В современном мире главной угрозой информационной безопасности предприятия являются его сотрудники. Масштабы кибератак с использованием так называемых инсайдеров, которые из корыстных или каких-либо других побуждений используют служебное положение для того, чтобы нанести ущерб предприятию, стали настоящей бедой для средних и крупных компаний. Промышленный шпионаж, сбор компромата на руководство, а также старая добрая кража денег: все это в любой момент может стать реальностью, если в предприятии завелся инсайдер и у него есть достаточно полномочий.
image

Поскольку практически почти вся деловая переписка в предприятиях сейчас ведется в электронном виде, почтовый сервер и платформа для совместной работы всегда является лакомым кусочком для любого инсайдера. Давайте же посмотрим, какие средства может предложить Zimbra для защиты от атак изнутри.

Главным источником потенциальной опасности, конечно же, является администратор сервера Zimbra. Бесплатная Zimbra Open-Source Edition дает возможность создавать любое количество администраторских аккаунтов. Для этого можно воспользоваться следующей командой:

zmprov ca admin@domain.com qwerty zimbraIsAdminAccount TRUE

Такая команда создаст администраторский аккаунт на домене domain.com c паролем qwerty. Также при помощи команды можно сделать администратором уже существующего пользователя:

zmprov ma user@domain.com zimbraIsAdminAccount TRUE

Как видите, создание администраторского аккаунта в Zimbra — это очень просто. Но тут есть небольшой нюанс. Все эти администраторские аккаунты будут обладать полным набором привилегий. Никаких встроенных средств для разграничения полномочий между ними нет. Эта особенность особенно неудобна для SaaS-провайдерам, использующих Zimbra в условиях мультиарендности, а также для компаний с большими IT-отделами. Согласитесь, что довольно безрассудно доверять младшим сотрудникам всю полноту полномочий. Даже если они и не окажутся инсайдерами, они могут все сломать просто по причине неопытности.

Именно поэтому для тех, пользователей Zimbra, которым необходимо иметь на сервере несколько администраторских аккаунтов, но при этом нужна также возможность для четкого разграничения полномочий, компания Zextras разработала зимлет Zextras Admin, входящий в состав Zextras Suite. Он добавляет в Zimbra продвинутую систему управления администраторскими аккаунтами, позволяющую гибко настраивать спектр администраторских полномочий, доступных тем или иным пользователям.

image

Вся настройка производится в консоли администрирования Zimbra, либо в командной строке. В случае с графическим интерфейсом, после установки Zextras Admin в веб, там появляется соответствующий пункт, при переходе в который можно удобно делегировать администраторские полномочия другим пользователям и управлять списком администраторских аккаунтов. В случае с командной строкой, вам необходимо прописать команду zxsuite admin doAddDelegationSettings и добавить к ней необходимые параметры, среди которых:

  • account — имя аккаунта
  • domain — наименование домена
  • viewMail — возможность просмотра содержимого почты
  • adminQuota — возможность настойки квот для почтовых ящиков

Итоговая команда может выглядеть, например, вот так:

zxsuite admin doAddDelegationSettings newadmin zimbra.server.com viewMail false adminQuota 0

Лишить пользователя администраторских полномочий также можно одной командой:

zxsuite admin doRemoveDelegationSettings newadmin zimbra.server.com

Работает это так: при использовании Zextras Admin, все наделенные администраторскими полномочиями пользователи будут, как и полноправные администраторы, иметь доступ к консоли администрирования, однако при этом спектр их полномочий может быть сокращен. То, каким будет этот спектр полномочий, решает глобальный администратор сервера с Zimbra. В частности, можно легко и непринужденно запретить администраторским аккаунтам просматривать содержимое почты сотрудников предприятия, а также запретить вносить изменения в глобальные настройки сервера.

image

Помимо ограничения прав, Zextras Admin добавляет возможность логирования действий пользователей с администраторскими правами. Это позволяет отследить любую подозрительную активность и принять превентивные меры для выявления потенциальной угрозы. Кроме того, Zextras Admin имеет своеобразную кнопку Reset, которая позволяет в любой момент отозвать все права у пользователей с администраторскими полномочиями.

Впрочем, Zextras Admin может быть интересен не только SaaS-провайдерам и предприятиям с большим IT-отделом, но и тем компаниям, которые ищут способы поднять эффективность своей ИТ-инфраструктуры. Зимлет от Zextras позволяет производить тонкую настройку различных категорий пользователей, квотирования и пользовательских ограничений на доменах. Благодаря этому можно добиться полного контроля над своими серверами с Zimbra и, как следствие, значительно повысить эффективность и безопасность всей инфраструктуры.

Комментарии (0)