Keeper устраняет права постоянного доступа и обеспечивает JIT-доступ на всех конечных точках Windows, Linux и macOS.
Администраторы просто развертывают легкий агент, который удаляет их постоянные права, а также позволяет временно повышать привилегии на основе политики только в случае необходимости. Система применяет настраиваемые политики безопасности посредством JIT-доступа с дополнительными рабочими процессами одобрения и реализацией многофакторной аутентификации.
Все привилегированные действия выполняются через краткосрочные учетные записи, которые автоматически отзывают повышенный доступ после выполнения задач. Решение работает в средах Windows, macOS и Linux, обеспечивая контроль с помощью централизованной панели управления, которая регистрирует все действия с повышенными привилегиями для аудита и соблюдения нормативных требований.
Агент Keeper устанавливается на каждой управляемой конечной точке. Этот агент перехватывает и оценивает запросы на повышение привилегий на основе определенных организационных политик.
Администраторы определяют политики повышения доступа с помощью консоли администратора Keeper. Эти политики определяют, какие действия могут выполнять пользователи, какие приложения можно запускать с повышенными привилегиями и требуется ли одобрение или многофакторная аутентификация.
Пользователям не предоставляются постоянные права локального администратора. Вместо этого Keeper Endpoint Privilege Manager временно повышает привилегии для конкретных действий с помощью краткосрочных учетных записей, управляемых Keeper.
Консоль администратора Keeper обеспечивает контроль всех действий, запросов и приложений политик в реальном времени и в разных средах. Администраторы могут просматривать, утверждать или отклонять запросы, а также видеть журналы аудита для соблюдения требований.
Пользователи следуют простой схеме повышения привилегий для приложений или процессов, которым требуются повышенные разрешения, через агент Keeper.
Если приложению или процессу требуется повышенный доступ, агент Keeper проверяет соответствующую политику.
Если одобрение требуется, запрос направляется администратору через консоль администратора или интерфейс командной строки.
Если одобрение не требуется, процесс повышения привилегий продолжится автоматически. Применять многофакторную аутентификацию необязательно, и ее можно использовать в качестве дополнительного шага.
Во всех операционных системах обеспечивается последовательное управление, причем для Windows, macOS и Linux разработаны специальные реализации.
Информация об устройствах конечных пользователей, приложениях и запросах доступа полностью зашифрована на устройстве пользователя и может быть расшифрована только авторизованными администраторами в консоли администратора Keeper. Keeper никогда не имеет доступа к данным клиентов, действиям конечных пользователей или сведениям о приложениях, что гарантирует, что наши клиенты всегда сохраняют полную конфиденциальность и контроль.
Временные привилегированные учетные записи, сгенерированные системой, создаются и контролируются для выполнения определенных задач с повышенными привилегиями, а затем автоматически удаляются, чтобы обеспечить нулевые постоянные привилегии и свести к минимуму риски для системы безопасности.
Ограничение пользователей и систем только минимальными правами доступа, необходимыми для выполнения разрешенных задач.
Использование отраслевых протоколов и спецификаций, чтобы гарантировать совместную работу систем на различных платформах и с разными технологиями.
Предоставление пользователям временных повышенных привилегий, необходимых только для выполнения конкретных разрешенных задач, с автоматическим отзывом этих прав после выполнения задач или по истечении заранее определенного периода времени.
Предоставление администраторам возможности создавать настраиваемые правила с учетом контекста для повышения привилегий, которые адаптируются к различным ролям пользователей, приложениям и требованиям безопасности в организации.
Выборочное предоставление повышенных привилегий конкретным приложениям, а не пользователям, что позволяет необходимым программам выполнять административные функции при сохранении общей безопасности системы.
Устранение постоянных прав администратора и предоставление повышенного JIT-доступа только для одобренных приложений, чтобы уменьшить поверхность атаки и улучшить безопасность.
Обеспечение комплексного аудита использования привилегий и соблюдения нормативных требований благодаря документированному административному контролю доступа.
Снижение нагрузки на службу поддержки за счет автоматизации утверждения рутинных административных задач.
Автоматическое повышение привилегий для утвержденных приложений, что позволяет пользователям выполнять необходимые задачи без задержек со стороны ИТ-специалистов.
Предоставление организациям возможности эффективно применять политики наименьших привилегий и управлять привилегированным доступом на тысячах конечных точек Windows, macOS и Linux с централизованной платформы.
Получение представления о действиях по повышению привилегий, одобрениях и применении политик конечных точек с подробной регистрацией и интеграцией в инструменты SIEM для более быстрого реагирования на инциденты.
Keeper Endpoint Privilege Manager — это решение для управления повышением и делегированием привилегий (PEDM), которое применяет политики доступа с наименьшими привилегиями на конечных точках в средах Windows, macOS и Linux. Оно устраняет постоянные права локального администратора и JIT-доступ как для пользователей, так и для процессов.
Если одобрение требуется, запрос на доступ пользователя направляется администратору Keeper и управляется через консоль администратора или интерфейс командной строки Commander. Если на основе примененной политики одобрение не требуется, агент Keeper автоматически разрешает повышение привилегий. В случаях, когда принудительно применяется многофакторная аутентификация, пользователю предлагается пройти ее, прежде чем продолжить. Подобный гибкий подход поддерживает как интерактивный, так и основанный на политиках JIT-доступ на разных устройствах.
Благодаря развертыванию на основе агентов в Windows, macOS и Linux Endpoint Privilege Manager устраняет постоянные права локального администратора и внедряет средства управления на уровне процессов посредством JIT-доступа. Пользователи работают без постоянных привилегий администратора, и привилегированные команды выполняются через краткосрочные учетные записи и роли, управляемые Keeper, что обеспечивает среду с нулевыми постоянными привилегиями (ZSP).
Платформа Keeper поддерживает архитектуру на основе стандартов, используя такие протоколы, как SPIFFE и MQTT, для безопасной и масштабируемой интеграции. Политики применяются гибко и адаптируются к допустимому уровню риска организации, а средства тщательного управления доступны как на уровне устройств, так и на уровне процессов.
Централизованная панель управления обеспечивает четкое представление обо всех недавних событиях, в том числе в режиме мониторинга, и служит точкой входа для ключевых рабочих процессов:
Keeper Endpoint Privilege Manager расширяет подход KeeperPAM с нулевым доверием, контролируя повышение привилегий непосредственно на конечных точках и дополняя возможности безопасного соединения более обширного решения PAM. В то время как остальная часть платформы KeeperPAM обеспечивает безопасность подключения пользователей к системам, Endpoint Privilege Manager определяет, какие права администратора они могут использовать после подключения.
Администраторы, запускающие агент Keeper, видят интерфейс рабочего стола, где отображаются все примененные политики привилегий и отслеживаются запросы на повышение привилегий. Когда пользователи пытаются выполнить действие, требующее повышенного доступа, появляется запрос на основе политик организации.
Endpoint Privilege Manager может легко работать вместе с LAPS в организациях, которые уже приобрели средства для развертывания LAPS. В этой дополнительной схеме LAPS может продолжать управлять ротацией паролей локальных администраторов на компьютерах, подключенных к домену, а KeeperPAM — контролировать учетные данные для учетных записей домена, учетных записей службы и других привилегированных учетных данных, которые не входят в сферу действия LAPS. Подобная интеграция сохраняет существующие инвестиции в LAPS, а также расширяет защиту привилегированного доступа для большего количества систем и типов учетных записей.
Endpoint Privilege Manager улучшает эту экосистему безопасности, реализуя принцип наименьших привилегий на конечных точках. В то время как LAPS фокусируется на защите учетных данных постоянных учетных записей администраторов, Endpoint Privilege Manager снижает необходимость использовать эти учетные записи, позволяя временно повышать привилегии для выполнения определенных задач. Вместе эти решения обеспечивают комплексный охват: LAPS защищает пароли локальных администраторов, KeeperPAM контролирует доступ к этим учетным данным и другим привилегированным учетным записям, а Endpoint Privilege Manager гарантирует, что пользователи получат повышенные привилегии только в случае необходимости и после авторизации.
С технической документацией по Keeper Endpoint Privilege Manager можно ознакомиться здесь.
Чтобы использовать онлайн-чат, необходимо разрешить использование cookie-файлов.