Безопасность корпоративной учетной записи
Узнать большеДля упрощения управления доступом в информационной системе используются учетные записи (аккаунты). Они закрепляют за пользователем определенные настройки, им назначаются права или привилегии. Учетные записи пользователей в информационной системе могут носить как частный характер, при домашнем использовании компьютера, так и рабочий – для выполнения определенных задач и обязанностей. В случае большого количества учетных записей, для их управления могут использоваться автоматизированные инструменты.
Что такое учетная запись?
Это перечень данных, определяющих пользователя в информационной системе, который хранится на компьютере или на сервере организации. Учетные записи необходимы для проведения процедур идентификации, аутентификации и дальнейшего предоставления прав доступа к запрашиваемым ресурсам, выполнения настроек доступа. Для управления аккаунтом требуется предоставить логин, пароль, а в отдельных случаях и дополнительную информацию: кодовое слово или подтверждающие личность сведения.
Идентификатор, логин и пароль обычно хранятся в зашифрованном виде. Для выполнения аутентификации могут использоваться дополнительные файлы-ключи или же одноразовые ключи-пароли, которые создаются посредством программно-аппаратных средств. В зависимости от типа аккаунта и полноты его заполнения он может содержать такую информацию как ФИО, возраст, пол, адреса электронной почты и проживания пользователя, контактный телефон и многое другое. Это многократно повышает ценность учетных данных и требует проведения защитных мер, направленных на предотвращение взлома и сохранения конфиденциальности.
Создание и настройка учетной записи
Это можно сделать самостоятельно, если аккаунт используется в личных целях или с помощью автоматизированных систем управления доступом, характерных для организаций. Простейшим вариантом создания учетной записи является использование стандартных средств операционной системы, например, раздела «Учетные записи» в Windows. Если компьютером пользуется один человек, то аккаунт по умолчанию получит статус администратора и расширенные права. В случае использования одного устройства разными людьми, рационально создать несколько аккаунтов, например, администратор и пользователь.
При выполнении настройки учетной записи нужно обратить в первую очередь внимание на:
-
Установку прав. Здесь нужно учитывать количество пользователей, их деятельность.
-
Создание групп и делегирование им прав: если в системе много пользователей.
-
Настройку политик безопасности. Это может быть двухфакторная аутентификация и другие дополнительные параметры.
Ошибки при создании и работе с учетными записями
-
Использование стандартных настроек. Параметры по умолчанию содержат множество уязвимостей и неточностей, что позволяет злоумышленнику легко получить доступ к аккаунту.
-
Отсутствие разделения прав и привилегий. Одинаковые права пользователей могут привести к появлению конфликтов полномочий, усложнить контроль. Это приводит к возникновению инцидентов безопасности.
-
Использование одинаковых и слабых паролей. Единый логин и пароль по стандартной схеме admin\admin оставляет брешь для злоумышленника, дает ему неограниченные возможности по использованию чужого аккаунта.
-
Пренебрежение дополнительными средствами защиты аккаунта. Использование многофакторной аутентификации снижает риски взлома в два раза. Подобная мера должна стать обязательной, особенно для аккаунтов с привилегированными правами.
Виды учетных записей
Условно аккаунты пользователей в информационной системе можно поделить на три вида:
-
Встроенные. Присутствуют во всех операционных системах по умолчанию. Подразделяются на два подвида: администратор и пользователь (или гость). Первый подвид используется для управления всеми ресурсами в информационной системе. Второй – позволяет получить пользователю локальный доступ к ресурсам на время. Обычно этот тип аккаунта отключен по умолчанию и требует активации.
-
Глобальные. Распространяются на домен и его пользователей. Создаются средствами диспетчера пользователей домена. Носят единый характер, позволяют всем зарегистрированным пользователям на одном домене получить доступ к его ресурсам, используя одинаковый логин и пароль.
-
Локальные. Распространяются на отдельные устройства, содержат данные о конкретном пользователе с привязкой к его рабочему месту. Создаются средствами диспетчера пользователей. Такие учетные записи создаются внутри определенной рабочей группы.
Как обезопасить учетную запись?
-
Придумать сложный пароль и регулярно его менять. Менеджер паролей поможет придумать уникальный вариант, чтобы надежнее защитить аккаунт.
-
Использовать многофакторную аутентификацию. Этот метод защиты сложно обойти, он эффективно работает и повышает базовый уровень безопасности.
-
Использовать средства защиты данных при работе в сети. Антивирус, межсетевой экран, прокси или VPN – минимальный набор средств защиты, который пригодится любому пользователю.
-
Своевременно обновлять операционную систему и используемые приложения. Это поможет противостоять актуальным угрозам и избегать очевидных уязвимостей ПО.
При работе с учетными записями в корпоративной сети для повышения эффективности управления и улучшения безопасности, используют автоматизированные инструменты. Например, Solar inRights подходит для построения и выполнения процедур исполнения регламентов управления доступом внутри компании. С его помощью становится возможным получить детальную картину прав доступа персонала, контролировать исполнение внутренних правил и политик безопасности, существенно уменьшить число инцидентов ИБ, возникших по причине избыточных полномочий. Solar inRights легко интегрируется с кадровыми и информационными системами, а также выступает в качестве единого и централизованного решения по управлению доступом.
