критически важным операциям.
Подробнее
Два человека идут на улице, проверяя информацию на смартфоне.

Условный доступ

Адаптивные политики работают в реальном времени и помогают тщательно контролировать доступ, чтобы сотрудники могли безопасно трудиться.
Подробнее
Назад к разделу "Родственные продукты"
Вопросы и ответы

Вопросы и ответы

  • Система управления идентификацией и доступом (IAM) включает в себя правила и политики, которые определяют, кто или что может получить доступ к ресурсам, когда, где и как именно. Эти правила и политики регламентируют управление паролями, многофакторную проверку подлинности, единый вход и управление жизненным циклом пользователей.

    Решение Privileged Access Management (PAM) связано с процессами и технологиями, необходимыми для защиты привилегированных учетных записей. Это сегмент IAM, который позволяет контролировать и отслеживать действия привилегированных пользователей (у которых права доступа выше и шире, чем у обычных пользователей), как только они входят в систему.
  • Надежная система управления сеансами — это средство безопасности PAM, которое позволяет отслеживать действия привилегированных пользователей (сотрудников организации, располагающих корневым доступом к системам и устройствам) сразу после их входа в систему. Полученные в результате журналы аудита известят вас о непреднамеренном или умышленном злоупотреблении привилегированным доступом.
  • Privileged Access Management (PAM) помогает улучшить состояние безопасности организации. Это решение позволяет контролировать доступ к инфраструктуре и данным, настраивать системы и проверять их на уязвимости.
  • Решение PAM обеспечивает такие преимущества, как сокращение рисков безопасности, снижение сложности и операционных затрат, более высокий уровень прозрачности и соответствия требованиям, а также более точное представление о происходящем в организации.
  • При выборе решения PAM для организации убедитесь, что оно обладает следующими функциями: многофакторная проверка подлинности, управление сеансами, JIT-доступ, безопасность на основе ролей, уведомления в реальном времени, автоматизация, аудит и составление отчетов.

Следите за новостями Microsoft Security