Descargue una copia gratuita del informe aquí.
La gestión de la elevación y delegación de privilegios (PEDM) es una categoría de la gestión de accesos privilegiados (PAM) que incluye controles esenciales para suministrar a los usuarios no administrativos acceso administrativo a aplicaciones, recursos, scripts y sistemas sensibles de forma detallada y con tiempo limitado. En efecto, la PEDM permite a los equipos de TI implementar el principio de mínimos privilegios, con el cual dan solo los privilegios suficientes para que los usuarios realicen sus trabajos, lo que elimina los riesgos de que existan privilegios permanentes asociados con cuentas privilegiadas no gestionadas, desactualizadas o huérfanas.
Ocasionalmente, los usuarios no administrativos, como desarrolladores, pueden necesitar mayores privilegios para obtener acceso administrativo a recursos críticos. En dichos casos, los equipos de TI necesitan una forma de elevar privilegios temporalmente y luego revocarlos cuando los usuarios completen su tarea.
Mientras que las soluciones para la gestión de cuentas y sesiones privilegiadas pueden otorgar acceso temporal a cuentas críticas, dichos accesos solo se pueden dar sobre la base de "todo o nada". En estas instancias, los usuarios se asignan a cuentas administrativas temporales, también conocidas como cuentas efímeras, que pueden darles acceso administrativo completo a los recursos objetivo, incluyendo aplicaciones y activos a los que no deben o a los que no necesitan acceder para realizar su tarea. Además, si las cuentas administrativas temporales se comparten con más usuarios o mucho peor, si una de estas cuentas queda comprometida, cualquier atacante podría usarla para navegar en redes y sistemas privilegiados sin ser detectado.
La PEDM resuelve este problema al permitir a los usuarios acceder a recursos y aplicaciones sensibles con un método basado en tiempo y solicitudes. El acceso a recursos críticos se otorga con privilegios elevados y por un periodo específico con base en la validación de sus requisitos. Dichos privilegios temporales se revocan y las credenciales de estas cuentas privilegiadas se rotan después del tiempo estipulado para evitar cualquier intento de acceso no autorizado en el futuro. Esto también ayuda a deshacerse de cualquier privilegio permanente que los atacantes o incluso intrusos maliciosos puedan explotar.
Las funciones de PEDM en ManageEngine PAM360 permiten a los equipos de TI establecer un control y visibilidad detallados de los privilegios de los usuarios al incluir opciones de elevación de privilegios justo a tiempo y de autoservicio para cuentas de Windows locales y de dominio. Esto esencialmente incluye otorgar mayores privilegios asociados con ciertas aplicaciones, sistemas, scripts y procesos por un periodo designado. Estos controles estrictos permiten a los equipos de TI adoptar el principio de privilegios mínimos con el fin de dar a los usuarios no administrativos solo los privilegios suficientes para realizar sus actividades.
PAM360 ofrece modos con y sin agentes para la elevación de privilegios. En el modo sin agentes, conocido como la elevación de privilegios justo a tiempo, los usuarios con requisitos de acceso válidos serán elevados automáticamente a grupos de seguridad locales para obtener acceso temporal a los sistemas objetivo y luego se revertirán sus privilegios predeterminados una vez finalizado el periodo requerido de acceso. Igualmente, se puede elevar una cuenta de usuario de dominio a un grupo de seguridad de dominio mediante una integración con la solución para la gestión de Active Directory de ManageEngine, ADManager Plus. Obtenga más información sobre cómo funciona la PEDM justo a tiempo de PAM360.
El método para la elevación de privilegios con agentes, también conocido como self-service privilege elevation, se habilita al instalar y configurar agentes para la elevación de privilegios de autoservicio en los endpoints objetivo. Obtenga más información sobre cómo funciona este método.
