Снегопад в столичном регионе, тропические ливни и вышедшая из берегов Волга в Приволжье — казалось бы, все марафоны отменяются... Но не в нашем случае!

#подсистемный_марафон помогает решать проблемы даже в условиях нулевой видимости, поэтому сегодня объясняем, как сохранить контроль внутри привилегированной сессии.

Открытая сессия — это не только вопрос «кто подключился», но и:

Точно ли это тот самый человек?

Можно ли убедиться, что пользователь вводил пароль вручную, а не подставил сохранённый из браузера?

Отвечаем честно: проверки такого рода нет. PAM-система получает уже заполненное поле и не видит разницы между вставленным и введённым паролем.

Но в том числе для таких случаев в СКДПУ НТ существует поддержка многофакторной аутентификации: и собственной от «АйТи Бастион», и сторонних. Такой механизм может гарантировать, что за сессией стоит настоящий владелец УЗ.

Куда он может пойти?

СКДПУ НТ позволяет запретить дальнейшие подключения с целевой системы — на конкретные адреса или их диапазоны. Работает для RDP и SSH. Дополнительно для большей гибкости можно настроить паттерны запрета команд с использованием регулярных выражений.

Что он может забрать с собой?

PAM-платформа фиксирует каждую операцию передачи: имя, размер и контрольную сумму файла. Чаще всего этого достаточно, чтобы по итогам передачи сравнить данные по принципу «план» и «факт». Также можно проверить хеш в VirusTotal.