Programavimas

„BeyondTrust“ neleidžia „Windows“ vartotojams piktnaudžiauti privilegijomis

Per daug organizacijų vis dar daugumai savo galutinių vartotojų leidžia „Windows“ administravimo privilegijas. Jei paklausite, kodėl tabu praktika tęsiama, administratoriai atsakys, kad jie turi leisti nuolatiniams galutiniams vartotojams įdiegti programinę įrangą ir atlikti pagrindinius sistemos konfigūracijos pakeitimus. Tačiau šios užduotys taip pat kelia riziką galutiniams vartotojams piktnaudžiauti.

[BeyondTrust„Privilege Manager 3.0“ buvo išrinktas „Metų technologijų“ apdovanojimui. Norėdami pamatyti visus saugumo kategorijos nugalėtojus, peržiūrėkite skaidrių peržiūrą. ]

Didžioji dauguma šių dienų kenkėjiškų programų atakų skatina galutinį vartotoją paleisti nesąžiningą vykdomąjį failą per failų priedus, įterptąsias nuorodas ir kitus susijusius socialinės inžinerijos triukus. Nors nesąžiningam elgesiui pasiekti ne visada reikalinga privilegijuota prieiga, tai žymiai palengvina darbą, o didžioji dauguma kenkėjiškų programų yra parašytos tam reikalauti.

„Vista“ pateikia keletą naujų saugos įrankių, ypač UAC („User Access Control“), tačiau net ir turėdami šią funkciją galutiniams vartotojams reikia privilegijuotų kredencialų, kad jie galėtų atlikti tokias administracines užduotis kaip diegti programinę įrangą, keisti sistemos konfigūraciją ir panašiai. O ką daryti su ankstesnėmis „Windows“ versijomis?

Įeikite į „BeyondTrust“ privilegijų tvarkytuvę, kuri panaikina spragą leisdama daugeliui tinklo administratorių įgyvendinti griežtesnius geriausios praktikos saugos standartus visose „Windows 2000“, „2003“ ir „XP“. Programinė įranga leidžia administratoriams apibrėžti įvairias užduotis, kurias galutiniai vartotojai gali atlikti nereikalaudami paaukštintų įgaliojimų. Tai taip pat gali sumažinti privilegijas, suteikiamas vartotojams, įskaitant administratorius, jiems vykdant pasirinktus procesus („Outlook“, „Internet Explorer“), imituojant „Vista“ UAC arba „Internet Explorer 7“ apsaugoto režimo funkcionalumą (nors naudojant skirtingus mechanizmus).

„Privilege Manager“ veikia kaip grupės strategijos plėtinys (tai puiku, nes galite jį valdyti naudodami įprastus „Active Directory“ įrankius) vykdydamas iš anksto nustatytus procesus su alternatyviu saugos kontekstu, kuriam padeda branduolio režimo kliento tvarkyklė. Tvarkyklės ir kliento pusės plėtiniai įdiegiami naudojant vieną MSI („Microsoft Installer“) paketą, kurį galima įdiegti rankiniu būdu arba naudojant kitą programinės įrangos platinimo metodą.

Vartotojo režimo komponentas sulaiko kliento proceso užklausas. Jei procesą ar programą anksčiau apibrėžė „Privilege Manager“ taisyklė, saugoma veiksmingame GPO (grupės strategijos objekte), sistema pakeičia įprastą proceso ar programos saugos prieigos raktą nauju; Arba jis gali pridėti prie žymenų SID (saugos identifikatorius) ar teises arba pašalinti iš jų. Be šių kelių pakeitimų, „Privilege Manager“ nekeičia jokio kito „Windows“ saugos proceso. Mano nuomone, tai puikus būdas manipuliuoti saugumu, nes tai reiškia, kad administratoriai gali pasikliauti likusia „Windows“, kad jie veiktų normaliai.

„Privilege Manager“ grupės strategijos papildinys turi būti įdiegtas viename ar daugiau kompiuterių, kurie bus naudojami redaguojant susijusius GPO. Kliento pusės ir GPO valdymo programinė įranga yra tiek 32, tiek 64 bitų versijų.

Diegimo instrukcijos yra aiškios ir tikslios, jose yra pakankamai ekrano kopijų. Diegimas yra paprastas ir be problemų, tačiau jį reikia paleisti iš naujo (į tai atsižvelgiama diegiant serveriuose). Reikalingas kliento pusės diegimo programinės įrangos paketas yra saugomas diegimo kompiuteryje numatytuosiuose aplankuose, kad būtų lengviau platinti.

Po įdiegimo administratoriai suras du naujus OU (organizacinius vienetus) redaguodami GPO. Vienas iš jų vadinamas „Computer Security“, esančiu „Computer Configuration“ lape; kitas vadinamas „User Security“ pagal „User Configuration“ mazgą.

Administratoriai kuria naujas taisykles pagal programos kelią, maišos ar aplanko vietą. Taip pat galite nurodyti konkrečius MSI kelius ar aplankus, paskirti tam tikrą „ActiveX“ valdiklį (pagal URL, pavadinimą ar klasės SID), pasirinkti tam tikrą valdymo skydelio programėlę ar net nurodyti konkretų vykdymo procesą. Leidimus ir privilegijas galima pridėti arba pašalinti.

Kiekviena taisyklė gali būti papildomai filtruojama, kad būtų taikoma tik mašinoms ar vartotojams, kurie atitinka tam tikrus kriterijus (kompiuterio pavadinimą, RAM, disko vietą, laiko diapazoną, OS, kalbą, failo atitikmenį ir kt.). Šis filtravimas papildo įprastą „Active Directory“ GPO WMI („Windows“ valdymo sąsajos) filtravimą ir gali būti taikomas kompiuteriams, kuriuose nėra „Windows XP“.

Bendra taisyklė, kurią dauguma organizacijų galėtų rasti iškart naudinga, suteikia galimybę nukopijuoti visus įgaliotus programų diegimo failus į bendrą bendrąjį įmonės aplanką. Tada naudodami „Privilege Manager“ galite sukurti taisyklę, kuri paleidžia bet kurią aplanke saugomą programą administratoriaus kontekste, kad būtų lengva įdiegti. Padidinti leidimai gali būti suteikiami tik pradinio programos diegimo metu arba bet kada, kai ji bus vykdoma. Jei procesas nevykdomas, sistema gali pateikti pritaikytą nuorodą, kuri atidaro jau užpildytą el. Laišką su svarbiais įvykio faktais, kuriuos galutinis vartotojas gali nusiųsti pagalbos tarnybai.

Bendras saugumo analitikų, turinčių panašias pakilimo programas, rūpestis yra galimas pavojus galutiniam vartotojui pradėti apibrėžtą padidintą procesą ir tada naudoti padidintą procesą, kad gautų papildomą neteisėtą ir nenumatytą prieigą. „BeyondTrust“ išleido daug pastangų, kad padidėję procesai liktų izoliuoti. Pagal numatytuosius nustatymus pakaitinių tėvų procesų kontekste pradėti vaikai procesai nepaveldi tėvų padidinto saugumo konteksto (nebent tai specialiai sukonfigūravo administratorius).

Mano riboti bandymai gauti aukštesnius komandinius nurodymus, gauti iš 10 metų įsiskverbimo bandymų patirties, neveikė. Išbandžiau daugiau nei tuziną skirtingų taisyklių tipų ir užfiksavau susidariusį saugos kontekstą ir privilegijas naudodamasis „Microsoft“ proceso naršyklės procesoriumi. Visais atvejais laukiamas saugumo rezultatas buvo patvirtintas.

Bet tarkime, kad yra nedaug atvejų, kai „Privilege Manager“ gali būti naudojamas neteisėtam privilegijų eskalavimui. Aplinkose, kuriose šis produktas būtų naudingas, tikriausiai visi jau yra prisijungę kaip administratoriai be tokio tipo produkto. „Privilege Manager“ sumažina šią riziką, suteikdama galimybę tik labai kvalifikuotiems žmonėms gauti administratoriaus prieigą.

Vienintelis mano neigiamas komentaras galioja kainų modeliui. Pirmiausia jį skiria vartotojas ar kompiuteris, tada - licencijuotas konteineris, o galiausiai vietos kainos nustatomos vienam aktyviam objektui, kuriam taikoma OU, neatsižvelgiant į tai, ar objektą paveikė „Privilege Manager“, ar ne. Be to, licencijų skaičius tikrinamas ir atnaujinamas kasdien. Tai vienintelis dalykas, kuris yra pernelyg komplikuotas kitu atveju nepriekaištingo produkto. (Kainos prasideda nuo 30 USD už aktyvų kompiuterį ar vartotojo objektą licencijuotame konteineryje ir sudėtiniuose sudėtiniuose rodiniuose.)

Jei norite kuo didesnio saugumo, neleiskite savo vartotojams prisijungti kaip administratoriui ar vykdyti aukštesnių užduočių (įskaitant naudojimąsi „Privilege Manager“). Tačiau daugelyje aplinkų „Privilege Manager“ yra patikimas ir greitas sprendimas siekiant sumažinti riziką, susijusią su nuolatiniais galutiniais vartotojais, atliekančiais administratoriaus funkcijas.

Rezultatų kortelė Sąranka (10.0%) Vartotojo prieigos kontrolė (40.0%) Vertė (8.0%) Mastelis (20.0%) Valdymas (20.0%) Bendras rezultatas (100%)
„BeyondTrust Privilege Manager“ 3.09.09.010.010.010.0 9.3
$config[zx-auto] not found$config[zx-overlay] not found