RESUMO DA SOLUÇÃO
CA ControlMinder
como é possível
controlar o acesso
de usuários com
privilégios em
toda a empresa?
agility
made possible™
O CA ControlMinder é uma solução abrangente de
gerenciamento de identidades com privilégios que permite
que você gerencie senhas de usuários com privilégios, gere
relatórios sobre as atividades dos usuários e estabeleça uma
refinada separação das tarefas em toda a empresa.
2
CA ControlMinder
resumo executivo
Desafio
Você não é o único preocupado com os crescentes desafios para proteger os aplicativos e os dados confidenciais
que residem em seus servidores. O valor cada vez maior dos dados, as regulamentações cada vez mais rigorosas
e a quantidade de usuários com privilégios que precisam de acesso a servidores críticos, dispositivos e aplicativos
torna ainda mais difícil proteger as informações confidenciais e a propriedade intelectual. O desafio de gerenciar
usuários com privilégios inclui o gerenciamento do acesso seguro a dados e senhas críticas associadas a cada
usuário com privilégios.
Isso está forçando você a trabalhar muito mais para controlar os usuários com privilégios em ambientes
grandes, complexos e diversificados. Ao mesmo tempo, sua organização de TI deve permanecer responsiva aos
requisitos de negócios que, de vez em quando, exigem que você abra exceções locais ao manter a segurança e a
responsabilidade. Hoje, as organizações também estão enfrentando requisitos de auditoria e regulamentações
cada vez mais desafiadores e rigorosos, e que você deve resolver.
Talvez, você esteja contando com os recursos de segurança nativos de seus sistemas operacionais, mas isso
apresenta preocupações de segurança relacionadas à separação de tarefas, bem como à capacidade de
gerenciamento e a violações de conformidade.
Além de implementar diretivas de segurança, você deve manter e gerenciar identidades no UNIX®, o que é
outro desafio. O UNIX normalmente é gerenciado em silos, o que aumenta os custos de administração e as
despesas gerais.
Oportunidade
Você precisa de um único sistema de segurança central e independente para proteger servidores, dispositivos e
recursos de aplicativos em toda a empresa, fornecendo uma maneira flexível e responsável de conter as contas de
superusuário por meio da delegação de privilégios necessários a administradores autorizados. Esse sistema de
segurança também deve ser capaz de fornecer controles robustos para gerenciar usuários com privilégios,
centralizar a autenticação e fornecer uma infraestrutura robusta de auditoria e relatórios.
O CA ControlMinder™ opera no nível do sistema a fim de permitir uma aplicação eficiente e consistente entre os
sistemas — incluindo o Windows, o UNIX, o Linux e ambientes virtualizados. Ao distribuir diretivas de segurança
de servidor para dispositivos de ponto de extremidade, servidores e aplicativos por meio de um recurso de
gerenciamento de diretivas avançado, você pode controlar os usuários com privilégios. Além disso, é possível
oferecer suporte de maneira segura à auditoria de cada alteração de diretiva e ação de aplicação a fim de atender
às regulamentações globais. O CA ControlMinder fornece uma abordagem holística para o gerenciamento de
acesso, pois ele inclui importantes recursos para proteger e bloquear aplicativos e dados críticos, gerenciar
identidades com privilégios, centralizar a autenticação UNIX com o Microsoft® Active Directory (AD) e fornecer
uma infraestrutura segura de auditoria e geração de relatórios.
3
CA ControlMinder
Benefícios
O CA ControlMinder permite criar, implantar e gerenciar diretivas de controle de acesso complexas e refinadas
a fim de permitir que apenas usuários com privilégios autorizados acessem seus aplicativos e dados mais
confidenciais. Com o suporte a várias plataformas (incluindo a virtual) e a integração com o restante da família
de produtos de Gerenciamento de identidades e acesso da CA, o CA ControlMinder:
• Regulamenta e faz a auditoria do acesso a seus servidores, dispositivos e aplicativos críticos entre plataformas
de maneira consistente.
• Gerencia senhas de usuários com privilégios.
• Permite que você demonstre de maneira pró-ativa um controle refinado sobre os usuários com privilégios.
• Aplica seus requisitos de conformidade internos e regulatórios criando e gerando relatórios sobre as diretivas
de acesso a servidores.
• Ajuda a reduzir os custos administrativos por meio do gerenciamento centralizado da segurança em sua
empresa distribuída globalmente.
• Permite autenticar usuários com privilégios do UNIX e do Linux a partir de um único armazenamento de usuários
do Active Directory.
• Protege o sistema operacional, o que reduz os riscos de segurança externos e facilita a confiabilidade do
ambiente operacional.
• Integra OOTB com uma infraestrutura de auditoria que gera relatórios específicos de regulamentação profunda.
Seção 1: Desafio
Servidores: uma fonte de complexidade nos
datacenters atuais
O gerenciamento de diretivas de segurança em grandes ambientes continua sendo um desafio, especialmente
devido à importância de ser responsivo aos requisitos de negócios, os quais incluem o fornecimento de
flexibilidade para definir exceções locais. Os datacenters atuais exigem uma ampla visibilidade sobre um conjunto
de recursos de servidores, dispositivos e aplicativos em constante expansão e, ao mesmo tempo, o fornecimento
de responsabilização por alterações e a proteção dos dados confidenciais que residem neles.
Falhas no gerenciamento de usuários com privilégios são diretamente responsáveis por violações de dados de alto
perfil. Manter a integridade dos dados é uma das tarefas mais importantes do profissional de TI. É um erro crítico
a adoção de todas essas novas tecnologias de escalabilidade e flexibilidade de datacenter sem avaliar os
requisitos de segurança e proteção de dados relacionados a essas novas tecnologias.
Os reguladores estão observando
De acordo com a Privacy Rights Clearinghouse, desce 2005, mais de 340 milhões de registros contendo
informações pessoais confidenciais foram envolvidos em violações de segurança nos EUA — resultando em custos
4
CA ControlMinder
significativos de multas de conformidade, monitoramento de crédito das vítimas, nova emissão de cartões
bancários e de crédito e reparo da reputação da marca afetada.1 Essas constantes violações resultaram em
exigências de melhores práticas para a proteção de dados e a segurança de informações por parte de organizações
governamentais de todo o mundo. Regulamentações como HIPAA, GLBA, Sarbanes-Oxley, EU Data Privacy
Directive, ISO27001, PIPEDA e Basel II estão concentradas na resolução desses problemas.
O padrão PCI DSS (Payment Card Industry Data Security Standard) levou várias dessas estruturas regulatórias
para o próximo nível. Ao especificar uma série de 12 requisitos que devem estar em vigor para proteger os dados
do titular do cartão, o PCI DSS forçou outro nível de responsabilidade na organização de TI.
Além disso, a Sarbanes-Oxley possui requisitos rígidos relativos à separação de tarefas, o que garante que a
responsabilidade de processos de negócios complexos seja distribuída entre muitos recursos a fim de fornecer
verificações e balanços dessas funções.
Dessa maneira, uma sofisticada proteção de recursos deve ser implementada para atender a esses requisitos.
Você também deve fornecer registros e relatórios de auditoria granulares para comprovar os controles, os status
de diretivas e os logs de acesso seguro a servidores em todas as auditorias. Essas regulamentações especificam
controles refinados e consistência entre plataformas para garantir a separação de tarefas, especialmente em
ambientes de sistemas operacionais mistos. Além disso, no caso de um comprometimento, a capacidade de
pesquisar o incidente de maneira forense também é obrigatória. Isso leva à coleta e consolidação de dados
de auditoria em um repositório de logs central.
Por fim, à medida que os requisitos regulatórios se tornam mais rigorosos, os relatórios de conformidade se
tornam um importante aspecto de qualquer solução de segurança de servidor. Os relatórios devem ser precisos,
atender ao requisito específico em questão e apresentar o resultado em uma maneira fácil de compreender.
Os dados confidenciais estão em seus servidores
O tipo de inimigo que enfrentamos está evoluindo, pois não é mais válido supor que os invasores estejam “lá fora”
como hackers desconhecidos e anônimos. Atualmente, há uma grande possibilidade de o invasor ser um
funcionário insatisfeito, um terrorista ou um parceiro de negócios com valores éticos e de lealdade questionáveis.
Por isso, você deve proteger seus recursos de servidor contra invasores externos (que ainda estão lá fora) e contra
o pessoal interno — especialmente os usuários com privilégios, que têm acesso a todos os dados confidenciais
que residem em todos os servidores, dispositivos e aplicativos aos quais eles têm acesso.
A complexidade de proteger servidores e aplicar a responsabilidade entre esses usuários com privilégios é
significativa. Uma técnica comum utilizada por administradores de servidores é compartilhar contas de usuários
com privilégios e usar logons genéricos, como “administrador” ou “raiz”. Isso é problemático por diversas razões:
Questões de auditoria. O compartilhamento de contas de usuário impede que os logs de auditoria realmente
identifiquem o administrador que fez alterações nos servidores, prejudicando a responsabilização, que é essencial
no atendimento aos requisitos regulatórios.
Acesso a dados. Essas contas compartilhadas geralmente resultam no fornecimento de acesso a sistemas
e dados críticos para usuários com privilégios, principalmente porque é muito difícil gerenciar uma diretiva em
milhares de servidores com regras de acesso granulares.
1 Fonte: Privacy Rights Clearinghouse - janeiro de 2010.
5
CA ControlMinder
A combinação de acesso de usuários com privilégios com a falta de cuidado do administrador pode, com
frequência, causar impacto na continuidade dos negócios. Dessa maneira, a falta de responsabilização torna
quase impossível fazer o rastreamento até o administrador específico que cometeu os erros, o que resulta em
problemas de segurança e responsabilização.
Complexidade do gerenciamento de senhas de usuários com privilégios
Além de manter a responsabilidade do acesso de usuários com privilégios, essas senhas compartilhadas devem
ser armazenadas, alteradas e distribuídas de maneira oportuna e segura a fim de atender à diretiva de segurança
da empresa. Muitos aplicativos também usam senhas codificadas em scripts de shell e arquivos em lotes, o que,
na verdade, torna o problema ainda pior. Essas senhas são estáticas e estão disponíveis para qualquer pessoa que
tenha acesso ao arquivo de script, incluindo invasores mal-intencionados.
Maior carga administrativa no gerenciamento de identidades do UNIX
De acordo com um
relatório da Verizon
de 2010, 48% das
violações de dados
foram causadas
por usuários
internos, um
aumento de 26%
em relação ao ano
anterior.
Hoje, o acesso ao UNIX é gerenciado em silos com vários armazenamentos de contas distribuídos, nos quais os
usuários têm diversas contas em diferentes sistemas. Isso aumenta os custos e a sobrecarga de administração,
além da complexidade geral do ambiente, pois um grande número de aplicativos críticos dependem do UNIX para
estarem ativos e disponíveis.
Desafios da virtualização
Nesse mundo diversificado, tudo está relacionado à aplicação de uma diretiva consistente e à habilitação de
registros em log consolidados entre servidores. Uma explosão literal no número de servidores e dispositivos
gerenciados compõe essas questões. A proliferação de máquinas virtuais significa que existe muito mais
servidores para gerenciar e, como os hypervisors não se preocupam com qual sistema operacional é um
convidado, isso agrava o problema de heterogeneidade. Além disso, manter a segurança desse datacenter
expandido e virtualizado é amplamente negligenciado.
A virtualização também cria uma nova classe de usuários com privilégios de hypervisors que podem criar,
copiar, mover ou, de outra maneira, gerenciar esses sistemas operacionais convidados, aumentando ainda mais
a necessidade de uma separação de tarefas adequada para impedir que os dados e os aplicativos em execução
nos convidados sejam comprometidos, além de recursos de auditoria.
Seção 2: Oportunidade
Gerenciar e controlar o acesso de usuários com
privilégios em toda a empresa
Do ponto de vista de gerenciamento, o antigo modelo de um administrador de sistema responsável por um
determinado número de servidores executando um aplicativo específico não é mais suficiente. Agora, os
administradores estão cada vez mais especializados em lidar com a complexidade inerente de aplicativos
mais distribuídos e complicados.
A separação de hardware de servidor, sistemas operacionais e aplicativos usando a tecnologia de virtualização
complica essa especialização. Agora, um servidor de emails e um banco de dados podem ser executados em um
mesmo servidor físico, o que aumenta significativamente a complexidade do ambiente.
6
CA ControlMinder
Por isso, esses administradores precisam efetuar logon de maneira segura com senhas com privilégios, além de
ter diferentes níveis de acesso a aplicativos, sistemas operacionais e hypervisors, bem como a dispositivos
como roteadores.
Fornecer a todos esses administradores recursos sem restrições é um sério risco à segurança. As contas com
privilégios (administrador no Windows e raiz no UNIX) podem executar qualquer programa, modificar qualquer
arquivo e/ou interromper qualquer processo. A incapacidade de restringir esses usuários com privilégios, de forma
que eles possam apenas executar tarefas de acordo com as responsabilidades de suas funções, e de vincular
ações administrativas específicas a uma determinada pessoa resulta claramente em uma brecha de segurança e
responsabilização, além de violar os principais requisitos das regulamentações de segurança atuais. Os usuários
com privilégios podem cometer erros, de maneira acidental ou mal-intencionada. O gerenciamento de usuários
com privilégios efetivo permite:
• Proteger, gerenciar e distribuir credenciais de usuário com privilégios de maneira automatizada.
• Restringir esses usuários delegando os privilégios necessários à equipe apropriada apenas quando eles forem
necessários.
• Manter a responsabilização desses usuários e conseguir gerar relatórios sobre suas ações.
Os administradores pode realizar suas tarefas sem expor dados confidenciais ou recursos essenciais para os
negócios. Além disso, esse tipo de abordagem fornece uma trilha de auditoria e a aplicação de responsabilidade
sobre os administradores e suas ações. E, também, ao enfrentar o aumento da pressão por redução de custos,
as organizações de TI estão superando as barreiras internas de unificação de ambientes UNIX e Windows na área
da autenticação de usuários.
CA ControlMinder
O CA ControlMinder satisfaz as diretivas internas e as regulamentações de conformidade externas controlando e
gerenciando centralmente o acesso de usuários com privilégios a um conjunto variado de servidores, dispositivos
e aplicativos. Ao permitir a criação, a implantação e o gerenciamento entre plataformas de diretivas de controle
de acesso complexas e refinadas, tudo a partir de um único console de gerenciamento, o CA ControlMinder supera
os controles básicos disponíveis para os sistemas operacionais nativos e atende às necessidades das mais
rigorosas diretivas e regulamentações.
A solução completa é chamada de CA ControlMinder e inclui os seguintes componentes:
• O CA ControlMinder Shared Account Management, que fornece armazenamento e acesso seguros a senhas de
usuários com privilégios.
• A proteção de pontos de extremidade e servidores, que inclui os principais elementos do CA ControlMinder que
são usados para proteger o sistema operacional e aplicar o controle de acesso granular com base em funções.
• O UNIX Authentication Bridge (UNAB), que permite que os usuários do UNIX e do Linux façam a autenticação
usando suas credenciais do Active Directory.
• Integração com o CA User Activity Reporting, que permite coletar centralmente e consolidar todos os logs de
auditoria do CA ControlMinder em um repositório central que pode ser usado para a geração de relatórios
avançada, a correlação de eventos e a criação de alertas.
7
CA ControlMinder
CA ControlMinder Shared Account Management
Figura A.
> Proteger senhas compartilhadas
> Assegurar a responsabilidade no
acesso de contas compartilhadas
CA ControlMinder
Shared Account
Management.
> Gerenciar diretivas de senha
de contas compartilhadas
> Remover senhas com texto
não criptografado dos scripts
CA ControlMinder
Redefinir senha
Validar senha
Registro de saída da senha
Registro de entrada da senha
Administrador
de TI
Relatório das atividades
do usuário
Logon
Correlacionar atividade com
privilégios ao usuário
Banco de
dados
Servidor
Web
Roteador
Armazenamento
Comutador
Aplicativo
APP
Desktop
Virtualização
Windows
Linux
Unix

O Shared Account Management fornece acesso seguro a contas com privilégios e ajuda a fornecer a
responsabilidade pelo acesso com privilégio por meio da emissão de senhas em uma base temporária de uso
único ou, conforme necessário, fornecendo ao usuário a responsabilidade por suas ações por meio de auditoria
segura. Isso também é conhecido como registro de saída administrativo.
O CA ControlMinder também foi desenvolvido para permitir que os aplicativos acessem, programaticamente,
senhas do sistema e, ao fazer isso, removam senhas codificadas de scripts, arquivos em lotes, wrappers de ODBC
e JDBC. Isso também é conhecido como registro de saída de aplicativo.
O suporte ao Shared Account Management está disponível para uma grande quantidade de servidores, aplicativos
(inclusive bancos de dados) e dispositivos de rede em um ambiente físico ou virtual.
O CA ControlMinder Shared Account Management fornece
• Armazenamento seguro de senhas compartilhadas. O Shared Account Management armazena senhas de
aplicativos e sistemas críticos em um armazenamento de dados seguro e protegido. Os usuários que precisarem
acessar essas senhas confidenciais poderão “registrar a saída” e “registrar a entrada” delas usando uma
interface de usuário da Web intuitiva e fácil de usar. O Shared Account Management aplica “diretivas de acesso
com privilégios” que determinam quais usuários podem utilizar quais contas compartilhadas.
• Diretiva de senha de conta compartilhada. Cada senha gerenciada pelo Shared Account Management pode
ter uma diretiva de senha associada que define sua exclusividade. Isso garante que as senhas geradas pelo
Shared Account Management sejam aceitas pelo sistema de ponto de extremidade, aplicativo ou banco de
dados. As diretivas de senhas também determinam um intervalo no qual o aplicativo cria automaticamente
uma nova senha para a conta.
• Detecção automática de contas. O Shared Account Management detecta automaticamente todas as contas
em um ponto de extremidade gerenciado conectado ao servidor de gerenciamento empresarial do Shared
Account Management. Dessa maneira, o administrador do Shared Account Management pode decidir quais
contas devem ser usadas. Em seguida, essas contas são atribuídas a uma “função de acesso com privilégios”,
que pode ser concedida a usuários finais como parte da diretiva do Shared Account Management.
8
CA ControlMinder
• Arquitetura sem agente. O CA ControlMinder Shared Account Management fornece uma arquitetura com base
em servidores para oferecer riscos e esforços de implantação mínimos. Nenhum agente é necessário nos pontos
de extremidade gerenciados do CA ControlMinder Shared Account Management. Todas as conexões são tratadas
a partir do servidor do CA ControlMinder Enterprise Management por meio de recursos nativos. Por exemplo,
os bancos de dados usam JDBC, o UNIX e o Linux usam SSH e o Windows usa WMI.
• Integração com sistemas de emissão de tickets e suporte técnico. A integração com o CA Service Desk
Manager permite a adição de um ticket de suporte técnico nas tarefas de solicitação e acesso imediato, a
validação do ticket de suporte técnico e um aprovador para visualizar o ticket para obter mais informações.
• Auditoria e geração de relatórios de acessos com privilégios. Todos os acessos com privilégios são auditados
e registrados em log no CA ControlMinder Shared Account Management. O CA User Activity Reporting fornece
recursos aprimorados de log e correlação, incluindo a capacidade de correlacionar os logs nativos gerados a
partir de sistemas, aplicativos ou bancos de dados com os logs do Shared Account Management. Além disso,
se o CA ControlMinder for instalado em pontos de extremidade de servidor (UNIX, Linux e Windows), a atividade
de todos os usuários com privilégios também será rastreada e auditada. Esses logs também podem ser
centralizados no CA User Activity Reporting e correlacionados para os eventos de registro de saída gerados
pelo CA ControlMinder Shared Account Management.
• Restauração e reversão de senhas. No caso de uma falha de ponto de extremidade do CA ControlMinder
Shared Account Management, o ponto de extremidade será restaurado a partir de um backup que talvez não
seja o atual. Nesse caso, as senhas salvas do Shared Account Management não corresponderão às senhas
restauradas do ponto de extremidade. O servidor do CA ControlMinder Enterprise Management exibirá uma lista
de senhas anteriores utilizadas e apresentará uma opção para restaurar o ponto de extremidade de volta para a
configuração atual do Shared Account Management.
Registro de saída administrativo do Shared Account Management
• Responsabilização no acesso de contas compartilhadas. O CA ControlMinder Shared Account Management
apresenta um recurso de “registro de saída exclusivo” que permite que apenas um indivíduo específico faça o
registro de saída de uma conta a qualquer momento. Além disso, o Shared Account Management pode rastrear
as ações do usuário original correlacionando eventos de acesso nos sistemas com o evento de registro de saída
gerado pelo aplicativo Shared Account Management.
• Logon automático do Shared Account Management. Esse recurso foi projetado para simplificar e proteger
o processo permitindo que um usuário solicite uma senha e a utilize com o clique de um botão por meio do
logon automático do usuário ao sistema de destino como o usuário com privilégios e, ao mesmo tempo, sem
visualizar a senha real. Isso impede o roubo de senhas “por cima dos ombros” e acelera o processo para o
solicitante da senha.
• Integração avançada do Shared Account Management com o CA ControlMinder. A integração avançada
entre o Shared Account Management e o CA ControlMinder permite que você integre seus pontos de
extremidade do CA ControlMinder com o Shared Account Management a fim de rastrear as atividades de
usuários que fazem o registro de saída de contas com privilégios. Esse recurso tem suporte apenas quando
é utilizado em conjunto com o recurso de logon automático do Shared Account Management (descrito acima)
e permite que você especifique se um usuário deve fazer o registro de saída de uma conta com privilégios
por meio do servidor do Enterprise Management antes de efetuar logon em um ponto de extremidade do
CA ControlMinder.
9
CA ControlMinder
• Registro e reprodução de sessões com privilégios. O registro e a reprodução de sessões com privilégios agora
são fornecidos como parte do CA ControlMinder Shared Account Management por meio da integração com
software de terceiros. Esse recurso facilita as auditorias por meio da funcionalidade do tipo DVR para o registro
e a reprodução de sessões de usuários com privilégios.
• Recursos completos de fluxo de trabalho. O CA ControlMinder Shared Account Management fornece recursos
de fluxo de trabalho de controle duplo completos para acessos regulares e de emergência a contas com
privilégios. O fluxo de trabalho pode ser opcionalmente ativado para determinados usuários e/ou determinadas
contas com privilégios.
• Acesso imediato e de emergência. Os usuários executam um “registro de saída para acesso imediato” quando
necessitam de acesso imediato a uma conta à qual eles não têm autorização para gerenciar. As contas para
acesso imediato são contas com privilégios que não são atribuídas ao usuário de acordo com sua função
tradicional. Entretanto, o usuário pode obter a senha da conta sem intervenções nem atrasos no caso de
necessidade. No processo de registro de saída para acesso imediato, uma mensagem de notificação é enviada
ao administrador. Entretanto, o administrador não pode aprovar nem interromper o processo.
Registro de saída de aplicativo do Shared Account Management
• De aplicativo para aplicativo do Shared Account Management. O CA ControlMinder Shared Account
Management automatiza o gerenciamento de senhas de conta de serviço que, de outra maneira, seria manual
(Serviços do Windows), gerencia as senhas utilizadas por tarefas programadas do Windows que exigem logon no
sistema (Tarefas Agendadas do Windows) e se integra ao mecanismo Executar como do Windows para recuperar
a senha do usuário relevante com privilégios a partir do Shared Account Management.
• De aplicativo para banco de dados do Shared Account Management. O CA ControlMinder Shared Account
Management também pode redefinir automaticamente senhas de ID de aplicativos. Ele pode gerenciar contas
de serviço utilizadas por servidores de aplicativos IIS ou J2EE e pelos aplicativos hospedados por eles,
interceptando as conexões ODBC e JDBC e as substituindo por credenciais atuais de contas com privilégios.
Na maioria dos casos, o CA ControlMinder Shared Account Management fornece essa funcionalidade sem exigir
nenhuma alteração nos aplicativos. Essa funcionalidade exige que o agente do Shared Account Management
seja instalado no ponto de extremidade no qual o aplicativo está em execução ou no servidor J2EE no caso de
um aplicativo Web.
• Registro de saída programático de scripts de shell e arquivos em lote. Você pode usar o agente do Shared
Account Management dentro de um script para substituir senhas codificadas das quais possa ser feito o registro
de saída a partir do CA ControlMinder Shared Account Management Enterprise Management. Isso permite que
você não tenha de incluir senhas codificadas em scripts.
Para obter detalhes mais técnicos e profundos sobre o Shared Account Management, consulte o Resumo técnico
do CA ControlMinder Shared Account Management.
10
CA ControlMinder
Proteção de ponto de extremidade e de servidor
com o CA ControlMinder
Figura B.
O CA ControlMinder
fornece aplicação de
diretivas de segurança
com base em função.

Os principais
elementos do CA ControlMinder são os agentes seguros e protegidos que se integram de forma
nativa ao sistema operacional a fim de aplicar e auditar as diretivas granulares necessárias para atender aos
requisitos de conformidade. Os agentes de ponto de extremidade estão disponíveis para todos os principais
sistemas operacionais, incluindo todas as versões líderes do Linux, UNIX e Windows. A lista mais recente de
sistemas com suporte pode ser encontrada no site de suporte da CA.
O CA ControlMinder oferece formatos de pacote nativo para instalar e gerenciar o CA ControlMinder de maneira
nativa em sistemas operacionais com suporte. Isso facilita a implantação rápida de vários servidores gerenciados
para um ambiente empresarial global.
Além disso, o CA ControlMinder fornece uma interface com base na Web consistente e amigável para o usuário
para o gerenciamento de diretivas de ponto de extremidade, aplicativos e dispositivos. O CA ControlMinder
oferece suporte de forma nativa à maioria das plataformas de virtualização, incluindo VMware ESX, Solaris 10
Zones e LDOMs, Microsoft Hyper-V, IBM VIO e AIX LPAR, HP-UX VPAR, Linux Xen e Mainframe x/VM, protegendo
as camadas de hypervisor e os sistemas operacionais convidados executados nelas.
Em ambientes empresariais, a utilização de um diretório para o gerenciamento de usuários e a implantação
de aplicativos ativados para diretórios se tornou uma prática comum. O CA ControlMinder oferece suporte a
armazenamentos de usuários, ou seja, armazenamentos para usuários e grupos que são nativos para o sistema
operacional. Essa integração nativa permite que você defina regras de acesso para seus usuários e grupos
corporativos sem ter de sincronizar ou importá-los para o banco de dados do CA ControlMinder.
11
CA ControlMinder
Proteção de servidores entre plataformas
Muitas organizações implantam diversas infraestruturas de servidor, incluindo sistemas Windows, Linux e UNIX.
O CA ControlMinder possibilita o gerenciamento e a aplicação consistente e integrada de diretivas de segurança
de acesso em todos esses ambientes. A arquitetura de diretivas avançada fornece uma única interface pela qual
as diretivas podem ser administradas e distribuídas a assinantes do Windows e do UNIX simultaneamente.
O gerenciamento consolidado de servidores Linux, UNIX e Windows diminui a quantidade de trabalho
administrativo necessário e melhora a eficiência do administrador do sistema, o que reduz os custos de
gerenciamento.
Controle de acesso refinado
O CA ControlMinder é uma solução de aplicação de segurança independente, o que significa que ele não depende
do sistema operacional subjacente para aplicar diretivas de controle de acesso a servidores. Ao operar no nível do
sistema, o CA ControlMinder monitora e regulamenta todo o acesso a recursos do sistema, incluindo aqueles
originados de administradores de domínio ou do sistema local. Esses recursos de aplicação de acesso refinado
funcionam para regulamentar, delegar e conter os administradores de domínio ou qualquer outra conta no
ambiente de TI e fornecem:
• Controle personificação. O CA ControlMinder controla os recursos de delegação de usuário substituto a fim de
reduzir a exposição de usuários não autorizados executando aplicativos com privilégios avançados e alcançar a
responsabilização de atividades em contas compartilhadas. Por exemplo, um administrador pode assumir o
perfil de identidade de outra pessoa para alterar os atributos da lista de controle de acesso (ACL) de um arquivo
sem nenhuma responsabilização por suas ações. O CA ControlMinder oferece proteção em vários níveis,
limitando primeiramente as pessoas que usam o mecanismo Executar como e o comando “su” do UNIX e
preservando a ID do usuário original, mesmo após ações de substituição, o que garante que registros de acesso
do usuário em logs de auditoria mostrem a conta original. Isso permite que os usuários efetuem logon usando
suas próprias IDs e alterem com segurança seus perfis para uma conta com privilégios sem perda de
responsabilização.
• Contenção de superusuários (administrador/raiz). A conta raiz é uma fonte significativa de vulnerabilidades,
pois ela permite que aplicativos ou usuários assumam um nível maior de privilégios do que o necessário.
O CA ControlMinder inspeciona todas as solicitações de entrada relevantes no nível do sistema e aplica a
autorização com base em regras e diretivas definidas. Nem mesmo a conta raiz com privilégios pode ignorar
esse nível de controle. Dessa maneira, todos os usuários com privilégios se tornam usuários gerenciados e são
responsáveis por suas atividades no sistema.
• Controle de acesso com base em função. As melhores práticas determinam que cada administrador deve ter
privilégios suficientes para executar suas funções de trabalho e nada mais. Ao fornecer um ambiente de controle
de acesso com base em função sofisticado, os administradores não conseguem compartilhar uma senha de
administrador e, potencialmente, tirar vantagem de seus privilégios associados. Por padrão, o CA ControlMinder
fornece funções administrativas e de auditoria populares que podem ser personalizadas e expandidas para
atender às necessidades de sua organização de TI.
• Aplicação refinada. Os sistemas operacionais nativos (Linux, UNIX e Windows) fornecem recursos limitados
para delegar de maneira granular e efetiva determinados direitos de administração de sistemas para contas de
usuário menos poderosas. O CA ControlMinder fornece aplicação refinada e regulamenta o acesso com base em
vários critérios, incluindo atributos de rede, hora do dia, calendário ou programa de acesso. Os recursos incluem:
12
CA ControlMinder
–– Controles granulares adicionais. Os controles que oferecem privilégios específicos para arquivos, serviços e
outras funções de nível de sistema operacional (renomear, copiar, parar, iniciar) podem ser atribuídos a um
administrador específico ou a um grupo de administração.
–– Diferentes níveis de aplicação. O CA ControlMinder Warning Mode geralmente é utilizado pelas organizações
para determinar se as diretivas de segurança propostas são muito rigorosas ou muito permissivas, de forma
que elas possam ser modificadas de acordo com o necessário. Além disso, o CA ControlMinder fornece a
capacidade de validar instantaneamente os efeitos de uma diretiva de segurança sem aplicar a restrição por
meio da configuração do modo de validação.
–– ACLs aprimoradas. O CA ControlMinder fornece vários recursos de ACL aprimorados para aumentar a
capacidade do administrador de segurança de atribuir direitos de acesso corretamente a usuários
autorizados, incluindo PACLs (Program Access Control Lists - Listas de controle de acesso a programas),
que permitem apenas o acesso a recursos a partir de um programa ou binário específico.
–– Controle de acesso com base na rede. Os ambientes abertos atuais exigem um controle robusto do acesso de
usuários e de informações transferidas pela rede. O controle de acesso com base na rede adiciona outra
camada de proteção a fim de regular o acesso à rede. O CA ControlMinder pode gerenciar o acesso a portas
de rede ou a programas de acesso à rede e as diretivas de segurança de rede podem gerenciar o acesso
bidirecional por ID de terminal, nome de host, endereço de rede, segmentos ou outros atributos.
–– Controle de logon. O CA ControlMinder pode aumentar a segurança de logon limitando o logon de usuários
por origem de endereço IP, ID de terminal, tipo de programa de logon ou hora do dia. O CA ControlMinder
também pode limitar as sessões de logon simultâneas de um usuário a fim de aplicar o acesso de usuário
rigoroso a um servidor. Os usuários podem ser automaticamente suspensos após muitas tentativas de logon
com falhas, o que protege os sistemas contra ataques de força bruta. Além disso, o CA ControlMinder fornece
suspensão e revogação seguras de contas de usuários em ambientes distribuídos.
Gerenciando e controlando o acesso a ambientes virtuais
A virtualização consolida várias instâncias de servidor em uma única máquina física, o que fornece um menor
custo total de propriedade e uma maior utilização da máquina. Infelizmente, a virtualização cria uma nova classe
de usuários com privilégios de hypervisors que podem criar, copiar, mover ou, de outra maneira, gerenciar os
sistemas operacionais convidados. Isso gera uma necessidade adicional de separação de tarefas adequada e
proteção de recursos de servidor consolidada a fim de permitir que todos os dados e aplicativos em execução
nesses convidados sejam auditados e protegidos contra comprometimentos.
Utilizando o CA ControlMinder, os administradores de hypervisor podem ser controlados e uma separação de
tarefas adequada pode ser implementada.
Esse recurso fornece uma camada de proteção essencial para minimizar os riscos da virtualização. Os agentes de
ponto de extremidade oferecem suporte a uma grande lista de versões de sistema operacional executadas como
convidados, bem como a todos os principais hosts de virtualização de sistema operacional, incluindo VMware ESX,
Solaris 10 Zones e LDOMs, Microsoft Hyper-V, IBM VIO e AIX LPAR, HP-UX VPAR, Linux Xen e Mainframe x/VM.
Proteção do sistema operacional
Uma camada essencial para a estratégia de defesa em profundidade é a proteção do sistema operacional contra
a penetração ou o acesso externo não autorizado. O CA ControlMinder fornece diversas medidas de segurança
externa para incluir uma camada adicional de segurança para seus servidores.
13
CA ControlMinder
• Controles de arquivos e diretórios. Arquivos e diretórios formam o backbone de sistemas operacionais
e qualquer comprometimento pode levar a uma negação de serviço e um downtime inesperado. O CA
ControlMinder fornece opções de acesso curinga e de programa robustas que simplificam o gerenciamento de
diretivas de nível de arquivo. O CA ControlMinder pode aplicar o controle de alterações em sistemas de arquivos
e diretórios essenciais, o que aumenta a integridade e a confidencialidade dos dados. A proteção no nível do
arquivo está disponível para todos os tipos de arquivos, incluindo arquivos de texto, diretórios, arquivos de
programas, arquivos de dispositivos, links simbólicos, arquivos montados em NFS e compartilhamentos
do Windows.
• Execução de programa confiável. Para impedir que o ambiente operacional seja corrompido por malware,
principalmente cavalos de Troia, o CA ControlMinder fornece uma proteção de programa confiável de primeira
linha. Recursos confidenciais podem ser marcados como confiáveis e, dessa maneira, os arquivos e programas
serão monitorados e o CA ControlMinder bloqueará a execução caso o programa seja modificado por malware.
As alterações a recursos confiáveis podem ser limitadas a usuários ou grupos de usuários específicos a fim de
reduzir ainda mais a probabilidade de alterações inesperadas.
• Proteção do Registro do Windows. O Registro do Windows é um alvo claro para hackers e usuários malintencionados, pois o banco de dados centralizado contém parâmetros do sistema operacional, incluindo
aqueles que controlam drivers de dispositivos, detalhes de configuração e configurações de hardware, ambiente
e segurança. O CA ControlMinder fornece proteção ao Registro por meio do suporte a regras que podem impedir
que administradores alterem ou violem as configurações do Registro. O CA ControlMinder pode proteger chaves
do Registro contra exclusão, bem como seus valores correspondentes contra modificação.
• Proteção de serviços do Windows. O CA ControlMinder fornece proteção avançada para limitar os
administradores autorizados que podem iniciar, modificar ou interromper serviços críticos do Windows.
Isso protege contra a negação de serviço de aplicativos da produção, como Banco de dados, Web, Arquivo e
impressão, que são todos controlados como serviços no Windows. É essencial proteger esses serviços contra
acessos não autorizados.
• Proibição de aplicativos. O CA ControlMinder permite que ações aceitas sejam definidas para aplicativos de
alto risco. Qualquer comportamento que exceda esses limites será restringido por uma função de proibição de
aplicativos. Por exemplo, uma ACL pode ser criada com base em uma ID lógica que possui processos e serviços
da Oracle; dessa maneira, seu comportamento proibido não permite nenhuma ação além de iniciar serviços de
DBMS da Oracle.
KBL (Keyboard Logger) para UNIX/Linux
O CA ControlMinder pode restringir ações regulares e confidenciais de usuários e também rastrear sessões de
usuários seletivos, mas e se você desejar gravar tudo o que é feito em uma sessão de usuário confidencial?
O recurso KBL do CA ControlMinder lhe oferece essa opção. O KBL está entre o shell e o terminal/teclado e captura
tudo o que é digitado no teclado (entrada) e o que é exibido no terminal (saída).
Você pode ativar o KBL simplesmente alterando o modo de auditoria do administrador/usuário do qual deseja
capturar a atividade do teclado.
14
CA ControlMinder
Figura C.
Seleção do modo interativo
KBL para UNIX/Linux no
CA ControlMinder Endpoint
Management.

Recursos do KBL
• Reprodução da sessão (modo local apenas no ponto de extremidade do CA ControlMinder)
• Impressão de entrada/saída da sessão
• Impressão de comandos da sessão
• Correlação com rastreamento de usuário do CA ControlMinder
• Armazenamento central com relatórios do CA User Activity Reporting
Figura D.
Saída da sessão KBL do
CA ControlMinder.

Os relatórios de KBL agora estão disponíveis no CA User Activity Reporting com exibições detalhadas que
mostram todos os comandos digitados no prompt de comando, bem como suas respectivas saídas.
15
CA ControlMinder
Figura E.
Uma amostra de
relatório de KBL
disponibilizada por meio
do CA User Activity
Reporting.

Gerenciamento central de identidades do UNIX
a partir do Active Directory — UNAB
O recurso UNAB (UNIX Authentication Broker - Agente de autenticação do UNIX) no CA ControlMinder permite
que você gerencie usuários do UNIX a partir do Microsoft AD. Isso permite a consolidação de informações de
autenticação e conta no AD, em oposição ao gerenciamento de credenciais do UNIX de maneira local em
cada sistema.
Recursos do UNAB
Gerenciamento central de autenticação do UNIX. O UNAB simplifica o gerenciamento de usuários locais do
UNIX por meio da validação de suas credenciais de autenticação em relação ao AD. Os usuários e os grupos não
precisam ser definidos no NIS nem localmente no arquivo /etc/passwd. Os atributos do usuário, como diretivas
de diretório principal, shell, UID, GECOS e senha, são recuperados do AD.
Módulo PAM leve. O UNAB fornece um módulo PAM pequeno e leve no UNIX que é adicionado à pilha de PAM do
ponto de extremidade.
Compactação nativa. O UNAB fornece compactação nativa para uma fácil instalação e implantação.
Integração com o log de eventos do Windows nativo. Todos os logs do UNAB são roteados para os logs de
eventos do Windows nativos. Isso consolida e simplifica a auditoria e também permite a integração com
ferramentas SIM de terceiros.
Modos de operação flexíveis. O UNAB pode ser configurado para trabalhar no modo de integração parcial ou
total, o que facilita o processo de migração.
• Modo de integração parcial. Nesse modo, a senha do usuário é armazenada no AD. No momento da
autenticação, apenas a validação da senha é executada no AD. Os atributos do usuário, como UID, diretório
principal e grupo principal, são obtidos do host UNIX ou do NIS local, e não do AD. Ao adicionar um novo
usuário à organização, o administrador deve criar o usuário no AD e no arquivo /etc/passwd local ou no NIS. Não
são necessárias alterações no esquema para o AD para que o UNAB funcione no modo de integração parcial.
16
CA ControlMinder
• Modo de integração total. Aqui, as informações do usuário são armazenadas apenas no AD. Não existe
nenhuma entrada do usuário no arquivo local/etc/passwd nem no NIS. Os atributos do usuário, como UID,
diretório principal e grupo principal, são armazenados no Active Directory, e não no host UNIX ou no NIS
local. Ao adicionar um novo usuário à organização, o administrador deve criar o usuário apenas no AD e
fornecer os atributos do UNIX necessários. O modo de integração total exige o Windows 2003 R2, que
oferece suporte a atributos do UNIX.
Mapeamento dinâmico de atributos LDAP. No caso de sua organização não oferecer suporte ao Windows 2003
R2, que é necessário para o modo de integração total, o UNAB oferece um recurso que permite que você mapeie
dinamicamente atributos do UNIX para atributos do AD não padrão. Isso evita a complexidade de estender ou
alterar o esquema do AD.
Recursos de cache aprimorados e suporte offline. O UNAB armazena em cache todos os logons com êxito em
seu banco de dados SQLite local. As informações armazenadas em cache incluem o nome do usuário, os atributos
do usuário, a associação a grupos e o valor hash da senha. No caso de falha do UNAB na conexão com o AD, ele
tentará validar as credenciais do usuário em relação ao cache local. Isso é chamado de suporte a “logon offline”.
Os registros do usuário serão mantidos no cache local por uma quantidade de dias configurável. Os usuários
locais, como “raiz”, e outras contas do sistema e de aplicativos podem efetuar logon, independentemente da
conectividade do AD.
SSO do UNAB. Permite que você execute o SSO entre todos os hosts do UNAB com Kerberos no ambiente. Se
efetuar logon em um host do UNAB que esteja ativado para Kerberos, você poderá efetuar logon automaticamente
em qualquer outro host do UNAB usando suas credenciais do Kerberos, que fornecem um tipo de solução de SSO
dentro do ambiente.
Diretivas de logon centralizadas. Após o UNAB ser ativado em um ponto de extremidade do UNIX, as diretivas de
logon centrais controlam quais usuários podem efetuar logon em qual host UNIX ou grupo de hosts UNIX. Essas
diretivas de logon são gerenciadas e distribuídas por meio da interface de usuário do CA ControlMinder Enterprise
Management e são armazenadas localmente em cada ponto de extremidade no banco de dados SQLite. As diretivas
de logon podem ser aplicadas a um único host UNIX ou a um “grupo de hosts” lógico de servidores. As regras de
escopo podem ter como base usuários e grupos do AD, o que simplifica a sobrecarga de administração.
Figura F.
Agente de autenticação
do UNIX.

17
CA ControlMinder
Auditoria e geração de relatórios do acesso de
usuários com privilégios com o CA User
Activity Reporting
Conformidade significa que você possui as diretivas corretas em vigor e que essas diretivas estão implantadas,
mas, mais importante, que você pode fornecer provas de que está em conformidade com as diretivas corporativas
e os padrões regulatórios e, ao mesmo tempo, contabiliza quaisquer divergências da diretiva.
A fim de comprovar a conformidade, as soluções de proteção de recursos de servidor devem gerar relatórios para
evidenciar as diretivas de senhas, os níveis de direitos e a separação de tarefas. Uma licença do CA User Activity
Reporting está incluída no CA ControlMinder, o que permite que você visualize o status de segurança de usuários,
grupos e recursos obtendo dados de cada ponto de extremidade em toda a empresa, agregando-os em um local
central, analisando os resultados em relação à diretiva corporativa e, por fim, gerando um relatório. Essa licença
do CA User Activity Reporting está limitada à coleta e à geração de relatórios sobre eventos do CA ControlMinder;
se desejar recursos de geração de relatórios mais abrangentes, uma licença do módulo User Activity Reporting
completa deverá ser adquirida.
O serviço de geração de relatórios funciona de maneira independente para coletar as diretivas em vigor em cada
ponto de extremidade com base em agendamentos. A resiliência é criada no sistema, pois o status do ponto de
extremidade é relatado sem a necessidade de intervenção manual e independentemente de o servidor de coleta
estar ativo ou inativo. Além disso, os componentes do serviço de geração de relatórios são externos ao sistema de
aplicação do CA ControlMinder e não exigem que as funções de aplicação do ponto de extremidade sejam
interrompidas durante a reconfiguração ou a personalização de quaisquer relatórios.
O serviço de geração de relatórios é estruturado para permitir a geração de relatórios do status das diretivas
aplicadas por cada ponto de extremidade. Você pode criar relatórios personalizados para diversas finalidades ou
usar os mais de 60 relatórios existentes prontos para o uso fornecidos pelo CA ControlMinder.
Conformidade com diretivas e relatórios de direitos
Não é mais suficiente gerar relatórios com base em eventos sobre as ações que ocorreram no passado para fins de
geração de relatórios de conformidade. Em vez disso, alcançar a conformidade atualmente também exige relatórios
pró-ativos que podem realçar o status de diretivas em qualquer momento. Para ajudar, o CA ControlMinder fornece
relatórios pró-ativos sobre os privilégios de acesso de usuários, além de provas de controles de acesso existentes.
Pronto para utilização, o serviço de geração de relatórios do CA ControlMinder é fornecido com mais de 60
relatórios padrão que detalham informações sobre direitos e o status atual (e desvios) de diretivas implantadas
como parte da instalação padrão do produto. Eles fornecem valor imediato ao complementar a auditoria com
base em eventos existente para monitorar requisitos de conformidade e realçar discrepâncias existentes.
Os relatórios padrão incluem:
Relatórios de gerenciamento de diretivas - permitem que você visualize o status da implantação de diretivas
e desvios das diretivas padrão.
Relatórios de direitos - permitem que você visualize os direitos que usuários e grupos têm em relação a recursos
do sistema — ou mostram quem pode acessar recursos específicos. Uma utilização comum pode ser verificar que
possui acesso raiz aos sistemas.
Relatórios de gerenciamento de usuários - fornecem a você a capacidade de visualizar contas inativas,
associações de usuários e grupos e contas administrativas, bem como de gerenciar a separação de tarefas.
18
CA ControlMinder
Relatórios de gerenciamento de senhas - fornecem informações sobre a duração de senhas, a conformidade
com diretivas de senhas, etc.
Relatórios de acesso de usuários com privilégios - detalham informações sobre todas as atividades dos usuários
com privilégios, incluindo registro de entrada, registro de saída, aprovações de fluxo de trabalho e outras ações.
Figura G.
Relatório do CA
ControlMinder Shared
Account Management
mostrando as contas
com privilégios por
tipo de ponto de
extremidade.

Relatórios de autenticação do UNIX - fornecem todos os dados de direitos e relatórios relacionados ao
componente UNAB do CA ControlMinder.
Figura H.
Relatório detalhado
do UNAB mostrando
usuários globais do AD
com atributos do UNIX.

Assistente de detecção de usuários com privilégios (assistente concluído por usuário) - procura por usuários
com privilégios em toda a organização e gera um relatório automaticamente.
19
CA ControlMinder
Os relatórios de diretivas abertas fornecidos pelo CA ControlMinder conta com um RDBMS padrão.
A interoperabilidade com sistemas externos permite que os administradores executem relatórios de diretivas
por meio da ferramenta de geração de relatórios de sua preferência e personalizem os layouts de relatórios
a fim de atender a padrões internos ou solicitações de auditores.
Scorecard de implantação de diretivas
Figura I.
Relatório de amostra que
exibe o instantâneo de
um ponto no tempo dos
hosts que estão em
conformidade com uma
diretiva específica.

CA ControlMinder Enterprise Management
Devido à complexidade e à escalabilidade exigidas de recursos de servidor atuais, é essencial conseguir
implementar e aplicar uma diretiva centralizada de controle de acesso em toda a empresa global e estendida e,
ao mesmo tempo, se ajustar às exceções locais e às necessidades de negócios. O CA ControlMinder possui
diversos recursos sofisticados para facilitar e simplificar o gerenciamento de acesso e permitir exceções de
uma maneira responsável e visível.
Agrupamento lógico de hosts
Você pode agrupar seus pontos de extremidade em grupos lógicos de hosts e, em seguida, atribuir diretivas com
base na associação a esse grupo de hosts, independentemente da maneira como os pontos de extremidade estão
fisicamente organizados. Os hosts podem ser integrantes de vários grupos de hosts lógicos, dependendo de suas
propriedades e demandas de diretivas. Por exemplo, se você tiver hosts executando um sistema operacional Red
Hat e o Oracle, eles poderão ser integrantes de um grupo de hosts lógico da Red Hat a fim de obter as diretivas de
controle de acesso da Red Hat de linha de base e, também, integrantes do grupo de hosts lógico da Oracle a fim
de obter as diretivas de controle de acesso da Oracle.
Os grupos de hosts lógicos podem ser usados nos componentes Shared Account Management e UNAB do
CA ControlMinder. No Shared Account Management, os grupos de hosts lógicos, como servidores de bancos
de dados, podem ter uma diretiva comum que permite o acesso a contas com privilégios nesses servidores.
No UNAB, um conjunto comum de diretivas de logon pode ser aplicado a um grupo de hosts lógico que permite
que os usuários efetuem logon de maneira seletiva com base em suas credenciais do Active Directory.
20
CA ControlMinder
Grupos de hosts lógicos
Figura J.
O administrador de
segurança pode definir
grupos de host lógicos,
atribuir diretivas a eles e
ter visibilidade total em
relação à conformidade
desses hosts com as
diretivas.

Controle de versão de diretiva
O CA ControlMinder permite que você rastreie as alterações em diretivas representando cada diretiva como
uma única entidade com várias versões. Ao criar uma nova versão de uma diretiva, a última versão permanece
armazenada e inclui informações sobre as regras de implantação e cancelamento de implantação da versão da
diretiva, quem criou a versão (para fins de auditoria e responsabilização) e quando ela foi criada. Além disso,
um processo de atualização permite que você atualize a implantação da diretiva em todos os hosts atribuídos
à versão da diretiva mais recente.
Interface de usuário da Web comum do Enterprise Management
A interface com base na Web do Enterprise Management é simples, intuitiva e permite que você execute
o gerenciamento de diretivas avançado e, ao mesmo tempo, fornece uma exibição integrada de todo o seu
ambiente de servidores do CA ControlMinder. A interface com base na Web também ajuda você a gerenciar
pontos de extremidade individuais ou modelos de diretivas, além de permitir que você:
• Crie hosts
• Atribua hosts a grupos de hosts
• Crie e atualize diretivas
• Atribua e remova diretivas de hosts ou grupos de hosts
• Implante e remova diretivas de hosts ou grupos de hosts diretamente
• Atualize diretivas atribuídas à versão mais recente
• Faça a auditoria da implantação de diretivas na empresa
• Pesquise a empresa por host, grupo de hosts ou diretiva
• Gerencie pontos de extremidade discretos do CA ControlMinder por meio do gerenciamento de pontos
de extremidade
• Detecte contas de usuários com privilégios em pontos de extremidade gerenciados do Shared Account
Management
• Gerencie senhas de usuários com privilégios em pontos de extremidade do Shared Account Management
• Crie e gerencie diretivas de logon que controlam o acesso a pontos de extremidade do UNAB
21
CA ControlMinder
A interface do usuário é consistente entre todas as ofertas do Gerenciamento de identidades e acesso da
CA utilizando uma estrutura comum da CA Technologies para o escopo de aparência e administração e a
delegação de tarefas.
Console do CA ControlMinder Enterprise Management
Figura K.
A exibição global do
Enterprise Management
fornece uma visão do
ambiente a partir das
perspectivas de um
ponto de extremidade,
um grupo de host ou
uma diretiva, o que
permite que você
navegue pela hierarquia
até o nível de
gerenciamento de
pontos de extremidade,
se necessário.

Integração com diretórios LDAP empresariais
O CA ControlMinder Enterprise Management pode utilizar o LDAP do Microsoft Active Directory e do Sun-One
como armazenamentos de usuários de back-end. Etapas detalhadas sobre como configurar cada um desses
diretórios podem ser encontradas na documentação do produto CA ControlMinder.
Figura L.
Configurando o CA
Enterprise Management
Console para usar LDAP
(Sun One) como um
armazenamento do
usuário.

22
CA ControlMinder
Autenticação forte de vários fatores usando tokens de RSA SecurID
A interface de usuário da Web do CA ControlMinder Enterprise Management agora pode usar tokens do
RSA SecurID para obter uma autenticação forte.
A seguir estão os componentes necessários para essa integração:
• Access Control 12.5 SP4 Enterprise Management em execução com JBoss
• Apache Web Server compilado com o módulo proxy
• Gerente de autenticação RSA
• Agente Web de autenticação RSA
• Gerador de token RSA
Após ser verificado pelo Gerente de autenticação RSA, um usuário pode efetuar logon automaticamente no
CA ControlMinder Enterprise Management sem fornecer uma ID de usuário ou uma senha pela duração do período
de tempo limite do cookie RSA. Após o tempo limite ser alcançado, o usuário terá de se autenticar novamente
com RSA para obter acesso ao CA ControlMinder Enterprise Management.
O CA ControlMinder Enterprise Management pode oferecer suporte simultaneamente aos métodos de
autenticação RSA SecurID e ID de usuário/senha comum. Se um usuário não fizer a autenticação com RSA, ele
ainda poderá fornecer uma ID de usuário/senha para obter acesso ao CA ControlMinder Enterprise Management.
Recursos de auditoria sofisticados e seguros
A conformidade frequentemente exige ações de usuário críticas no sistema a ser controlado e comprovado por
meio de uma trilha de auditoria. A fim de atender com eficiência às auditorias de conformidade regulares, esses
dados também devem ser coletados centralmente e gerenciados de maneira segura. O CA ControlMinder fornece
logs de auditoria independente que não podem ser modificados por usuários não autorizados, incluindo
administradores de domínio ou sistema.
O CA ControlMinder gera logs de auditoria seguros e confiáveis que associam IDs de usuários verdadeiras a todas
as ações de recursos protegidas (mesmo após operações substitutas). Qualquer tentativa de ação pelo usuário
relacionada a uma diretiva de acesso pode ser registrada, incluindo se o usuário tem permissão para concluir a
solicitação com êxito. Se surgir a necessidade de uma investigação, esses dados de auditoria detalhados e
precisos podem agilizar o processo de identificação da fonte de ataque e das atividades.
Modos de auditoria abrangentes
O CA ControlMinder fornece as três configurações de auditoria a seguir:
• Êxito, que gera um evento sempre que um recurso auditado é acessado com êxito
• Falha, que rastreia e registra toda e qualquer negação de acesso
• Aviso, que gera um registro de auditoria sempre que uma diretiva de acesso é violada, embora o CA
ControlMinder não negue o acesso
23
CA ControlMinder
Você pode definir o modo de auditoria ou a combinação de modos que deve ser aplicada para cada usuário, grupo
ou recurso. Por exemplo, a auditoria do grupo de administradores de segurança e o nível de auditoria geral para
arquivos podem ser definidos como Falha, mas, especificamente para os arquivos de configuração do sistema,
os eventos de auditoria serão gerados para os modos Êxito e Falha.
Encaminhamento de logs
Encaminhar todos os eventos de acesso relevantes para um único local seguro é um requisito importante para
o gerenciamento eficiente da conformidade. O CA ControlMinder fornece a capacidade de encaminhar e centralizar
todos os logs de controle de acesso. Isso apresenta o benefício da consolidação de logs e, também, habilita a
disponibilidade e a integridade desses logs no caso de uma violação da rede ou um comprometimento do sistema.
Notificação em tempo real
O CA ControlMinder oferece suporte à notificação imediata sobre eventos de segurança que podem ser
encaminhados para pagers ou consoles externos para resolver o problema ou outros sistemas de gerenciamento
de informações de segurança.
Autoproteção
A auditoria de daemons e logs precisa de proteção contra potenciais ataques, desligamentos ou violações.
Os serviços e os logs de auditoria do CA ControlMinder são autoprotegidos e não podem ser desligados ou
modificados. Isso resulta em integridade dos logs e disponibilidade de informações para qualquer
investigação futura.
Integração com o CA User Activity Reporting
O CA ControlMinder está integrado ao CA User Activity Reporting e inclui uma licença do CA User Activity
Reporting com a finalidade de coletar apenas eventos do CA ControlMinder. Dessa maneira, os eventos no
CA ControlMinder são enviados ao CA User Activity Reporting para um maior tratamento, o que permite a
agregação de arquivos de log, a correlação com outros eventos em todo o ambiente de TI da empresa e a criação
de relatórios específicos de diretivas. Isso facilita o processo de auditoria e oferece suporte a investigações
detalhadas e à verificação de importantes métricas de auditoria e monitoramento de conformidade. Os recursos
do CA User Activity Reporting também incluem:
Coleta de dados entre plataformas - agrega dados de eventos de uma grande variedade de fontes, incluindo:
sistemas operacionais, aplicativos de negócios, dispositivos de rede, dispositivos de segurança, mainframes,
sistemas de controle de acesso e serviços Web.
Ferramentas para coleta, exibição e geração de relatórios em tempo real - fornecem exibições e relatórios
personalizáveis relativos a funções de usuário específicas.
Gerenciamento de alertas - filtra e monitora eventos críticos e executa alertas e outras ações com base em
diretivas estabelecidas.
Repositório de dados de segurança central - armazena dados de auditoria em um repositório central, construído
em torno de um banco de dados relacional escalável para um acesso fácil, além de fornecer relatórios para
análise histórica.
24
CA ControlMinder
ControlMinder for Virtual Environments
O CA ControlMinder for Virtual Environments é uma solução única que gerencia o acesso de usuários com
privilégios a máquinas virtuais e hypervisors, o que ajuda as organizações a controlar as ações de usuários com
privilégios, proteger o acesso ao ambiente virtual e cumprir com as normas do setor. Ele oferece recursos
importantes para gerenciar senhas de usuários com privilégios, proteger o hypervisor e auditar a atividade de
usuários com privilégios.
Principais benefícios
Ao combinar o controle de acesso ao host com o gerenciamento de usuários com privilégios, o CA ControlMinder
for Virtual Environment é capaz de reduzir os riscos e os custos do gerenciamento de usuários com privilégios em
um ambiente virtual. O CA ControlMinder for Virtual Environments foi projetado para ajudar sua organização a:
• Obter conformidade para o datacenter virtual
• Obter visibilidade e controle do ambiente virtual
• Automatizar as operações de segurança e reduzir seus custos
• Agilizar a adoção da tecnologia de virtualização para aplicativos críticos
• Criar um ambiente de multilocação seguro
Seção 3: Benefícios
CA ControlMinder — uma solução robusta para
o gerenciamento de usuários com privilégios
O CA ControlMinder fornece uma solução para ajudar a gerenciar e controlar o acesso de usuários com privilégios.
Conforme mencionado acima, os três principais componentes do CA ControlMinder são:
• CA ControlMinder Shared Account Management para controlar os usuários com privilégios
• Proteção de servidor de ponto de extremidade para melhorar a proteção
• Agente de autenticação do UNIX (UNAB) para a autenticação de usuários a partir de um único armazenamento
de usuário
Todos esses componentes podem ser implantados de maneira independente ou em conjunto, como parte de uma
solução geral.
A proteção de servidor de ponto de extremidade, o UNAB e o Shared Account Management do CA ControlMinder
compartilham a mesma infraestrutura de gerenciamento corporativo e geração de relatórios, armazenamento de
diretivas incorporado, estrutura de gerenciamento de identidades e acesso, modelos de delegação e escopo e
interface de usuário da Web. Isso permite uma implementação rápida e um melhor tempo para valorização.
O CA ControlMinder resolve suas preocupações sobre a disponibilidade de aplicativos, bancos de dados e
servidores gerenciando e controlando o acesso de usuários com privilégios e, ao mesmo tempo, fornecendo
flexibilidade para dar suporte a exceções locais de uma maneira auditável e responsável. O CA ControlMinder
ajuda você a:
25
CA ControlMinder
• Minimizar os riscos
• Regulamentar e auditar o acesso de usuários com privilégios
• Aplicar relatórios e a conformidade com base em servidores
• Reduzir a complexidade e os custos administrativos
• Eliminar senhas codificadas de scripts, arquivos em lotes e aplicativos ODBC e JDBC
Minimizar os riscos
O CA ControlMinder minimiza os riscos protegendo as senhas de usuários com privilégios e tornando os usuários
responsáveis por suas ações. Isso reduz o risco de utilização de programas de decodificação de senhas para obter
acesso ilegal ao servidor ou aplicativo — o que reduz os riscos e aumenta a integridade dos dados.
Regulamentar e auditar o acesso de usuários com privilégios
O CA ControlMinder protege servidores críticos (físicos e virtuais) implementando diretivas de acesso refinadas
que se alinham com a função do usuário na organização, protegendo contra a perda de dados confidenciais. Todas
as atividades administrativas são rastreadas até o usuário específico a fim de ativar uma verdadeira separação de
tarefas no nível do sistema e permitir a responsabilização por meio de uma trilha de auditoria.
Aplicar relatórios e a conformidade com base em servidores
O CA ControlMinder ajuda a proteger servidores críticos com a capacidade de criar e implantar, em toda
a empresa, diretivas de acesso específicas que correspondem aos requisitos de conformidade internos e
regulatórios da organização. Mais de 60 relatórios prontos para utilização abrangem importantes elementos de
conformidade, como a separação de tarefas e diretivas de direitos e senhas, e também permitem que as
organizações gerem relatórios de maneira pró-ativa sobre o status de importantes diretivas de conformidade.
Isso fornece visibilidade e responsabilidade das diretivas de conformidade e segurança e, ao mesmo tempo,
fornece flexibilidade para o gerenciamento de TI.
Reduzir a complexidade e os custos administrativos
As diretivas de acesso a servidores administrados centralmente, as contas de usuários, a autenticação UNIX
e o gerenciamento automatizado de senhas de usuários com privilégios amenizam a carga do gerenciamento
de segurança em empresas globais, distribuídas e de várias plataformas — que é mais complexo em um
datacenter virtual.
O CA ControlMinder fornece recursos de gerenciamento de diretivas avançado para definir diretivas uma única
vez e enviá-las por push aos seus servidores em qualquer lugar do mundo com o pressionamento de um botão.
O recurso Shared Account Management do CA ControlMinder simplifica o processo de gerenciamento e
distribuição de senhas de usuários com privilégios em tempo real. O recurso UNAB do CA ControlMinder pode
reduzir os custos de gerenciamento e fortalecer a segurança por meio da consolidação de armazenamentos de
usuários e da manutenção de uma única conta para todos os usuários do UNIX.
Eliminar senhas codificadas de scripts, arquivos em lotes e aplicativos ODBC/JDBC
O recurso Shared Account Management do CA ControlMinder elimina a necessidade de senhas de aplicativos
codificadas em scripts. O recurso de registro de saída programático do Shared Account Management recupera
senhas dinamicamente do servidor do CA ControlMinder Shared Account Management em tempo real, o que
aumenta a eficiência e a segurança geral do aplicativo e de seus dados correspondentes. Esse recurso ajuda a
liberar valiosos ciclos de administração de sistema ou aplicativo que poderiam, de outra maneira, ser necessários
para manter, alterar e distribuir essas alterações de senhas.
26
CA ControlMinder
Seção 4: Conclusões
O CA ControlMinder permite um controle robusto
de usuários com privilégios e aplica a
conformidade de segurança
O CA ControlMinder fornece um nível superior de proteção de servidores, dispositivos e aplicativos e ameniza a
carga administrativa do gerenciamento de segurança entre diversos sistemas distribuídos por toda uma empresa
global. Você não precisa mais definir e gerenciar permissões de usuários com privilégios para cada usuário e para
cada servidor. Com o gerenciamento de diretivas avançado, o agrupamento de hosts lógico e uma interface
centralizada do tipo apontar e clicar para implantar diretivas corporativas, você (e seus auditores) poderão ter
confiança de que cada usuário com privilégios possui apenas os direitos aos dados e sistemas necessários para
sua função de trabalho.
Você pode aplicar diretivas de segurança consistentes em diversos ambientes de servidor permitindo que
contas de usuários, senhas e diretivas de segurança sejam compartilhadas entre todos os servidores, dispositivos
e aplicativos gerenciados. Além disso, o CA User Activity Reporting permite que informações de auditoria
seguras, expansíveis e confiáveis sejam coletadas para documentar as interações que cada usuário possui com
sistemas específicos.
Ao fornecer um amplo conjunto de plataformas com suporte, escalabilidade corporativa, arquitetura
altamente disponível e um ambiente de gerenciamento de diretivas flexível, as organizações podem ter confiança
de que o CA ControlMinder oferecerá suporte às suas necessidades de conformidade e proteção de servidores
agora e no futuro.
Uma parte essencial da ampla solução de gerenciamento de identidades e acesso
O CA ControlMinder pode ser instalado de maneira independente e fornece proteção total sem dependências em
outros produtos da CA Technologies ou de terceiros. Entretanto, todos os produtos da solução de Gerenciamento
de identidades e acesso da CA compartilham abordagens e componentes comuns de interface de usuário da Web,
conceitos de administração, delegação de responsabilidades e geração de relatórios a fim de garantir uma
experiência administrativa consistente.
Como a proteção de acesso ao sistema operacional pode ser o único componente de uma estratégia de defesa em
profundidade, o CA ControlMinder fornece integração com produtos de segurança da CA Technologies, incluindo
o CA IdentityMinder™, o CA SiteMinder® e o CA GovernanceMinder™.
O CA IdentityMinder fornece gerenciamento de ciclo de vida de identidades para gerenciar as identidades em
toda a empresa. Os recursos do CA IdentityMinder incluem:
• Provisionamento de usuários, contas e privilégios
• Gerenciamento de solicitações de mudança e aprovações de fluxo de trabalho
• Autoatendimento de senhas e registros
27
CA ControlMinder
O CA SiteMinder fornece controle de acesso à Web seguro para aplicativos da extranet. Os recursos do
CA SiteMinder incluem:
• SSO na Web
• Gerenciamento de autenticação
• Autorização com base em diretivas
• Amplo suporte a servidores e aplicativos Web
O CA GovernanceMinder avalia, faz a auditoria e limpa os direitos de acesso em sistemas e aplicativos
que ajudam a definir e certificar modelos de funções usados na organização. Os recursos do
CA GovernanceMinder incluem:
• Criação de depósitos de identidades centralizados
• Auditoria, definição/verificação de diretivas, certificação de direitos e correção
• Relatórios e painéis de conformidade
Para saber mais sobre a arquitetura e a abordagem técnica do CA ControlMinder, visite ca.com/controlminder
A CA Technologies é uma empresa de software e soluções de gerenciamento de TI
com experiência em todos os ambientes de TI, de mainframes e sistemas distribuídos
a virtuais e na nuvem. A CA Technologies gerencia e protege os ambientes de TI e
permite que os clientes forneçam serviços de TI mais flexíveis. Os produtos e serviços
inovadores da CA Technologies fornecem a visão e o controle essenciais para as
organizações de TI aumentarem a agilidade dos negócios. A maioria das empresas
que compõe a lista Global Fortune 500 conta com a CA Technologies para gerenciar
seus ecossistemas de TI em constante evolução. Para obter informações adicionais,
visite o site da CA Technologies em ca.com.
Copyright © 2012 CA. Todos os direitos reservados. UNIX é marca registrada da AT&T. Todas as marcas registradas, nomes de marcas, marcas de
serviço e logotipos aqui mencionados pertencem às suas respectivas empresas. Este documento é apenas para fins informativos. Na medida do
permitido pela lei aplicável, a CA fornece este documento “no estado em que se encontra”, sem garantias de nenhum tipo, incluindo, sem limitações,
garantias implícitas de comerciabilidade, adequação a uma finalidade específica ou não violação. Em nenhuma circunstância a CA será responsável
por perdas ou danos, diretos ou indiretos, decorrentes do uso deste documento, incluindo, sem limitações, perda de lucros, interrupção de negócios,
reputação da empresa ou perda de dados, mesmo que a CA tenha sido expressamente informada sobre a possibilidade de tais danos com
antecedência. A CA não oferece aconselhamento jurídico. Nenhum produto de software mencionado neste documento funciona como substituto
para a conformidade com quaisquer leis, incluindo, sem limitações, qualquer ato, estatuto, regulamentação, regra, diretiva, padrão, política, ordem
administrativa, ordem executiva, e assim por diante (coletivamente, “Leis”), mencionadas neste documento ou quaisquer obrigações contratuais com
terceiros. Você deve consultar um consultor jurídico competente em relação a quaisquer Leis ou obrigações contratuais.
CS2078_0212