ЧАСТИНА 4: ЗАТВЕРДЖЕННЯ ТА РОТАЦІЯ ПАРОЛІВ¶

1. НАЛАШТУВАННЯ РОБОЧИХ ПРОЦЕСІВ ЗАТВЕРДЖЕННЯ¶

1.1 Мета¶

WALLIX Bastion пропонує робочі процеси затвердження, щоб забезпечити гнучкість доступу та уникнути надання "супер-привілеїв" аварійним командам.

1.2 Налаштування робочих процесів затвердження¶

В Active Directory створіть:

Групу "Approvers", користувача "approver"
Групу "Contractors", користувача "contractor"
Пароль (наприклад, "Password") з позначкою "Пароль ніколи не закінчується"

В Bastion створіть групу "Approvers":

"Користувачі" → "Групи" → "+ Додати групу"
Назва групи: "Approvers"
Виберіть користувача "admin" → '>'
Виберіть "approver" як профіль
Ім'я домену: "wallix.local"
LDAP-група: "Approvers" → підтвердьте '+'
"Застосувати"

Група "Contractors":

Назва групи: "Contractors"
Профіль: "user"
Ім'я домену: "wallix.local"
LDAP-група "Contractors" → '+'
"Застосувати"

Авторизація для Linux (Contractors):

"Авторизації" → "+ Додати авторизацію"
Група користувачів: "Contractors"
Група цільових систем: "Linux_Access"
Назва: "Contractors_Linux"
Протокол: "SSH_SHELL_SESSION" → '>'
Позначте "Увімкнути запис сеансу"
Зніміть "Увімкнути отримання пароля"
Позначте "Увімкнути робочий процес затвердження"
Коментарі: "обов'язково"
Квитки: "вимкнено"
Група затверджувачів: "Approvers" → '>'
Кворум: 1
Тайм-аут затвердження: 0
"Застосувати"

Авторизація для Windows (аналогічно):

Назва: "Contractors_Windows"
Протоколи RDP
Інші налаштування ті самі

Перевірка:

Увійдіть як "contractor" → "Запит" → заповніть вимогу
Увійдіть як "approver" → значок "Сповіщення" або "Авторизації" → підтвердьте запит
"contractor" отримує дозвіл на сеанс

1.3 Захист паролів¶

1.3.1 Мета¶

Bastion пропонує можливість надавати пароль у випадках потреби, але також забезпечує безпеку цих паролей шляхом налаштування політик посилення та ротації.

1.3.2 Налаштування політики посилення паролів¶

Створення політики паролів:

"Керування паролями" → "Політики зміни паролів" → "+ Додати"
Назва: "AD_Policy"
Налаштуйте політику відповідно до політики вашого домену
"Застосувати"

Додавання політики до домену:

"Цільові системи" → "Домени" → виберіть "wallix.local" → "Редагувати"
Позначте "Увімкнути зміну пароля"
Виберіть "адміністратора"
Виберіть політику "AD_Policy"
Плагіни зміни паролів: "Windows"
Заповніть ім'я хоста/IP AD
"Застосувати"

1.3.3 Налаштування відповідного облікового запису для керування паролями¶

Створення облікового запису "SAP" в AD (пароль "Password", "Пароль ніколи не закінчується")

Політика отримання пароля (checkout policy):

"Цільові системи" → "Політики отримання" → "+ Додати"
Назва: "local_Checkout"
Увімкніть "Блокування"
Тривалість отримання: 5 хвилин
Вкажіть продовження та максимальну тривалість
"Застосувати"

Глобальний обліковий запис SAP:

"Цільові системи" → "Облікові записи" → "Глобальні облікові записи" → "+ Додати"
Домен: "wallix.local"
Ім'я/логін облікового запису
Політика отримання: "local_Checkout"
Увімкніть "Автоматичну зміну пароля"
Вимкніть "Автоматичну зміну SSH-ключів"
"Застосувати" → вкажіть пароль (той самий, що в AD)

Група "Password_recovery":

"Цільові системи" → "Групи" → "+ Додати" → назва "Password_recovery" → "Застосувати"
"Керування паролями" → "+ Додати" → "Глобальний домен і пов'язані облікові записи"
Домен "wallix.local" → позначте "SAP" → "Додати та закрити"

Авторизація для отримання пароля:

"Авторизації" → "+ Додати авторизацію"
Група користувачів: "Windows_Team"
Цільова група: "Password_recovery"
Назва: "Password_here"
Зніміть "Увімкнути сеанси"
Позначте "Увімкнути отримання пароля"
"Застосувати"

Ротація облікових даних:

"Цільові системи" → "Облікові записи" → "Глобальні облікові записи"
Позначте "SAP" → "Автоматична зміна облікових даних"

Перегляд історії:

"Аудит" → "Історія облікових записів"
"Переглянути" для "SAP"