Jednorazowe konto Break Glass w Admin By Request

Nowa funkcja opiera się na rozwiązaniu firmy Microsoft – Local Administrator Password Solution (MS LAPS).
Jak więc działa Microsoft LAPS?

Hakerzy stale korzystają z jednej z najpowszechniejszych technik służących do nielegalnego wykorzystywania i nadużywania kont administratorów – poziomej lub pionowej eskalacji uprawnień. Microsoft LAPS zapobiega temu zjawisku, wykorzystując usługę Active Directory (AD) do zarządzania hasłami kont uprzywilejowanych na wszystkich punktach końcowych. Kluczowym elementem tego rozwiązania jest obowiązkowa rotacja haseł dla każdego konta administratora. Gdy potrzebny jest dostęp do konta administratora, użytkownicy uprzywilejowani mogą pozyskać zapisane hasła z Active Directory i zalogować się na konto z podwyższonymi uprawnieniami.

Rozwiązanie MS LAPS jest niewątpliwie słuszne, ale pozostawia kilka luk w zabezpieczeniach, które naszym zdaniem wymagały uzupełnienia.

Break Glass Account – czym jest i jak działa?

To nic innego jak jednorazowe konto administratora na danym punkcie końcowym. Działa ono zarówno autonomicznie, jak i w domenach oraz Azure Active Directory. Wszelkie aktywności, podjęte w ramach jednorazowego konta z podwyższonymi uprawnieniami, są raportowane w dzienniku audytu. Oprócz tego – dostęp uprzywilejowany przyznawany jest wyłącznie na określony czas.

Jakie korzyści płyną z takiego rozwiązania?

Jednorazowe konto w Admin By Request to połączenie funkcjonalności Microsoft LAPS oraz dodatkowych warstw zabezpieczeń, co gwarantuje pełną kontrolę kont uprzywilejowanych w obrębie Twojego systemu.  

Zabezpieczenia Break Glass Account

  • Jednorazowe konto w Admin By Request całkowicie eliminuje potrzebę korzystania z wbudowanego w system Windows konta administratora lokalnego.
  • Uprawnienia uprzywilejowane w ramach wygenerowanego jednorazowego konta mogą zostać wykorzystane jedynie w ciągu uprzednio zdefiniowanego okresu czasu.
  • Każda próba ingerencji w zegar, wbudowany w urządzenie, będzie skutkowała automatycznym zakończeniem sesji. Minimalizuje to ryzyko próby naruszenia czasu wygaśnięcia konta, potencjalnego ataku i nadużycia przywilejów administratora.
  • Do jednorazowego konta użytkownik może zalogować się wyłącznie jeden raz. Po wylogowaniu natomiast konto zostaje natychmiastowo zamknięte.
  • Wszelkie nazwy użytkownika i hasła niezbędne do procesu logowania, są generowane automatycznie. Dane uwierzytelniające są losowym i złożonym ciągiem znaków, co minimalizuje ryzyko ataku polegającego na wykorzystaniu technik łamania haseł.
  • Hasła przechowywane są w aplikacji Admin By Request. Dostęp do tych danych mają wyłącznie administratorzy lub zautoryzowani użytkownicy. Jest to niewątpliwie bezpieczniejsza opcja, w porównaniu do praktyki stosowanej przez Microsoft LAPS, gdzie hasła kont administratorów przechowywane są w postaci zwykłego tekstu wraz z rekordem komputera Active Directory.  

Intuicyjność i łatwość w użyciu

Korzystając z funkcji jednorazowego konta Break Glass uzupełniasz i wzbogacasz wdrożone rozwiązanie Admin By Request, które obejmuje:  

  • Zarządzanie dostępem i prawami administratora
  • Konfigurację procesu logowania
  • Pełen audyt aktywności użytkowników
  • Ochronę przed złośliwym oprogramowaniem
  • Możliwość natychmiastowej interwencji w przypadku zagrożenia
  • Zarządzanie hasłami administratora lokalnego

Wszystkimi powyższymi funkcjami możesz zarządzać za pośrednictwem wyłącznie jednej aplikacji – Admin By Request. Nie musisz więc przejmować się konfiguracją wielu rozwiązań zabezpieczających, na różnych platformach.

Realne przykłady użycia 

Funkcja Break Glass jest idealnym rozwiązaniem, w przypadku nagłego utracenia połączenia z domeną. Konieczne jest wówczas ponowne połączenie przy użyciu konta administratora. Jest to możliwe właśnie dzięki użyciu jednorazowego konta w Admin By Request.

Jednorazowe aktywowanie konta administratora – takie konto może być używane w określonych sytuacjach. Przykładem może być wykorzystanie Break Glass Account, jako konta dla osoby, która nie posiada danych uwierzytelniających, a potrzebuje jednorazowego dostępu do punktu końcowego.

Dodatkowe możliwości w wersji ABR Server Edition – w przypadku tej wersji, jednorazowe konto administratora może zostać udostępnione konsultantowi zdalnemu, bez konieczności nadawania mu uprawnień w całej domenie.

Konfiguracja jednorazowego konta w Admin By Request

Funkcja konta Break Glass nie jest ograniczona wyłącznie do działania w domenie. Działanie jednorazowego konta jest możliwe także w Active Directory oraz na urządzeniach stand-alone.

Nie ma potrzeby wdrażania tej funkcji na każdym punkcie końcowym. Ustawienia haseł, dostępu, sesji uprzywilejowanych są już zoptymalizowane. Uciążliwe kroki konfiguracyjne są więc ograniczone do minimum.  

Jak korzystać z jednorazowego konta Break Glass?

Funkcja konta Break Glass nie jest ograniczona wyłącznie do działania w domenie. Działanie jednorazowego konta jest możliwe także w Active Directory oraz na urządzeniach stand-alone.

Nie ma potrzeby wdrażania tej funkcji na każdym punkcie końcowym. Ustawienia haseł, dostępu, sesji uprzywilejowanych są już zoptymalizowane. Uciążliwe kroki konfiguracyjne są więc ograniczone do minimum.

Sposób działania jest prosty i dzieli się na trzy główne etapy:

1. Konfiguracja

Zaloguj się do portalu użytkownika Admin By Request i przejdź do zakładki Inventory. Wybierz punkt końcowy, a następnie wybierz funkcję Break Glass znajdującą się w menu po lewej stronie:  

Wybierz czas wygaśnięcia jednorazowego konta. Musi on wynosić minimum 15 minut. Górna granica czasu jest nieograniczona.

Wybierz przycisk Generate Account, który utworzy konto Break Glass i wyświetli losowo wygenerowane dane uwierzytelniające w polach tekstowych – wyłącznie do odczytu. .

Po wykonaniu wszystkich powyższych kroków, status jednorazowego konta Break Glass będzie aktualizowany w czasie rzeczywistym, w portalu użytkownika Admin By Request.

Cztery możliwe statusy to:

  • Waiting for Endpoint (Oczekiwanie na punkt końcowy) – jednorazowe konto zostało skonfigurowane, ale nie zostało jeszcze utworzone na danym punkcie końcowym (szerzej o tym procesie w kolejnej sekcji “Aktywacja”)
  • Ready to Log On (Gotowość do zalogowania) – konto zostało skonfigurowane i utworzone na punkcie końcowym, ale nie zostało jeszcze aktywowane tj. żaden użytkownik jeszcze nie zalogował się do konta
  • Session in Progress (Sesja w toku) – konto jest aktualnie w użyciu
  • Account Removed (Konto usunięte) – konto zostało zlikwidowane z powodu wylogowania użytkownika lub przekroczenia uprzednio zdefiniowanego czasu wygaśnięcia

Opcjonalny krok: W ustawieniach konta Break Glass możesz zdefiniować numer telefonu, na który, za pomocą wiadomości SMS, dostarczane będą użytkownikowi dane uwierzytelniające do konta Break Glass.

2. Aktywacja

Do konta Break Glass możesz zalogować się (aktywować je) na kilka sposobów:

  1. Uruchom ponownie urządzenie, a następnie poczekaj około 30 sekund na automatyczne utworzenie konta. W panelu użytkownika Admin By Request na bieżąco będą pojawiały się aktualizacje statusu. Gdy konto będzie gotowe, pojawi się ono na liście, w lewym dolnym rogu ekranu logowania.
  2. Po ponownym uruchomieniu urządzenia, na ekranie logowania wybierz konto “Inny użytkownik” i wpisz wygenerowane uprzednio dane uwierzytelniające konta Break Glass. Autoryzacja może nie powieść się przy pierwszej próbie. W takim przypadku należy odczekać 10 sekund i spróbować ponownie.
  3. Trzecią metodą aktywacji jednorazowego konta jest zalogowanie się na domyślne konto, wybranie ikony Admin By Request z dolnego paska narzędzi i wybranie opcji “About” z menu programu.

3. Zakończenie sesji

Po zalogowaniu się do jednorazowego konta Break Glass, użytkownik posiada uprawnienia administratora, które może wykorzystać do wykonywania swoich obowiązków na urządzeniu. Informacja o czasie wygaśnięcia sesji wyświetlana jest na wbudowanym wygaszaczu ekranu:

Konto przeznaczone jest do jednorazowego użytku. Zostaje więc ono trwale zamknięte po wylogowaniu użytkownika lub po upływie uprzednio zdefiniowanego czasu wygaśnięcia.

Audytowanie i raportowanie aktywności

Status każdego jednorazowego konta oznaczony jest kolorem i zapisywany w sekcji Events panelu Admin By Request. Tak audytowany jest również czas danej sesji oraz nazwa użytkownika, który korzystał z Break Glass Account.  

Wszelka aktywność podjęta w ramach Break Glass Account jest zapisywana w dzienniku audytu portalu użytkownika Admin By Request.

Konto Break Glass, łącząc w sobie zaimplementowane zabezpieczenia oraz funkcjonalność Microsoft LAPS, zapewnia kompleksową ochronę oraz łatwość użytkowania. Dzięki temu, Admin By Request, jako rozwiązanie do zarządzania dostępem uprzywilejowanym, oferuje także szereg funkcji gwarantujących pełne zabezpieczenie systemu firmowego, w myśl zasady najmniejszego uprzywilejowania.