
Большинство компаний до сих пор живут в парадигме статических привилегий. Если Василий - системный администратор, он состоит в группе Domain Admins 24 часа в сутки, 7 дней в неделю, 365 дней в году.
Даже когда Василий спит, болеет или пьет коктейль на Гоа, его учетная запись обладает правами бога. Она терпеливо ждет в Active Directory, пока какой-нибудь автоматизированный зловред сбрутит ее пароль или извлечет хеш из памяти (Pass-the-Hash) забытого RDP-сеанса.
Концепция статических привилегий - это самоубийство для современного энтерпрайза. Давать админские права «навсегда» - всё равно что оставлять ключи в замке зажигания инкассаторской машины, пока водитель ушел на обед.
Иллюзия PAM (KeePass за много миллионов)
Обычно, осознав масштаб трагедии, бизнес выделяет бюджет и с помпой покупает тяжелую систему класса PAM (Privileged Access Management) - CyberArk, Delinea, СКДПУ.
Как PAM внедряют в 90% случаев? Как очень дорогой и неповоротливый менеджер паролей. Администратор заходит в портал PAM, жмет кнопку, система подставляет сложный пароль от сервисной учетки (которую человек даже не знает) и прозрачно пускает его на целевой сервер через бастион-хост.
Стало ли безопаснее? Безусловно. Спасет ли это от горизонтального перемещения опытного хакера? Нет.
Проблема в том, что целевая учетная запись на сервере (тот самый root или Administrator) всё еще обладает админскими правами 24/7. Если злоумышленник проникнет на сервер в обход PAM (например, через уязвимость в веб-приложении, старый SSH-ключ или через соседнюю машину), он найдет этот высокопривилегированный аккаунт, дампнет его и пойдет дальше.
Вы защитили пароль, но вы не убрали саму мишень.
Zero Standing Privileges (ZSP): Ни у кого нет прав
Единственный рабочий подход к безопасности в 2026 году - это концепция Zero Standing Privileges (Нулевые постоянные привилегии).
Ее суть жестока, но справедлива: По умолчанию ни у кого в компании нет административных прав. Вообще ни у кого. Ни у генерального директора, ни у CISO, ни у Enterprise-админа.
Как тогда чинить сервера и катить релизы? Через механизм Just-In-Time (JIT) доступа. Привилегии не «назначаются» человеку навсегда. Они создаются динамически под конкретную задачу на жестко ограниченное время.
Workflow здорового человека (JIT в действии):
- У сисадмина Васи есть обычная, рядовая учетка
v.pupkin, с которой он читает почту, сидит в Jira и смотрит мемы. Прав у нее не больше, чем у бухгалтера. - Ночью падает биллинг. Васе нужно обновить конфиг на боевом веб-сервере.
- Вася идет в портал самообслуживания (или пишет команду в Slack-бота) и запрашивает доступ: "Нужен локальный админ на сервере WEB-01 на 2 часа, основание - инцидент INC-4040".
- Система проверяет его роль и аппрув. Если всё ок, она (внимание!) создает временную учетную запись на этом сервере (или добавляет Васю во временную группу) и запускает таймер.
- Вася заходит и чинит сервис.
- Ровно через 2 часа карета превращается в тыкву. Система автоматически удаляет учетку, чистит сессии, убивает процессы и меняет пароли.
Всё. Хакер, который проникнет на этот сервер через 2 часа и 1 минуту, не найдет там ни одного висящего админского аккаунта. Поверхность атаки сократилась с 24/7 до жалких двух часов.
Как реализовать JIT, если у вас нет бюджета на CyberArk?
ИТ-директора часто думают, что JIT и ZSP - это удел корпораций с бесконечным бюджетом. На самом деле, базовые, но самые критичные вещи делаются встроенными (и бесплатными) инструментами:
1. Локальные админы на ПК: Microsoft LAPS
Если у вас на всех 1000 ноутбуках в офисе есть локальный админ с одинаковым паролем Admin123! - вас взломают завтра. Внедряйте LAPS (Local Administrator Password Solution). Он генерирует уникальный случайный пароль для локального админа на каждом ПК, прячет его в AD и регулярно меняет. Хелпдеск запрашивает этот пароль только тогда, когда реально нужно починить компьютер пользователя.
2. Временные группы в AD (PAM Feature)
Начиная с Windows Server 2016, в Active Directory появилась гениальная фича. Она позволяет добавлять пользователя в группу с параметром TTL (Time-To-Live). Одна команда в PowerShell: Add-ADGroupMember -Identity "Domain Admins" -Members "v.pupkin" -MemberTimeToLive (New-TimeSpan -Hours 2) Через два часа контроллер домена сам выкинет Васю из группы Domain Admins без всяких скриптов, планировщиков задач и костылей.
3. Базы данных и облака: HashiCorp Vault Если ваши разработчики всё еще используют статические логины для подключения к базам данных, посмотрите в сторону Vault. Он умеет динамически генерировать логины и пароли для PostgreSQL/MySQL/AWS, которые живут ровно столько, сколько нужно для выполнения скрипта, и затем уничтожаются самим движком базы.
Забудьте фразу «дай права на пять минут». Любой статический административный доступ - это оставленная открытой форточка в сейфовом хранилище.
Стройте архитектуру так, чтобы привилегии рождались только в момент необходимости и умирали сразу после завершения работ. Да, админы будут ворчать, что им приходится лишний раз кликать кнопку запроса и ждать аппрува. Но слушать ворчание админов гораздо приятнее, чем объяснять следователю, откуда у вас шифровальщик на всех контроллерах домена.