Выявление рисков, связанных с учетными записями (Risk Detection)

В JumpServer Enterprise редакции поддерживается функция обнаружения неизвестных учетных записей (подробнее в этой статье), но при сканировании целевых систем на наличие учетных записей, с них собирается также дополнительная информация, которая используется для выявления рисков, связанных с учетными записями.

Что делает функция выявления рисков?

В разделе PAM - Risk detection на вкладке Detection Engines вы можете видеть 4 основных типа обнаружения рисков:

Check the discovered accounts:
Анализ на основе автоматически обнаруженных результатов по аккаунтам, включая группы пользователей, публичные ключи, настройки sudo и другую информацию.

Check the strength of your account and password:
Анализ безопасности паролей аккаунтов, включая сложность пароля, утечки и другие риски.

Check if the account and password are repeated:
Проверка совпадения паролей у учетных записей

Check whether the account password is a common password:
Проверка, относится ли пароль учетной записи к числу часто используемых или ранее скомпрометированных паролей.

Эти механизмы обнаружения рисков, позволяют выявить учетные записи, которые:
Давно не авторизовывались на ресурсе, недавно появились или были удалены с целевой системы
Изменили членство в группе, изменили параметры sudo
Имеют истекший срок действия пароля, слабый пароль или их пароль давно не менялся
Имеют пароль, содержащийся в базе украденных паролей
Имеют пароль, совпадающий с другими учетными записями

Включение функции выявления рисков

Зайдите в раздел PAM - Risk detection и на вкладке Detection Task нажмите Create и заполните параметры обнаружения:

В параметре Engines желательно выбрать все модули, также можно включить периодичность сканирования. Сохраните задачу и нажмите Execute и дождитесь завершения.

Список украденных паролей

Список украденных паролей, который используется для выявления рисков, находится в разделе System settings - Security , на вкладке User password есть пункт Leaked password list и рядом кнопка View.
Вы можете вручную добавить в список дополнительные записи, например пароли по-умолчанию, которые создаются у вас в компании при создании новых ресурсов и тд

А также можете скачать и добавить сюда публичные списки самых популярных паролей. собранные аналитиками, например на данный момент у меня загружен список из "топ 1 млн украденных паролей", но если вы попробуете загрузить 1млн паролей через CSV\XLSX файл, то скорее всего это займет бесконечно долго и поэтому не нужно пытаться это делать.

Как добавить большое количество паролей в список?

База утекших паролей хранится в файле на сервере, которых находится по этому пути:
/data/jumpserver/core/data/leak_passwords.db и его копия /data/jumpserver/core/data/system/leak_passwords.db

leak_passwords.db - это файл база данных SQLite
Поэтому чтобы добавить в эту базу данных большое число строк, достаточно скачать файл leak_passwords.db , открыть его любым клиентом для SQLite, например HeidySQL:

И через импорт CSV добавить в список, например, 1млн паролей или еще больше, после этого обратно загрузить файл на сервер и положить две копии файла в обе директории:

/data/jumpserver/core/data/leak_passwords.db

/data/jumpserver/core/data/system/leak_passwords.db

Установка JumpServer Enteprise Edition

Установка JumpServer Community Edition

Описание и пример настройки HA-кластера JumpServer

Настройка HAProxy для HA-кластера JumpServer

Эксплуатация и обслуживание с помошью командной строки - jmsctl

Описание сетевых портов

Как установить верные дату и время в JumpServer?

Настройка HTTPS и обратного прокси для веб-интерфейса JumpServer

Настройка отображение корректного IP пользователя при авторизации через HAProxy

Где JumpServer хранит копии файлов, передаваемых через SFTP и RDP?

Как сохранять переданные файлы в JumpServer?

Как убрать из логов пароли, введенные пользователями внутри SSH подключений?

Настройка внешнего хранилища для записей сессий в JumpServer

Сжатие видеозаписей RDP сессий: настройка Video-Worker

Настройка отправки событий по Syslog

Интеграция с Active Directory(LDAP) и синхронизация с группами AD

Включение встроенной 2-факторной авторизации(TOTP)

Установка OpenSSH на Windows для управления УЗ Windows

Настройка RDS (RemoteApp) для публикации приложений

Настройка Panda для публикации приложений

Изменение времени жизни и повторного использования токенов подключения в JumpServer

Настройка блокировки команд SSH и запросов СУБД

Настройка подключения к целевым системам по HTTP(веб-интерфейсы приложений)

Как подключаться к доменным активам с единой доменной УЗ?

Автоматическое повышение привилегий при подключении по SSH

Создание УЗ и SSH ключей на целевой системе ( Push Accounts)

Обнаружение неконтролируемых учетных записей (Discover Accounts)

Изменение пути по умолчанию для SFTP подключений

Настройка обнаружения активов в локальной сети и облачных платформах

Выявление рисков, связанных с учетными записями (Risk Detection)

Маскирование данных в СУБД

Подключение к системам через SSH-селектор в JumpServer

Поддерживаемые типы СУБД и варианты подключений

Подключение к целевым системам: все возможные варианты

Установка, настройка и работа в JumpServer Client

Открытие RDP сессий в Remote Desktop Manager (Devolutions)

Проверка работы контейнеров и журналы ошибок

Решение проблем с публикацией приложений RemoteApp

Чек-лист для решения проблем с Panda

Замена одного из компонентов JumpServer на другую версию

Структура апплетов RemoteApp и создание своего апплета

Разработка собственных приложений для Panda

Как писать API запросы с помощью Cursor AI?

Настройка интеграции JumpServer с KeyCloak с помошью OpenID Connect

Выявление рисков, связанных с учетными записями (Risk Detection)

Что делает функция выявления рисков?

Включение функции выявления рисков

Список украденных паролей

Как добавить большое количество паролей в список?