Privileged Access Management – PAM

Med PAM kan man begränsa priviligierade behörigheters åtkomst, återupprätta kontrollen över en möjligt komprometterad Active Directory miljö samt minska risken för att autentiseringsuppgifter stjäls genom att isolera användningen av privilegierade konton.

Problem som PAM löser

  • Säkerhetsproblem
  • Obehöriga privilegieutökningar
  • Pass-the-hash
  • Pass-the-ticket
  • Spear phishing
  • Kerberos-angrepp
  • Andra attacker

Begränsningar som PAM tillför

  • Krav på flerfaktors-autentisering
  • Tidsbegränsat innehav av priviligierad behörighet
  • Godkännandeflöden innan priviligierad behörighet tilldelas

Fördelar med PAM

  • Användare måste begära behörighet
  • Begäranden godkänns och nekas utifrån förutbestämda principer
  • Privilegierad behörighet är inte tillgänglig förrän begäran godkännts.
  • Loggning av
    • Begäran
    • Godkännande av begäran
    • Eventuella händelser efter godkännandet

Med Priviliged Access Management säkrar du upp dina priviligierade behörigheter även om de komprometterats tidigare.

Har du tidigare tilldelat en person domänadministratörs behörighet, vet du då säkert om han/hon skapat ett nytt konto och tilldelat det andra priviligierade behörigheter? De flesta har koll på sina domänadministratörer men sällan andra privigierade konton.

Med PAM kan du låsa ner samtliga priviligierade behörigheter genom att ta bort de permanent tilldelade behörigheterna och istället göra så att de måste beställas, godkännas samt tillföra krav så som flerfaktors-autentisering. En tilldelad behörighet begränsas sedan till en begränsad tid och självklart loggas hela processen.

PAM baseras på en ny skyddad AD-miljö (Windows Server 2016) som är betrodd av en eller flera befintliga och möjligen komprometterade AD miljöer. Denna nya AD-miljö skall förses med det nya PAM-tillägget  som tillför tidsbegränsning av gruppmedlemskap. Till denna nya skyddade miljö kopierar man AD-grupper som ger privligierade behörigheter samt användare som i fortsättningen endast är kandidater till att tilldelas priviligierade behörigheter, bägge till s.k. Shadow Principals.

Microsoft Identity Manager (MIM) används sedan för arbetsflöden för, begäran, godkännanden, tilldelning och loggning.

Hur Priviliged Access Management fungerar

Hur fungerar PAM?

Bild ovan: MIM PIM howitworks by Microsoft is licensed under CC BY 4.0

Ingen lösning är den andra lik

Vad har ni för system som automatiskt kan födas med konton och behörigheter?
Vad har ni för interna processer och regler?

Det mesta går att automatisera men man bör räkna med att processer kan behöva förenklas och likriktas d.v.s. samma regler för alla och att man bör minimera handpåläggning för att få den bästa lösningen.

Vad vi
kan göra för er?

Vi har många års erfarenhet och många kunder vi hjälpt genom åren med att bygga identitethanteringslösningar.

Kontakta oss så berättar vi mer vad vi kan göra för er.

Microsoft Identity Manager Strategi och Framtid
Microsoft Identity Manager Strategi och Roadmap 1920 1081 Identitry

Microsoft Identity Manager Strategi och Roadmap

En del har oroat sig för framtiden för Microsoft Identity Manager men Microsoft höll 2018-02-27 ett webinar som klargjorde att man har en del på gång gällande MIM. Webinaret går fortfarande att se men kräver att man registrerar sig. https://infopedia.eventbuilder.com/event?eventid=m7e7v6 Känner du inte för att titta på webinaret kommer här en kort sammanfattning: Microsoft släpper…