Fudo PAM 4.3 ✍ Примечания к выпуску

Управление привилегированным доступом (PAM) — это область кибербезопасности, сосредоточенная на привилегированных ресурсах, таких как пользователи, учетные записи, серверы и службы.

Главной задачей такого решения является защита компаний от угроз, связанных с преступно настроенными пользователями, имеющими расширенные права, а также от безответственного или неосмотрительного поведения неопытных пользователей.

В этой статье мы подробно расскажем про новую версию Fudo PAM 4.3, ее функции, улучшения и исправленные ошибки.

Новые функции Fudo PAM 4.3

• VMware Tools включены в образ системы
• Добавлены новые внешние методы двухфакторной аутентификации: SMS и DUO
• Добавлена поддержка двухфакторной аутентификации для целевого сервера по протоколу Secure Shell (SSH)
• Новый функционал: логин и логофф теперь отображается как новая виртуальная сессия, также можно настроить принудительное подтверждение таких сессий администратором
• Смена пароля может быть запущена после завершения сеанса
• Добавлена поддержка списка отзыва сертификатов (CRL) в средстве смены паролей WinRM

В Fudo PAM 4.3 произведен ряд следующих улучшений:

1. Реализован новый метод управления дисками: убран маппинг дисков. Теперь разделы помечаются метками, которые базируются на первоначальных номерах дисков
2. Добавлен метод проверки подлинности Azure HTTP серверов
3. Добавлена поддержка аутентификации HTTP Basic
4. Fudo PAM теперь позволяет вручную выбирать обработанные HTTP-сеансы для OCR (Optical Character Recognition - оптическое распознавание текста)
5. Для серверов с SSH и для всех типов SSH учетных записей добавлена функция "SSH Agent Forwarding», которая позволяет использовать собственные ключи для подключения к целевому серверу через Fudo PAM
6. Пользователи портала, подключающиеся по порту HTTP, не должны вводить учетные данные на странице входа, поскольку они уже аутентифицированы на портале
7. Определение MIB в FUDO-SECURITY-MIB.txt разделено на два файла:
   
   FUDO-SECURITY-COMMON-MIB.txt
   FUDO-SECURITY-COMMON-FUDO.txt
8. Скалярные значения, возвращаемые агентом SNMP, работающим на Fudo PAM, теперь имеют суффикс «.0»
9. Добавлен лимит времени сеанса для объектов "Safes" (сейфы)
10. Добавлен лимит времени бездействия сеанса для объектов "Safes" (сейфы) — сеансы будут отключены по истечении заданного периода

Изменения В GUI:

• Столбец "Server", который представляет адрес назначения сеанса, изменил свое название на "Dst Address"
• IP и номер порта учетной записи, которая слушается, теперь видны в разделе "Safe management"
• Добавлена опция фильтрации для включения удаленных серверов в список сессий ("Sessions")
• Добавлены функции загрузки и скачивания для программ смены паролей и верификаторов
• Улучшена читаемость фингерпринтов (отпечатков) сертификатов
• Улучшено состояние индикатора выполнения при обновлении системы
• Fudo PAM позволяет отображать QR-код для секрета метода аутентификации OATH, даже если метод не сохранен
• Изменены цвета кнопок в User Access Gateway в портале при подключении к серверу для лучшей читаемости

Исправления API:

1. Исправлена ошибка "Internal server error", отображаемая в API при создании аккаунта с типа "Regular"
2. Исправлена проблема с использованием API для удаления / изменения / добавления параметра "public_key" с сервера
3. Добавлены внешние методы аутентификации для пользователей Rest API
4. Включен возврат списка "Safes" для параметров user_id, listener_id и account_id в API
5. Включен возврат списка учетных записей для определенного server_id
6. Исправлена ошибка, возникающая при отправке GET с поиском параметров в директории /safes/<id>/users
7. Исправлена ошибка с невозможностью удалить последнего слушателя из ассоциации account_listener в объекте "Safes"

UX-исправления:

• Исправлена ошибка с отображением черного экрана после открытия записанных сеансов в версии Firefox ESR
• Улучшено воспроизведение сеанса открытия: подробности и поле поиска были видны сразу после открытия. Теперь они видны после нажатия кнопки "Details"
• Изменено отображение времени между подключением и относительным временем в правой части полосы. Теперь отображение времени одинаково с обеих сторон

Исправления в GUI:

1. Администраторам не удавалось заблокировать пользователей, для которых задан параметр "Account validity" (срок действия учетной записи). Это было исправлено
2. Исправлено логирование при сохранении свойств пользователей без каких-либо изменений
3. Исправлена ситуация, когда не удалось сохранить объекты "HTTP transparent" или "Gateway listener" с установленным флажком «Render session»
4. Исправлена ошибка, из-за которой не сохранялось значение флажка "Blocked" в разделе "Users Safes"
5. Исправлена проблема при изменении политики ежедневного доступа в подробном представлении пользователя
6. Улучшена читаемость списка "RemoteApp" в разделе "Servers Management section"
7. Улучшенный фильтр OCR для списка "Sessions": результаты содержат только графические сеансы
8. Добавлена функция "Sending diagnostics" для настроек системы в разделе "Maintenance and supervision"
   

Исправление ошибок:

• Доработан механизм проверки правильности конфигурации системы при обновлении (скрипт UPG000292)
• Исправлена несовместимость LDAP с кириллицей
• Пользователи не могли загружать файлы размером более 1 МБ, используя WinSCP для подключения к серверу SFTP
• Исправлен расчет "Number of servers in use" в разделе "System Settings section"
• Исправлена ошибка с подключением через Virtual Network Computing (VNC), когда поле пароля Аккаунта пусто
• Исправлена проблема, из-за которой репликация базы данных работала для всех конфигураций
• Fudo PAM не мог правильно войти в базу данных MySQL. Теперь он правильно выполняет вход
• Исправлена ошибка, когда пользователь не мог аутентифицироваться с помощью ключа SSH при входе в систему в режиме "Bastion"
• Исправлена ошибка, когда OCR был запущен, но в какой-то момент сессия была остановлена. Теперь весь сеанс будет проиндексирован процессом OCR
• Исправлена ошибка, из-за которой Fudo PAM не мог распознать прерванный сеанс
• Некоторые отчеты создаются, но их нельзя было отправить

Важно перед обновлением:

Есть несколько вещей, которые необходимо проверить перед применением этого обновления.

Вначале необходимо убедиться, что ваш Fudo PAM не подвергался каким-либо масштабным процессам, таким как перестройка хранилища, или система не загружена полностью.

В конфигурации кластера проверьте, что все узлы синхронизированы, и сначала обновите пассивный (slave) узел.

И наконец удостоверьтесь, что у вас есть действующий контракт на обслуживание Premium или Standard Support.

Как обновить Фудо:

Войдите в свой Fudo PAM и в меню слева выберите «System», затем вкладку «Upgrade».
↓
Если ваш Fudo PAM работает в кластере, запустите обновление с пассивного узла, затем перейдите к обновлению активного узла. Когда обе ноды имеют одну версию Fudo PAM, связь кластера будет восстановлена.
Выберите «Upload» в верхнем левом углу и загрузите ранее загруженный и распакованный файл пакета обновления.
↓
Выберите «Run Check», чтобы определить, является ли ваш файл обновления правильным и может ли он быть применен к существующей конфигурации Fudo. Обновите окно браузера, чтобы увидеть текущий прогресс «Upgrade check».
↓
После успешного результата «Run Check» обновите Fudo с помощью кнопки «Upgrade». После перезапуска системы все активные сеансы будут завершены.
↓
В случае неудачной проверки не обновляйте систему, дважды проверьте контрольную сумму файла обновления. Если у вас возникнут проблемы, свяжитесь с нами, и мы поможем вам.

Откат:

Если у вас возникли проблемы с недавно установленной версией, у вас есть возможность вернуться к предыдущей версии системы Fudo, ранее работавшей на этом компьютере. Для этого щелкните меню пользователя вверху, выберите «Restart» и выберите предыдущую версию системы из раскрывающегося списка.

Подписывайтесь на наш канал, чтобы не пропустить обновления ✅

#информационная безопасность #системное администрирование #серверное администрирование #it #кибербезопасность