L’élévation de privilèges JAT rendue efficace par Devolutions

Nous avons récemment publié "Décoder l'élévation juste-à-temps (JAT)", une introduction à l'élévation de privilèges juste-à-temps (JAT) et son rôle dans une stratégie de gestion des accès privilégiés (PAM). Devolutions PAM offre des contrôles d'élévation de privilèges flexibles, permettant aux professionnels de l'informatique de prendre un contrôle positif sur les comptes privilégiés en limitant les privilèges permanents, en mettant en œuvre des flux de travail d'approbation et en faisant automatiquement tourner les mots de passe après utilisation.

Le paysage des menaces ne cesse de se complexifier. Le rapport 2024 IBM X-Force Threat Intelligence Index révèle une augmentation de 71% des attaques utilisant des identifiants valides, contribuant à 32% des vols et fuites de données dans les entreprises. Le rapport Microsoft's 2023 State of Cloud Permissions illustre ce risque en constatant que plus de 50% des identités accédant sont des super-administrateurs utilisant moins de 2% des permissions accordées.

Présentation de Devolutions PAM

Comment une organisation peut-elle mettre en œuvre ces contrôles de manière concrète? Au-delà de l'élévation JAT, toute solution de gestion des comptes privilégiés nécessite plusieurs composants. À cet effet, il est utile de comprendre les composants proposés par Devolutions PAM :

• Découvrir, importer et gérer les comptes privilégiés via des fournisseurs AnyIdentity, des connecteurs basés sur des scripts PowerShell pour pratiquement toute source.
• Demander l'élévation de privilèges JAT pour les comptes privilégiés, avec des flux de travail d'approbation, afin de supprimer les privilèges permanents et d’assurer la responsabilité.
• Faire automatiquement tourner les mots de passe des comptes privilégiés après utilisation, limitant ainsi l'exploitation d'identifiants volés.
• Propager les rotations de mots de passe aux systèmes de niveaux inférieurs via le moteur de propagation basé sur des scripts PowerShell.

Peut-être que le contrôle le plus visible pour l'utilisateur est l'élévation JAT. En général, un utilisateur devra accéder à un système ou à une ressource, emprunter un compte privilégié et éventuellement demander un accès supplémentaire via l'élévation JAT.

Élévation pratique JAT

Comment Devolutions aborde-t-elle l'élévation JAT en pratique? L'utilisation de Remote Desktop Manager connecté à Devolutions Server avec le module PAM et des comptes liés permet à un professionnel de l'informatique d'utiliser rapidement et efficacement des comptes privilégiés. La vidéo ci-dessous démontre :

• Vérification de l'échec de la connexion à un serveur sans les privilèges appropriés d'élévation JAT
• Connexion à un serveur via RDP en utilisant un compte PAM lié après l'élévation JAT
• Vérification que le groupe créé dynamiquement est supprimé via le tableau de bord Active Directory intégré de RDM

Configuration simple pour l'élévation JAT

Une fois que vous avez configuré un fournisseur dans Devolutions Server, vous pouvez définir les paramètres d'élévation JAT. Les mises à jour récentes de DVLS ont introduit les ensembles de privilèges. En définissant quels ensembles de privilèges sont regroupés, vous avez un meilleur contrôle sur les groupes assignés aux comptes privilégiés.

Au lieu de permettre à chaque groupe d'élévation d'accéder à chaque compte, assignez uniquement les groupes pertinents, protégeant ainsi les comptes contre des privilèges temporaires non nécessaires. Cela ne se limite pas à un seul compte : vous pouvez en demander plusieurs à la fois et, si vous utilisez un flux de travail d'approbation, le système permettra à l'approbateur d'ajouter ou de retirer des groupes selon ce qu'il juge nécessaire.

Devolutions PAM est une solution puissante, flexible et facile à utiliser, adaptée à tous, des petites entreprises aux clients grands comptes cherchant à protéger leurs comptes privilégiés. Avec la plateforme Devolutions, respectez les dernières normes de conformité et assurez l'efficacité et la sécurité de votre équipe informatique!