BeyondTrust preprečuje uporabnikom sistema Windows, da zlorabljajo privilegije

Preveč organizacij še vedno dovoljuje večino svojih končnih uporabnikov privilegijev polnega skrbništva v sistemu Windows. Če vprašate, zakaj se tabujska praksa nadaljuje, bodo skrbniki odgovorili, da morajo rednim končnim uporabnikom dovoliti namestitev programske opreme in osnovne spremembe sistemske konfiguracije. Toda prav te naloge končne uporabnike tudi ogrožajo zaradi zlonamernega izkoriščanja.

[BeyondTrustPrivilege Manager 3.0 je bil izbran za nagrado za tehnologijo leta. Oglejte si diaprojekcijo, da si ogledate vse zmagovalce v kategoriji varnosti. ]

Velika večina današnjih napadov zlonamerne programske opreme deluje tako, da končnega uporabnika spodbudi k zagonu neprimerne izvedljive datoteke s pomočjo prilog datotek, vdelanih povezav in drugih povezanih trikov s področja socialnega inženiringa. Čeprav privilegiran dostop ni vedno potreben za lažno vedenje, to delo olajša, velika večina zlonamerne programske opreme pa je napisana, da to zahteva.

Vista na mizo prinese nekaj novih varnostnih orodij, predvsem UAC (User Access Control), vendar tudi s to funkcijo končni uporabniki potrebujejo privilegirane poverilnice za izvajanje skrbniških nalog, kot so namestitev programske opreme, spreminjanje sistemske konfiguracije in podobno. In kaj storiti s prejšnjimi različicami sistema Windows?

Vstopite v upravitelj Privilege BeyondTrusta, ki premosti vrzel, saj mnogim skrbnikom omrežij omogoča uveljavitev strožjih varnostnih standardov najboljše prakse v sistemih Windows 2000, 2003 in XP. Programska oprema omogoča skrbnikom, da določijo različne povišane naloge, ki jih lahko končni uporabniki izvajajo, ne da bi potrebovali povišane poverilnice. Prav tako lahko zmanjša privilegije, ki jih imajo uporabniki, vključno s skrbniki, pri zagonu izbranih procesov (Outlook, Internet Explorer), posnemajoč funkcionalnost Vista-ovega UAC-a ali zaščitenega načina Internet Explorer-ja 7 (čeprav z drugačnimi mehanizmi).

Privilege Manager deluje kot razširitev pravilnika skupine (kar je super, ker ga lahko upravljate z običajnimi orodji Active Directory) z izvajanjem vnaprej določenih procesov z nadomestnim varnostnim kontekstom, ki mu pomaga jedrski način, odjemalski gonilnik. Gonilnik in razširitve na strani odjemalca se namestijo z enim paketom MSI (Microsoftov namestitveni program), ki ga je mogoče namestiti ročno ali prek druge metode distribucije programske opreme.

Komponenta uporabniškega načina prestreže zahteve odjemalskega procesa. Če je postopek ali aplikacija predhodno opredeljena s pravilom Privilege Manager, shranjenim v učinkovitem GPO (objekt pravilnika skupine), sistem običajni varnostni žeton za dostop do procesa ali aplikacije nadomesti z novim; lahko pa doda ali odstrani iz žetona SID (varnostne identifikatorje) ali privilegije. Poleg teh nekaj sprememb Privilege Manager ne spreminja nobenega drugega varnostnega postopka za Windows. Po mojem mnenju je to čudovit način za upravljanje varnosti, ker pomeni, da se lahko skrbniki zanesejo na to, da preostali sistem Windows deluje normalno.

Snap-in pravilnika skupine Privilege Manager mora biti nameščen v enem ali več računalnikih, ki bodo uporabljeni za urejanje povezanih GPO-jev. Programska oprema za upravljanje na strani odjemalca in GPO je na voljo v 32- in 64-bitni različici.

Navodila za namestitev so jasna in natančna, z dovolj dovolj posnetkov zaslona. Namestitev je enostavna in problematična, vendar zahteva ponovni zagon (kar je pomembno pri namestitvi na strežnike). Zahtevani programski paket za namestitev na strani odjemalca je shranjen v namestitvenem računalniku v privzetih mapah za pomoč pri distribuciji.

Po namestitvi bodo skrbniki med urejanjem GPO našli dva nova OU (organizacijske enote). Ena se imenuje Computer Security pod listom Computer Configuration; drugi se imenuje User Security pod vozliščem User Configuration.

Skrbniki ustvarijo nova pravila na podlagi poti programa, razpršitve ali lokacije mape. Lahko tudi pokažete na določene poti ali mape MSI, določite določen kontrolnik ActiveX (po URL-ju, imenu ali razredu SID), izberete določen programček nadzorne plošče ali celo določite določen postopek, ki se izvaja. Dovoljenja in privilegije je mogoče dodati ali odstraniti.

Vsako pravilo je mogoče dodatno filtrirati, da velja samo za stroje ali uporabnike, ki ustrezajo določenim kriterijem (ime računalnika, RAM, prostor na disku, časovno obdobje, OS, jezik, ujemanje datotek itd.). To filtriranje je poleg običajnega filtriranja GPO Active Directory WMI (vmesnik za upravljanje sistema Windows) in se lahko uporablja za računalnike pred Windows XP.

Običajno pravilo, ki bi se večini organizacij zdelo takoj koristno, omogoča kopiranje vseh pooblaščenih datotek za namestitev aplikacij v skupno mapo podjetja. Nato z Upraviteljem privilegijev lahko ustvarite pravilo, ki za lažjo namestitev zažene kateri koli program, shranjen v mapi v skrbniškem kontekstu. Povišana dovoljenja lahko dobite samo med prvotno namestitvijo programa ali kadar koli, ko se ta izvaja. Če se postopek ne zažene, lahko sistem prikaže prilagojeno povezavo, ki odpre že izpolnjeno e-pošto z ustreznimi dejstvi do incidenta, ki jo končni uporabnik lahko pošlje na službo za pomoč uporabnikom.

Skupna skrb varnostnih analitikov s podobnimi programi za dvig je potencialno tveganje, da končni uporabnik zažene določen povišan postopek in nato povišani postopek uporabi za dodaten nepooblaščen in nenamerni dostop. Podjetje BeyondTrust si je močno prizadevalo, da bi povišani procesi ostali izolirani. Privzeto podrejeni procesi, zagnani v okviru povišanih nadrejenih procesov, ne podedujejo nadrejenega povišanega varnostnega konteksta (razen če skrbnik tega posebej izbere za to).

Moji omejeni testi pri pridobivanju povišanih ukaznih pozivov, ki temeljijo na desetih letih izkušenj s testiranjem penetracije, niso delovali. Preizkusil sem več kot ducat različnih vrst pravil in s pomočjo Microsoftovega pripomočka Process Explorer zapisal varnostni kontekst in privilegije. V vsakem primeru je bil pričakovan varnostni rezultat potrjen.

A predpostavimo, da je v omejenih primerih mogoče Privilege Manager uporabiti za nepooblaščeno stopnjevanje privilegij. V okoljih, ki bi jim ta izdelek posebej koristil, so verjetno vsi že prijavljeni kot skrbniki brez izdelka te vrste. Privilege Manager to tveganje zmanjšuje tako, da le redkim strokovnjakom omogoči dostop do skrbniškega dostopa.

Moj edini negativni komentar se nanaša na model oblikovanja cen. Najprej ga loči uporabnik ali računalnik, nato licenčni vsebnik, na koncu pa je cena sedeža na aktivni objekt v pokritem OU, ne glede na to, ali Privilege Manager vpliva na predmet ali ne. Poleg tega se število licenc dnevno preverja in posodablja. To je edina stvar, ki je v sicer neoporečnem izdelku preveč zapletena. (Cena se začne pri 30 USD na aktivni računalnik ali uporabniški objekt v licenciranem vsebniku in podkontejnerjih.)

Če želite najmočnejšo možno varnost, ne dovolite svojim uporabnikom, da so prijavljeni kot skrbnik ali da izvajajo povišane naloge (vključno z uporabo Privilege Manager). Vendar je Privilege Manager v mnogih okoljih dobra, hitra rešitev za zmanjšanje tveganj, povezanih z rednimi končnimi uporabniki, ki delujejo kot skrbniki.