ManageEngine figure dans le Gartner® Magic Quadrant™ 2022 sur la gestion de l’accès privilégié

Téléchargez un exemplaire gratuit du rapport ici.

» Élévation de privilèges et gestion des délégations

L’élévation de privilèges et la gestion des délégations (PEDM) est un volet de la gestion de l’accès privilégié (PAM) qui englobe des contrôles essentiels pour fournir aux non-administrateurs un accès administrateur précis et ponctuel aux applications, ressources, scripts et systèmes sensibles. En effet, elle permet aux DSI d’appliquer le principe du privilège minimum, consistant à accorder juste assez de privilèges pour que l’utilisateur effectue ses tâches. Cela élimine les risques des privilèges permanents liés aux comptes privilégiés non gérés, obsolètes et orphelins.

Rôle essentiel de la fonctionnalité PEDM dans une solution PAM

Parfois, un non-administrateur, comme un développeur, exige des privilèges supérieurs pour obtenir un accès administrateur à des ressources vitales. Dans ce cas, la DSI a besoin d’un moyen d’élever temporairement les privilèges et de les révoquer lorsque l’utilisateur achève sa tâche.

Bien que les solutions de gestion des sessions et des comptes privilégiés puissent accorder un accès temporaire à des systèmes vitaux, cet accès n’offre qu’un choix tout ou rien. Dans ce cas, on associe l’utilisateur à un compte d’administrateur temporaire, aussi appelé compte éphémère, qui lui accorde un accès administrateur complet aux systèmes cibles, dont des applications et des ressources auxquelles il ne devrait pas accéder ou dont il n’a pas besoin pour sa tâche. De plus, si on partage ce compte d’administrateur temporaire avec d’autres utilisateurs, ou pire s’il devient compromis, un pirate peut l’exploiter pour parcourir des réseaux et des systèmes privilégiés en restant incognito.

La fonctionnalité PEDM résout ce problème en autorisant un utilisateur à accéder à des systèmes et des applications sensibles selon un principe à la demande et à durée limitée. L’accès à des systèmes vitaux est fourni avec des privilèges élevés pendant une période donnée après validation des besoins. Les privilèges temporaires sont révoqués et les identifiants des comptes privilégiés remplacés au terme du délai fixé pour empêcher ensuite les tentatives d'accès non autorisés. Cela veille à supprimer les privilèges permanents qu’un pirate ou un utilisateur malveillant pourrait exploiter.

Gestion des privilèges d’utilisateur avec la fonctionnalité PEDM de ManageEngine PAM360

La fonctionnalité PEDM de ManageEngine PAM360 permet aux DSI d’établir un contrôle et un suivi précis des privilèges d’utilisateur en intégrant des options d’élévation de privilèges juste-à-temps et en libre-service pour des comptes Windows locaux et de domaine. Elle consiste essentiellement à accorder des privilèges supérieurs pour quelques applications, systèmes, scripts et processus pendant une période donnée. Ces contrôles stricts permettent aux DSI d’adopter le principe du privilège minimum afin d’accorder à des non-administrateurs suffisamment de privilèges pour effectuer leurs tâches.

Types de fonctions PEDM qu’offre PAM360

PAM360 offre deux modes d’élévation de privilèges, avec et sans agent. Dans le mode sans agent, appelé élévation de privilèges juste-à-temps, on élève automatiquement les utilisateurs ayant des besoins valables à des groupes de sécurité locaux pour un accès temporaire à des systèmes cibles, puis rétablit leurs privilèges par défaut après l’expiration de la période de demande d’accès. De même, on peut élever un compte d'utilisateur de domaine à un groupe de sécurité de domaine via une intégration à ADManager Plus, la solution de gestion Active Directory de ManageEngine. En savoir plus sur le fonctionnement du mode PEDM juste-à-temps de PAM360.

PAM360-JIT-PEDM
PAM360-JIT-PEDM

 

Le mode d’élévation de privilèges avec agent, aussi appelé élévation de privilèges en libre-service, s’active en installant et configurant des agents en libre-service sur les terminaux cibles. En savoir plus sur le fonctionnement de ce mode.

PAM360-SSPE-PED
PAM360-SSPE-PED