Выявление рисков, связанных с учетными записями (Risk Detection)
В JumpServer Enterprise редакции поддерживается функция обнаружения неизвестных учетных записей (подробнее в этой статье), но при сканировании целевых систем на наличие учетных записей, с них собирается также дополнительная информация, которая используется для выявления рисков, связанных с учетными записями.
Что делает функция выявления рисков?
В разделе PAM - Risk detection на вкладке
Detection Engines вы можете видеть 4 основных типа
обнаружения рисков:
Check the discovered accounts:
Анализ на основе автоматически обнаруженных результатов по
аккаунтам, включая группы пользователей, публичные ключи, настройки
sudo и другую информацию.
Check the strength of your account and
password:
Анализ безопасности паролей аккаунтов, включая сложность пароля,
утечки и другие риски.
Check if the account and password are
repeated:
Проверка совпадения паролей у учетных записей
Check whether the
account password is a common password:
Проверка, относится ли пароль учетной записи к числу часто
используемых или ранее скомпрометированных паролей.
Эти механизмы обнаружения рисков,
позволяют выявить учетные записи, которые:
Давно не авторизовывались на ресурсе, недавно появились или были
удалены с целевой системы
Изменили членство в группе, изменили параметры sudo
Имеют истекший срок действия пароля, слабый пароль или их пароль
давно не менялся
Имеют пароль, содержащийся в базе украденных паролей
Имеют пароль, совпадающий с другими учетными записями
Включение функции выявления рисков
Зайдите в раздел PAM - Risk
detection и на вкладке Detection
Task нажмите Create и заполните
параметры обнаружения:
В параметре Engines желательно выбрать все модули, также можно включить периодичность сканирования. Сохраните задачу и нажмите Execute и дождитесь завершения.
Список украденных паролей
Список украденных паролей, который используется для выявления
рисков, находится в разделе System settings -
Security , на вкладке User
password есть пункт Leaked password
list и рядом кнопка View.
Вы
можете вручную добавить в список дополнительные
записи, например пароли по-умолчанию, которые создаются у
вас в компании при создании новых ресурсов и тд
А также можете скачать и добавить сюда публичные списки самых
популярных паролей. собранные аналитиками, например на
данный момент у меня загружен список из "топ 1 млн
украденных паролей", но если вы попробуете загрузить 1млн
паролей через CSV\XLSX файл, то скорее всего это займет бесконечно
долго и поэтому не нужно пытаться это делать.
Как добавить большое количество паролей в
список?
База утекших паролей хранится в файле на сервере, которых находится
по этому пути:
/data/jumpserver/core/data/leak_passwords.db и его
копия
/data/jumpserver/core/data/system/leak_passwords.db
leak_passwords.db - это файл база данных SQLite
Поэтому чтобы добавить в эту базу данных большое число строк,
достаточно скачать файл leak_passwords.db , открыть его любым
клиентом для SQLite, например HeidySQL:
И через импорт CSV добавить в список, например, 1млн паролей или
еще больше, после этого обратно загрузить файл на сервер и положить
две копии файла в обе директории:
/data/jumpserver/core/data/leak_passwords.db
/data/jumpserver/core/data/system/leak_passwords.db
| << Настройка обнаружения активов в локальной сети и облачных платформах | Маскирование данных в СУБД >> |
Нужна помощь?
Поддержка во время пилота JumpServer PAM Enterprise Edition
Вы начали тестирование JumpServer PAM EE и столкнулись с проблемой? Наш процесс включает в себя организацию групп переписок в электронной почте или групп в Telegram для оперативного решения вопросов. Если вы уверены, что вас не добавили в такую группу, обратитесь к вашему поставщику или к нам по адресу support@afi-d.ru
Обучение ваших специалистов настройке и администрированию JumpServer PAM
В рамках действующей подписки на техническую поддержку мы обучим ваших специалистов установке, настройке, адмнистрированию JumpServer PAM, а также восстановлению после ошибок и аварий.
Обучение проходит онлайн, по заранее согласованному плану, включает в себя обязательную проверку знаний на практике с выдачей именных сертификатов (в случае успешной сдачи экзамена).
Видео-инструкции
Посетите наш канал на RuTube с видео-инструкциями по настройке всех разделов JumpServer PAM. Видео на русском языке и актуализируются с выходом новых версий.
Техподдержка бесплатной редакции JumpServer PAM Community Edition
Мысль о внедрении непростой, но критичной для бизнеса PAM-системы может пугать кажущейся сложностью настройки системы, обучением администраторов и специалистов ИБ, изменениями в процессах работы с учетными записями.
Чтобы внедрение и настройка JumpServer Community Edition были комфортными, а также чтобы вы всегда могли обратиться за помощью к профессионалам, AFI Distribution предлагают годовую подписку на техническую поддержку.
Пакет поддержки в 1.5 млн рублей за экземпляр JumpServer Community Edition (без ограничений на количество пользователей и целевых систем) включает всё необходимое для использования PAM:
- документацию на русском языке;
- сценарии использования и рекомендуемые архитектуры для установки;
- обучение администраторов и специалистов ИБ работе с JumpServer;
- подсказки и решения для популярных вопросов;
- оповещения о выходе новых версий с проверенной инструкцией для апгрейда;
- подключение к Radius и многофактороной аутентификации «Мультифактор» ;
- прямой доступ к инженеру (без первой линии) с понятным SLA.
