Skuteczną strategią zabezpieczenia danych i systemów jest ograniczenie dostępu do nich dla wszystkich nieuwierzytelnionych użytkowników. Szczególnie trudno jest wykryć obecność takich kont na punktach końcowych, które nie są kontrolowane przez kontroler domeny lub system wykrywania kont.
Syteca jest wyposażony w mechanizm, który może ułatwić to zadanie. Dzięki niemu można otrzymać powiadomienie o rozpoczęciu podejrzanej sesji użytkownika i w razie potrzeby zablokować ją w czasie rzeczywistym. Można również użyć funkcji zarządzania alertami do ograniczenia dostępu do najbardziej krytycznych punktów końcowych tylko dla wąskiego grona zaufanych użytkowników. Zobaczmy, jak można uniemożliwić niezaufanym użytkownikom dostęp do określonego punktu końcowego.
Niezaufany użytkownik w Twojej sieci
Konfigurowanie blokowania sesji niezaufanych użytkowników.
Niezaufany użytkownik w Twojej sieci
Istnieje kilka sposobów, w jaki niezaufany użytkownik może pojawić się w Twojej sieci:
- Domyślne konto administratora nie zostało prawidłowo skonfigurowane lub usunięte z systemu.
- Lokalne konto użytkownika nie zostało zlikwidowane po rezygnacji pracownika.
- Pracownik utworzył nowe konto użytkownika, aby później użyć go jako tylnych drzwi.
Trudniej jest wykryć złośliwe działania, jeśli są one wykonywane przez osobę z legalnym dostęp do infrastruktury. Według raportu Cybersecurity Insiders prawie 70% organizacji czuje się narażonych na ataki insiderów.
Konfigurowanie blokowania sesji niezaufanych użytkowników
Aby zabezpieczyć krytyczne dane i systemy przed niezaufanymi użytkownikami, należy utworzyć alert z funkcją automatycznego blokowania niezaufanych sesji:
- W Konsoli zarządzania otwórz stronę Zarządzanie alertami.
- Kliknij przycisk Dodaj alert i zaznacz opcję Włącz.
- Zdefiniuj reguły:
- W pierwszym polu zdefiniuj Nazwę użytkownika.
- Wybierz opcję Nie równa się w drugim polu.
- Zdefiniuj nazwy użytkowników zaufanych w trzecim polu. Można dodać kilka nazw użytkowników oddzielonych średnikami.
- Wybierz opcję Agenci monitorowania lub Grupy agentów monitorowania.
- Przejdź do zakładki Opcje alertu i wybierz opcję Pokaż ostrzeżenie użytkownikowi.
- W sekcji Dodatkowe akcje zaznacz opcję Zablokuj użytkownika na wszystkich komputerach.
- Aby otrzymywać powiadomienia e-mail w przypadku wyzwolenia alarmu, wybierz opcję Wyślij e-mail do… i wprowadzić adresy e-mail, na które mają być wysyłane powiadomienia.
- Kliknij przycisk Zakończ, aby zapisać zmiany.
Po zapisaniu tej reguły tylko określeni użytkownicy będą mogli logować się do wybranych Klientów. Dla pozostałych użytkowników dostęp do tych Klientów będzie zablokowany. Możesz również przejrzeć listę wszystkich użytkowników, którym zablokowano dostęp do danego Klienta w Konsoli zarządzania.
- Przejdź do strony Zarządzanie agentami monitorowania i otwórz listę rozwijaną.
- Wybierz listę zablokowanych użytkowników.
Możesz usunąć użytkownika z listy zablokowanych użytkowników, co umożliwi mu dostęp do tego konkretnego klienta lub grupy klientów. Ale dopóki tego nie zrobisz, taki użytkownik pozostanie niezaufany i nie będzie mógł się zalogować do chronionego punktu końcowego.