BeyondTrust предпазва потребителите на Windows от злоупотреба с привилегии

Твърде много организации все още позволяват на повечето свои крайни потребители привилегии за пълно работно време в Windows. Ако попитате защо практиката табу продължава, администраторите ще отговорят, че трябва да позволят на редовните крайни потребители да инсталират софтуер и да правят основни промени в конфигурацията на системата. И все пак тези задачи също излагат крайните потребители на риск от злонамерена експлоатация.

[BeyondTrust Privilege Manager 3.0 е избран за награда „Технология на годината“. Вижте слайдшоуто, за да видите всички победители в категорията за сигурност. ]

По-голямата част от днешните атаки на зловреден софтуер работят, като подтикват крайния потребител да стартира измамлив изпълним файл, чрез прикачени файлове, вградени връзки и други свързани трикове за социално инженерство. Въпреки че привилегированият достъп не винаги е необходим, за да се постигне нелоялно поведение, той значително улеснява работата и по-голямата част от зловредния софтуер е написан да го изисква.

Vista предлага на масата някои нови инструменти за сигурност, най-вече UAC (User Access Control), но дори и с тази функция крайните потребители се нуждаят от привилегировани идентификационни данни за изпълнение на административни задачи като инсталиране на софтуер, промяна на конфигурацията на системата и други подобни. И какво да правим с предишните версии на Windows?

Влезте в Privilege Manager на BeyondTrust, който преодолява празнината, като позволява на много мрежови администратори да прилагат по-строги стандарти за най-добри практики за сигурност в Windows 2000, 2003 и XP. Софтуерът позволява на администраторите да дефинират различни повишени задачи, които крайните потребители могат да изпълняват, без да се нуждаят от повишени идентификационни данни. Той може също така да намали привилегиите, дадени на потребителите, включително администраторите, когато изпълняват избрани процеси (Outlook, Internet Explorer), имитирайки функционалността на UAC на Vista или защитения режим на Internet Explorer 7 (макар и с помощта на различни механизми).

Privilege Manager работи като разширение на групови правила (което е чудесно, защото можете да го управлявате с вашите нормални инструменти на Active Directory), като изпълнява предварително дефинирани процеси с алтернативен контекст на защитата, подпомаган от режим на ядро, клиентски драйвер. Разширенията на драйвера и на клиента се инсталират с помощта на един пакет MSI (инсталатор на Microsoft), който може да се инсталира ръчно или чрез друг метод за разпространение на софтуер.

Компонент в потребителски режим прихваща заявки за клиентски процес. Ако процесът или приложението са предварително дефинирани от правило на Privilege Manager, съхранявано в рамките на ефективен GPO (Group Policy Object), системата заменя нормалния маркер за достъп на процеса или приложението с нов; алтернативно, той може да добавя или премахва от маркера SID (идентификатори на защитата) или привилегии. Освен тези няколко промени, Privilege Manager не променя нито един друг процес на защита на Windows. Според мен това е брилянтен начин за манипулиране на сигурността, защото означава, че администраторите могат да разчитат на останалата част от Windows да функционира нормално.

Приставката за групови правила на Privilege Manager трябва да бъде инсталирана на един или повече компютри, които ще се използват за редактиране на свързаните GPO. Клиентският софтуер и софтуерът за управление на GPO се предлагат в 32- и 64-битова версия.

Инструкциите за инсталиране са ясни и точни, с достатъчно достатъчно екранни снимки. Инсталацията е проста и безпроблемна, но изисква рестартиране (което е съображение при инсталиране на сървъри). Необходимият клиентски софтуерен пакет за инсталиране се съхранява на инсталационния компютър в папки по подразбиране, за да подпомогне разпространението.

След инсталацията администраторите ще намерят две нови OU (организационни единици) при редактиране на GPO. Единият се нарича Компютърна сигурност под листа за компютърна конфигурация; другият се нарича User Security под възела User Configuration.

Администраторите създават нови правила въз основа на пътя на програмата, хеша или местоположението на папката. Можете също така да посочите конкретни MSI пътища или папки, да посочите конкретна ActiveX контрола (по URL, име или клас SID), да изберете конкретен аплет на контролния панел или дори да посочите конкретен работещ процес. Разрешения и привилегии могат да се добавят или премахват.

Всяко правило може допълнително да се филтрира, за да се прилага само за машини или потребители, които отговарят на определени критерии (име на компютър, RAM, дисково пространство, времеви диапазон, ОС, език, съвпадение на файлове и т.н.). Това филтриране е в допълнение към нормалното WMI (Windows Management Interface) филтриране на GPO на Active Directory и може да се прилага за компютри преди Windows XP.

Общо правило, което повечето организации биха намерили веднага полезно, дава възможност за копиране на всички оторизирани файлове за инсталиране на приложения в споделена, обща папка на компанията. След това, използвайки Privilege Manager, можете да създадете правило, което изпълнява всяка програма, съхранена в папката в контекста на администратора за лесни инсталации. Повишени разрешения могат да бъдат дадени само по време на първоначалната инсталация на програмата или по всяко време, когато тя се изпълнява. Ако процесът не успее да се стартира, системата може да представи персонализирана връзка, която отваря вече попълнен имейл, съдържащ релевантни факти към инцидента, който крайният потребител може да изпрати до бюрото за помощ.

Често срещана грижа сред анализаторите на сигурността с подобни програми за кота е потенциалният риск за крайния потребител да стартира дефиниран повишен процес и след това да използва повишения процес, за да получи допълнителен неоторизиран и неволен достъп. BeyondTrust полага значителни усилия, за да гарантира, че повишените процеси остават изолирани. По подразбиране дъщерни процеси, стартирани в контекста на повишени родителски процеси, не наследяват повишения контекст на защита на родителя (освен ако не е конфигуриран специално от администратора).

Моите ограничени тестове при получаване на повишени командни подкани, извлечени от 10 години опит за проникване в тестване, не работиха. Тествах повече от дузина различни типове правила и записах произтичащия контекст на защитата и привилегии, използвайки помощната програма Process Explorer на Microsoft. Във всеки случай очакваният резултат от сигурността беше потвърден.

Но да предположим, че има ограничени случаи, в които Privilege Manager може да се използва за неоторизирано повишаване на привилегиите. В средите, които конкретно биха се възползвали от този продукт, вероятно всички вече са влезли като администратор без продукт от този тип. Privilege Manager намалява този риск, като позволява само на много опитни малцина да получат администраторски достъп.

Единственият ми отрицателен коментар се отнася за модела на ценообразуване. Първо се разделя от потребител или компютър, след това от лицензиран контейнер и накрая цената на седалките е за активен обект в покрит OU, независимо дали обектът е повлиян от Privilege Manager. Плюс броя на лицензите се проверява и актуализира ежедневно. Това е единственото нещо, което е твърде сложно в иначе безупречен продукт. (Ценообразуването започва от $ 30 на активен компютър или потребителски обект в лицензирания контейнер и подконтейнери.)

Ако искате възможно най-силната защита, не позволявайте на потребителите ви да бъдат влезли като администратор или да изпълняват повишени задачи (включително използване на Privilege Manager). Въпреки това, за много среди Privilege Manager е солидно, бързо решение за намаляване на рисковете, свързани с редовните крайни потребители, действащи като администратори.

Карта за резултат Настройка (10,0%) Контрол на достъпа на потребителя (40,0%) Стойност (8,0%) Мащабируемост (20,0%) Управление (20,0%) Общ резултат (100%)
BeyondTrust Privilege Manager 3.0 9.0 9.0 10,0 10,0 10,0 9.3