Семь типов привилегированных аккаунтов о которых вы должны знать и заботиться

Привилегированные учетные записи существуют во многих формах в корпоративной среде, и они создают значительные риски для безопасности, если они не защищены и не контролируются. 

Вот семь типов привилегированных учетных записей, которые встречаются в корпоративной среде чаще всего:

1. Локальная учетная запись администратора:  это не личные учетные записи, которые предоставляют административный доступ только локальному хосту. Локальные учетные записи администратора регулярно используются ИТ-персоналом для обслуживания на рабочих станциях, серверах, сетевых устройствах, базах данных, мэйнфреймах и т. д. Часто они имеют одинаковый пароль на всей платформе инфраструктуры для простоты использования. Этот общий пароль на тысячах хостов делает вашу инфраструктуру легкой целью.
2. Привилегированные учетные записи пользователей называются учетными данными, которым были предоставлены административные привилегии в одной или нескольких системах. Обычно это одна из наиболее распространенных форм привилегированного доступа к учетной записи, предоставляемая в корпоративной сети, позволяющая пользователям иметь административные права, например, на своих локальных рабочих столах или через системы, которыми они управляют. Часто эти учетные записи имеют уникальные и сложные пароли, а мощность, которую они используют в управляемых системах, заставляет постоянно следить за их использованием.
3. Учетные записи администратора домена имеют привилегированный административный доступ на всех рабочих станциях и серверах в домене. Хотя этих счетов мало, они обеспечивают самый обширный и надежный доступ по сети. С полным контролем над всеми контроллерами домена и возможностью изменять членство в каждой административной учетной записи в домене компрометация этих учетных данных часто является наихудшим сценарием для любой организации.
4. Экстренные доступы предоставляют непривилегированным пользователям административный доступ к защищенным системам в случае чрезвычайной ситуации и иногда называются учетными записями «firecall» или «breakglass». Хотя доступ к этим учетным записям обычно требует одобрения руководства по соображениям безопасности, обычно это ручной процесс, который неэффективен и не имеет никакой возможности проверки.
5. Service Accounts могут быть привилегированными локальными или учетными записями домена, которые используются приложением или службой для взаимодействия с операционной системой. В некоторых случаях эти учетные записи имеют права администратора домена в зависимости от требований приложения, для которого они используются. Локальные учетные записи могут взаимодействовать с различными компонентами Windows, что затрудняет координацию изменений пароля.
6. Active Directory или domain service account могут быть еще более сложными, поскольку они требуют координации между несколькими системами. Эта проблема часто приводит к обычной практике редко изменяющихся паролей учетной записи, которая представляет собой значительный риск для организации.
7. Учетные записи приложений - это учетные записи, используемые приложениями для доступа к базам данных, запуска пакетных заданий или сценариев или обеспечения доступа к другим приложениям. Эти привилегированные учетные записи обычно имеют широкий доступ к основной информации о компании, которая находится в приложениях и базах данных. Пароли для этих учетных записей часто внедряются и хранятся в незашифрованных текстовых файлах, что является уязвимостью, которая реплицируется на нескольких серверах, чтобы обеспечить большую отказоустойчивость приложений. Эта уязвимость представляет собой значительный риск для организации, поскольку в приложениях часто размещаются точные данные, на которые нацелены APT.

Запросите консультацию и демонстрацию решения CyberArk для защиты привилегированных аккаунтов, доступно по ссылке >