SOLUÇÕES CENTRIFY. FEVEREIRO DE 2014
Proteja dados de servidores PCI dos Domain Admins
Você recebeu uma ordem do seu gerente – restringir acesso aos servidores PCI e SOX para que a empresa passe na
próxima auditoria. Para servidores Windows, isso é um problema. Todos os membros do grupo Domain Admins
possuem acesso aos servidores PCI e SOX – algo que não deveriam ter. Como você consegue resolver o problema de
restringir acesso dos administradores de domínio a esses servidores?
Atinja metas de conformidade para acesso
administrative com a Centrify Server Suite
grupo Domain Admins possuem acesso total a esses
servidores PCI – a não ser que você use o Centrify Server
Suite.
Uma das verdades da administração de domínios Windows
é que virtualmente todas as organizações, de todos os
tamanhos, podem ter problemas em relação a segregação
de funções. Esse princípio se manifesta de diversas
formas; por exemplo, um colaborador que realiza um
pedido de compra jamais poderia ser o aprovador deste
mesmo pedido. Ou, talvez a violação mais frequente deste
item hoje em dia em domínios Windows, é que uma grande
porcentagem dos seus administradores de domínio que não
tem a minima necessidade de acessar dados privilegiados e
confidenciais, possuem esse privilégio.
Esse é um exemplo quase perfeito de que um modelo de
“menos acesso possível” é exigido por normas regulatórias
feitas para proteger clientes e empresas de expor
informações confidenciais como cartões de crédito (PCI),
dados sobre saúde de pacientes (HIPAA) ou dados
financeiros (MAS).
O Centrify Server Suite permite que você restrinja o
acesso dos administradores de domínio aos seus
servidores PCI, enquanto dá total acesso aos
controladores de domínio. Isso protege seus dados PCI de
colaboradores internos que não tem motivo para ter
acesso aos servidores PCI, enquanto permite que seu
time de administradores do domínio gerencie o Active
Directory usando as ferramentas padrão, como o ADUC, a
console de gerenciamento DNS, etc.
No cenário ilustrado abaixo, Centrify ajudou uma grande
organização financeira a restringir acesso dos
administradores de domínio a dados confidenciais
PCI/SOX em servidores membros do domínio. Na figura 1,
vemos a forma que era antes – a forma que não passou
na auditoria. Todos os administradores de domínio
possuem acesso a servidores que contém dados
confidenciais.
Vamos ver um caso simples para uma organização
financeira. A organização tem, por questão de
simplicidade, dois tipos de servidores Windows:
controladores de domínio e member servers que contém
dados PCI.
Sem segregação de funções • Todos os domain admins têm acesso irrestrito a todos os servidores, inclusive servidores com dados confidenciais Membros do grupo Domain Admins têm acesso total a
todos os computadores do domínio, incluindo servidores
que contém dados PCI. Isso não é o que a organização
quer. Ela quer que os DBAs e donos das informações PCI
tenham acesso a esses computadores. Não há nada nesses
computadores que deva ser administrado por um
administrador de domínio. Porém, todos os usuários do
© 2014 CENTRIFY CORPORATION. TODOS OS DIREITOS RESERVADOS.
Figura 1 Todos os domain admins possuem acesso a todos os servidores
SB-003-2014-02-24
PÁGINA 1
GESTÃO SEGURA DE SERVIÇOS WINDOWS
Na figura 2, o problema foi solucionado, usando a Suite
Resumo
Centrify, permitindo que o usuário Matt seja um
administrador de domínio quando ele se conecta a um
Há diversas maneiras que a Centrify Server Suite
controlador de domínio, mas um usuário comum em
pode ajudar a proteger dados confidenciais de
qualquer outro servidor. Isso restinge acesso do usuário
administradores de domínio e garantir a segregação
Matt a qualquer dado confidencial em servidores
de funções exigida por normas regulatórias e
PCI/SOX, já que ele não tem permissões administrativas
auditores.
nesses servidores.
Segregação de funções aplicada • Matt tem privilégio de domain admin no controlador de domínio mas nenhum acesso nos servidores com dados confidenciais Centrify Server Suite
A Centrify Server Suite te ajuda a aproveitar de
maneira segura a sua estrutura existente do Active
Directory para gerenciar autenticação de forma
centralizada, controlar acessos, gerenciar
privilégios, aplicação de políticas e conformidade
em ambientes on-premise e na nuvem. Além disso,
a tecnologia patenteada de Zones reduz o tempo de
implementação e fornece controles de acesso
únicos e granulares.
Centrify Server Suite
Figura 2 Dados confidenciais são protegidos dos domain
http://www.centrify.com/products/centrify-server-
admins
suite.asp
Outra abordagem suportada pela Centrify Server Suite
Contacto Centrify
é restringir privilégios de login – local e/ou remoto –
Brazil +55-11-3958-4876
para uma parte dos administradores de domínio. O
Latin America +1-305-900-5354
Agente Centrify pode negar privilégios de login a
qualquer usuário que você queira, mesmo que ele seja
um administrador de domíno.
De fato, você tem a opção de implementar abordagens
de whitelist ou blacklist: o primeiro bloqueia acesso
exceto onde é exeplicitamente permitido, e o segundo
permite acesso exceto onde explicitamente bloqueado.
A abordagem de whitelist possui o benefício de eliminar
credenciais de login de administradores in-memory nos
Sobre a Centrify
A Centrify fornece software integrado e soluções baseadas
em nuvem que controlam, garantem e auditam de forma
centralizada acesso a sistemas multi-plataforma,
dispositivos móveis e aplicações aproveitando a infraestrutura que empresas já possuem – Microsoft Active
Directory.
www.centrify.com Copyright © 2014 Centrify Corporation.
servidores Windows, que por sua vez elimina o risco de
Centrify, DirectControl e DirectAudit são marcas
ataques tipo advanced persistent threat (APT) como pass
registradas e Centrify Suite, DirectAuthorize, DirectSecure
the hash que pode ser usado para obter controle sobre a
e DirectManage são marcas registradas de Centrify
rede e seus recursos.
Corporation nos Estados Unidos e em outros países.
Microsoft, Active Directory, Windows, Windows NT, e
Windows Server são marcas registradas da Microsoft
Corporation nos Estados Unidos e/ou em outros países.
© 2014 CENTRIFY CORPORATION. ALL RIGHTS RESERVED.
PÁGINA 2