Elevación de privilegios justo a tiempo

La elevación de privilegios justo a tiempo es un modelo diseñado para limitar la cantidad de tiempo que el acceso privilegiado está habilitado en un sistema crítico. Esto permite que los administradores, usuarios, aplicaciones y scripts accedan a información confidencial solo cuando sea necesario y solo durante el tiempo necesario para completar la tarea.

Este enfoque evita dar a los usuarios privilegios elevados de forma permanente, lo que puede ser un vector de abuso. Un sistema maduro de administración de acceso privilegiado proporciona elevación automatizada de privilegios solo cuando es necesario y durante el tiempo mínimo requerido para completar la tarea dada para cualquier entidad que necesite acceso privilegiado.

PAM360 facilita el acceso justo a tiempo a través de su perfecta integración con ManageEngine ADManager Plus, una solución de informes y gestión de Active Directory. A través de la elevación automatizada y controlada de los privilegios de la cuenta de dominio, PAM360 incorpora restricciones basadas en el tiempo y en los recursos para el acceso privilegiado, lo que refuerza la seguridad y hace que todo el proceso sea sencillo.

Asigne cuentas de dominio a grupos de seguridad de Active Directory desde PAM360

La integración de PAM360 con ADManager Plus brinda a los administradores el control para asignar cuentas de usuario de dominio a grupos de seguridad específicos en Active Directory. Esto se puede hacer agregando el controlador de dominio de Active Directory como un recurso en PAM360 y luego asociándolo con grupos de seguridad de Active Directory seleccionados, que se obtienen y muestran como resultado de la integración entre estos productos.

Asignar cuentas de dominio a Active Directory desde PAM360 Asignar cuentas de dominio a Active Directory desde PAM360

Garantizar una elevación de privilegios temporal basada en la aprobación para el dominio de Windows y las cuentas locales

PAM360 proporciona a los usuarios de dominio de Windows permisos elevados, lo que les permite heredar privilegios de administrador de dominio en función de un mecanismo de aprobación de solicitudes durante un período de tiempo específico. Este flujo de trabajo orquestado, que se logra a través de un conjunto de configuraciones de políticas predefinidas, permite a los usuarios del dominio iniciar sesión fácilmente y realizar tareas privilegiadas en los sistemas de destino utilizando sus propias credenciales. Una vez que se agota el tiempo, los permisos se revocan automáticamente, lo que garantiza que el usuario ya no tenga privilegios para acceder al sistema crítico.

PAM360 también admite la elevación de privilegios de cuenta local lista para usar para los recursos de Windows. Estas restricciones de acceso adicionales basadas en marcos de tiempo a sistemas privilegiados ayudan a las empresas a obtener un control completo sobre el acceso privilegiado.

Elevación de privilegios para el dominio de Windows PAM360 Elevación de privilegios para el dominio de Windows PAM360

Aprovisionamiento de elevación de privilegios de autoservicio para Windows y cuentas de dominio de Windows

PAM360 permite a los administradores configurar la elevación de privilegios de autoservicio en los puntos finales de destino utilizando un enfoque basado en agentes. Con el control de acceso habilitado para cuentas en recursos donde los agentes de elevación de privilegios de autoservicio están configurados, la elevación de privilegios de autoservicio tendrá prioridad sobre el control de acceso de contraseña. Esto significa que los usuarios pueden iniciar sesión en sus recursos de destino y ejecutar tipos específicos de aplicaciones (CMD, EXE, MSI, MSC y BAT) como una cuenta privilegiada de PAM360 con privilegios elevados sin necesidad de credenciales de cuenta privilegiada.

La elevación de privilegios de autoservicio permite a los usuarios realizar acciones administrativas especiales en las aplicaciones al aprobar automáticamente sus solicitudes y elevar sus privilegios temporalmente para llevar a cabo las tareas previstas. Una vez que se complete la actividad solicitada, se revocarán sus privilegios de aplicación y las credenciales de los recursos de destino se rotarán automáticamente.

Esto es diferente de la elevación de privilegios regular justo a tiempo, ya que JIT incluye un mecanismo de liberación de solicitudes basado en el tiempo para elevar a los usuarios a los respectivos grupos de seguridad automáticamente y degradarlos.

Un par de buenos casos de uso relacionados con esta función incluyen, entre otros:

  • Los desarrolladores que necesitan instalar una aplicación en particular en un punto final remoto, pero que no tienen suficientes privilegios para hacerlo, pueden aprovechar la elevación de privilegios de autoservicio para ejecutar el archivo del instalador usando una cuenta privilegiada en el punto final.
  • Los administradores de bases de datos que deseen realizar operaciones de mantenimiento de bases de datos con Microsoft SQL Studio, pero que no tengan derechos de administrador completos en el punto final en el que se ejecuta la instancia de SQL, pueden aprovechar la elevación de privilegios de autoservicio para ejecutar SQL Studio con un permiso de cuenta privilegiado.

Con los privilegios adecuados, los administradores y los usuarios pueden generar informes personalizados sobre eventos de elevación de privilegios de autoservicio. Obtenga más información sobre cómo habilitar y configurar la elevación de privilegios de autoservicio en los sistemas de destino.

Amplíe el control directamente desde ADManager Plus

Si bien la integración permite a los administradores de PAM360 elevar los permisos para las cuentas de dominio, no afecta el control que ADManager Plus tiene sobre los permisos de los usuarios. Como precaución de seguridad, el flujo de trabajo está diseñado para que los cambios realizados en los niveles de permisos de los usuarios del dominio por parte de los administradores de ADManager Plus anulen los cambios realizados en PAM360. De esta manera, las cuentas de dominio se mantienen bajo control completo en ADManager Plus, evitando cualquier acceso no autorizado.

Poner fin al uso indebido de privilegios. Asegure el acceso a sus activos críticos hoy.

Descargar prueba gratuita de 30 días