Во многих организациях привилегированные пользователи работают с 1С через терминальные серверы. Такой подход упрощает администрирование и централизует доступ к информационным системам, однако требует дополнительного контроля привилегированных действий и защиты от несанкционированного доступа. Одним из способов решения этой задачи является использование PAM-системы Infrascope совместно с технологией Remote App. Рассказывает Дмитрий Симак, менеджер продукта PAM Infrascope.
Доступ только к нужным приложениям 1С
В сценарии с использованием терминального сервера для доступа к 1С возможно применение технологии Remote App в RDP для четкого разделения ролей и ограничения доступа. Как это реализуется?
Привилегированные пользователи подключаются через PAM Infrascope к RDP сессии на терминальном сервере, где им доступен только Remote App с клиентом 1С - (конфигуратором, тонким или толстым клиентом). При этом они не видят полный рабочий стол, не могут запускать сторонние программы, копировать файлы или переключаться на другие системы, что снижает риск утечки данных и случайных ошибок.
Администраторы 1С и разработчики могут получать разные наборы Remote Apps в зависимости от их роли. Администраторы — консоль администрирования 1С, образовательные и демо конфигурации, инструменты мониторинга и т.п. Разработчики — конфигуратор 1С, локальные или тестовые базы, консоль разработки. Через терминальный сервер они подключаются к нужной RDP-сессии, а Infrascope гарантирует, что каждый видит только те 1С приложения, которые ему разрешены политиками PAM.
Привилегированные пользователи подключаются через PAM Infrascope к RDP сессии на терминальном сервере, где им доступен только Remote App с клиентом 1С - (конфигуратором, тонким или толстым клиентом). При этом они не видят полный рабочий стол, не могут запускать сторонние программы, копировать файлы или переключаться на другие системы, что снижает риск утечки данных и случайных ошибок.
Администраторы 1С и разработчики могут получать разные наборы Remote Apps в зависимости от их роли. Администраторы — консоль администрирования 1С, образовательные и демо конфигурации, инструменты мониторинга и т.п. Разработчики — конфигуратор 1С, локальные или тестовые базы, консоль разработки. Через терминальный сервер они подключаются к нужной RDP-сессии, а Infrascope гарантирует, что каждый видит только те 1С приложения, которые ему разрешены политиками PAM.
Контроль и управление привилегированными сессиями
Infrascope обеспечивает применение политик безопасности, производит логирование, предоставляет возможность аудита (наблюдения), управления и приостановки сессии. При подключении администратора к сессии или перехвате управления у пользователя появляется соответствующее сообщение.
Дополнительно Infrascope позволяет применять к RDP-сессиям следующие меры контроля:
Дополнительно Infrascope позволяет применять к RDP-сессиям следующие меры контроля:
- Ограничение доступа по геолокации и/или IP-адресу. Пользователю будет отказано в доступе, если он производит подключение из сети или местоположения, которых нет в списке разрешенных;
- Ограничение доступа по времени или дню недели. Доступ будет разрешен только определенное для работы время и день недели;
- Подтверждение администратором доступа к сессии. При попытке подключения пользователя к системе администратор будет получать уведомление о попытке и принимать решение о выдаче доступа пользователю к конечной системе;
- Ограничение использования буфера обмена и файловой передачи на целевую систему;
- Сокрытие паролей привилегированных учетных записей от пользователя, при подключении к целевым ресурсам. Выполнение автоматической подстановки учетных данных при инициации сессии.
Полное журналирование действий
PAM Infrascope производит логирование сессий привилегированных пользователей. На доступ к просмотру логов также распространяются правила доступа, на основе ролевой модели.
При подключении по RDP производится логирование следующих данных:
Помимо перечисленных данных, сессия сохраняется в формате видеолога, с возможностью перехода по временным меткам выполнения команд. При просмотре видеолога существует возможность прямо с экрана просмотра копировать необходимую информацию в текстовом виде. Видеолог хранится в системе в виде сырых файлов, для его скачивания предусмотрена возможность преобразования в видеофайл формата .mp4.
Также для подключений по RDP есть возможность применять дополнительные инструменты при записи видео-лога: OCR (Оптическое распознавание символов) и Key-logger (Фиксация нажатий клавиш на клавиатуре). OCR распознает текстовые названия всего, что отображается на экране. Key-logger записывает все нажатия клавиатуры (в том числе ввод команд и сочетания клавиш) и мыши.
При подключении по RDP производится логирование следующих данных:
- IP-адрес хоста;
- Идентификатор подтверждения (если производилось подтверждение администратора для установления сессии);
- Имя хоста, к которому подключался пользователь;
- Протокол подключения;
- Имя пользователя;
- IP-адрес пользователя;
- Имя инстанса, через который производилось подключение;
- Время начала и завершения сессии
- Уникальный ID пользователя;
- Время выполнения сессии;
- Период неактивности пользователя во время проведения сессии.
Помимо перечисленных данных, сессия сохраняется в формате видеолога, с возможностью перехода по временным меткам выполнения команд. При просмотре видеолога существует возможность прямо с экрана просмотра копировать необходимую информацию в текстовом виде. Видеолог хранится в системе в виде сырых файлов, для его скачивания предусмотрена возможность преобразования в видеофайл формата .mp4.
Также для подключений по RDP есть возможность применять дополнительные инструменты при записи видео-лога: OCR (Оптическое распознавание символов) и Key-logger (Фиксация нажатий клавиш на клавиатуре). OCR распознает текстовые названия всего, что отображается на экране. Key-logger записывает все нажатия клавиатуры (в том числе ввод команд и сочетания клавиш) и мыши.
Полнотекстовый поиск по действиям пользователей
В Infrascope реализован удобный полнотекстовый поиск по вышеперечисленным сохраняемым данным о сессии, в том числе поиск осуществляется для системных событий (перехват сессии пользователя администратором, копирование файлов или содержимое буфера обмена) и для данных, снятых на основе OCR и Key-logger. Помимо поиска по данным, также возможен поиск по выполненным на конечном хосте командам.
Использование Infrascope совместно с Remote App позволяет организовать безопасную работу с 1С через терминальный сервер, обеспечить строгое разграничение доступа, исключить несанкционированные действия и получить полный аудит работы привилегированных пользователей. Такой подход помогает не только повысить уровень безопасности, но и упростить контроль действий администраторов, разработчиков и подрядчиков, работающих с критически важными системами 1С.
