Kritik Ayrıcalıklı Hesapların Yönetimi
One Time Password ( OTP )
Kullanıcı, OTP’nin etkin olduğu bir hesabın şifresini kullanırsa veya görürse belli bir süre sonra o şifre otomatik olarak değişecektir. Şifre kullanımı ve otomatik şifre değişimi arasındaki süre şirket politikasına göre değiştirilebilir.
Avantajları :
– Bu özellik brute force gibi saldırı yöntemlerine karşı hesabınızın güvenliğini arttırır.
Dual Control
Kullanıcı, dual control özelliğinin aktif olduğu bir hesabı kullanmak istediğinde onaya gider. Şirket politikasına göre aşağıdaki durumlar düzenlenebilir :
– Onaya gitmeyecek kişilerin yetkilendirilmesi
– İşlemi onaylayacak kişilerin yetkilendirilmesi
– Hesap erişim isteğinin sebebi
– 1 kez kullanım hakkı veya belirli bir zaman aralığında kullanımAvantajları :
– Hesap güvenliği artar.
– Hassas hesapların kullanımı sınırlandırılır.
Dezavantajları :
– Çok fazla hesap için bu özellik kullanılırsa onaycı tarafından büyük bir iş yükü olur
– Her hesap için onaya gidecek son kullanıcının motivasyonu düşebilir.
– Acil kullanım gereken durumlar olduğunda onay hızlı bir şekilde gelmezse olumsuz sonuçlar doğurabilir.
Exclusive Access
Bu özellik bir hesabın aynı anda birden fazla kullanıcı tarafından kullanılmasını engeller. Bir kullanıcı tarafından kullanılan hesap kilitlenir. O kullanıcı kilidi açmadığı sürece başka kullanıcılar tarafından o hesap kullanılamaz.
Dezavantajları:
– Son kullanıcı hesapla işini bitirdiğinde kilidi açmayı unutabilir.
NOT: Özelliklerin dezavantajlarına bakıldığında neredeyse hepsi son kullanıcının doğurabileceği olumsuz durumlardan oluşuyor. Eğer özellikler doğru bir şekilde ve gerekli hesaplar üzerinde kullanılırsa bu dezavantajlar ortadan kalkmış olacaktır.
“OTP – Dual Control – Exclusive Access” Kombinasyonu
Bu üç özellik ayrı ayrı kullanıldığında hesap güvenliği belirli bir seviyede sağlanmış olacaktır. Fakat çok hassas ve güvenliği üst düzey önem arz eden hesaplar için bu özelliklerin kombinasyonu kullanılabilir.
Bu şekilde de kullanıcı bazlı dezavantajlar ortadan kaldırılabilir ve hesap güvenliği en üst seviyede sağlanmış olur.
Örnek Senaryo :
- User1 isimli kullanıcı bu kombinasyonun uygulandığı bir domain admin hesabıyla 10.10.10.1 sunucusuna 14:00 – 15:00 zaman dilimi arasında bağlanmak için sebebini belirterek istekte bulunur. ( Dual Control )
- Onaylama yetkisi bulunan admin1 isimli kullanıcı bu isteği uygun bulur ve onaylar. ( Dual Control )
- User1 isimli kullanıcı 14:00 ‘da istekte bulunduğu domain admin hesabını kullanır. Başka hiçbir kullanıcı 15:00’a kadar bu hesabı kullanamaz. ( Exclusive Access )
- 15:00’da hesabın şifresi otomatik olarak değişir ve RDP bağlantısı sonlanır. ( OTP )
- 15:00’da hesabın kilidi otamatik olarak açılır. ( Exclusive Access )