BeyondTrust sprječava korisnike Windowsa da zloupotrebe privilegije

Previše organizacija još uvijek dopušta većini svojih krajnjih korisnika povremene administratorske povlastice u sustavu Windows. Ako pitate zašto se tabu-praksa nastavlja, administratori će odgovoriti da redovitim krajnjim korisnicima moraju omogućiti instaliranje softvera i uvođenje osnovnih promjena u konfiguraciji sustava. Ipak, upravo ti zadaci također stavljaju krajnje korisnike u rizik zbog zlonamjernog iskorištavanja.

[BeyondTrust Privilege Manager 3.0 odabran je za nagradu za tehnologiju godine. Pogledajte prezentaciju da biste vidjeli sve pobjednike u kategoriji sigurnosti. ]

Velika većina današnjih napada zlonamjernog softvera djeluje navođenjem krajnjeg korisnika na pokretanje nevaljale izvršne datoteke, putem privitaka datoteka, ugrađenih veza i drugih povezanih trikova društvenog inženjeringa. Iako privilegirani pristup nije uvijek potreban da bi se postiglo nevaljalo ponašanje, to znatno olakšava posao, a velika većina zlonamjernog softvera napisana je da to zahtijeva.

Vista donosi neke nove sigurnosne alate, ponajprije UAC (User Access Control), ali čak i uz tu značajku krajnji korisnici trebaju privilegirane vjerodajnice za izvršavanje administrativnih zadataka poput instaliranja softvera, promjene konfiguracije sustava i slično. A što učiniti s prethodnim verzijama sustava Windows?

Uđite u BeyondTrust'sPrivilege Manager koji prevladava prazninu dopuštajući mnogim mrežnim administratorima da provode jače sigurnosne standarde najbolje prakse u sustavima Windows 2000, 2003 i XP. Softver omogućuje administratorima da definiraju razne povišene zadatke koje krajnji korisnici mogu izvoditi bez potrebe za povišenim vjerodajnicama. Također može smanjiti privilegije dane korisnicima, uključujući administratore, kada pokreću odabrane procese (Outlook, Internet Explorer), oponašajući funkcionalnost Vistinog UAC-a ili Zaštićenog načina Internet Explorera 7 (iako pomoću različitih mehanizama).

Privilege Manager radi kao proširenje pravila grupe (što je sjajno jer njime možete upravljati pomoću uobičajenih alata Active Directory) izvršavanjem unaprijed definiranih procesa s alternativnim sigurnosnim kontekstom, potpomognutu modulom jezgre, upravljačkim programom na strani klijenta. Proširenja za upravljački program i klijentsku stranu instaliraju se pomoću jednog MSI (Microsoft instalacijskog) paketa, koji se može instalirati ručno ili putem druge metode distribucije softvera.

Komponenta korisničkog načina presreće zahtjeve klijentskog procesa. Ako je postupak ili aplikacija prethodno definiran pravilom Privilege Manager pohranjenog u učinkovitom GPO-u (objekt politike grupe), sustav zamjenjuje uobičajeni sigurnosni pristupni token procesa ili aplikacije novim; alternativno, može dodati ili ukloniti iz tokena SID-ove (sigurnosne identifikatore) ili privilegije. Osim tih nekoliko promjena, Privilege Manager ne mijenja nijedan drugi postupak zaštite Windowsa. Po mom mišljenju, ovo je sjajan način manipuliranja sigurnošću, jer to znači da se administratori mogu osloniti na to da ostatak sustava Windows normalno funkcionira.

Umetak za pravilo grupe Privilege Manager mora biti instaliran na jednom ili više računala koja će se koristiti za uređivanje povezanih GPO-a. Klijentski i GPO softver za upravljanje dolaze u 32- i 64-bitnoj verziji.

Upute za instalaciju su jasne i točne, sa samo dovoljno snimaka zaslona. Instalacija je jednostavna i neproblematična, ali zahtijeva ponovno podizanje sustava (što je važno prilikom instalacije na poslužiteljima). Potrebni programski paket za instalaciju na strani klijenta pohranjuje se na instalacijskom računalu u zadanim mapama radi lakše distribucije.

Nakon instalacije, administratori će pronaći dva nova OU-a (organizacijske jedinice) prilikom uređivanja GPO-a. Jedna se naziva Computer Security (Sigurnost računala) ispod lista Computer Configuration; drugi se naziva Korisnička sigurnost pod čvorom Konfiguracija korisnika.

Administratori kreiraju nova pravila na temelju staze, hasha ili mjesta mape programa. Također možete ukazati na određene MSI staze ili mape, odrediti određenu ActiveX kontrolu (URL-om, imenom ili SID-om klase), odabrati određeni aplet upravljačke ploče ili čak odrediti određeni pokrenut postupak. Dopuštenja i privilegije mogu se dodati ili ukloniti.

Svako se pravilo može dodatno filtrirati da bi se odnosilo samo na strojeve ili korisnike koji odgovaraju određenim kriterijima (naziv računala, RAM, prostor na disku, vremenski raspon, OS, jezik, podudaranje datoteke itd.). Ovo je filtriranje dodatak uobičajenom WMI (Windows Management Interface) filtriranju GPO-ova Active Directory i može se primijeniti na računala prije Windows XP-a.

Uobičajeno pravilo, koje bi većina organizacija smatrala odmah korisnim, daje mogućnost kopiranja svih autoriziranih datoteka za instalaciju aplikacija u zajedničku, zajedničku mapu tvrtke. Zatim pomoću Privilege Manager možete stvoriti pravilo koje pokreće bilo koji program pohranjen u mapi u administratorskom kontekstu radi jednostavnih instalacija. Povišena dopuštenja mogu se dati samo tijekom početne instalacije programa ili u bilo kojem trenutku kada se izvršava. Ako se proces ne uspije pokrenuti, sustav može prikazati prilagođenu vezu koja otvara već popunjeni e-mail koji sadrži relevantne činjenice o incidentu, a koji krajnji korisnik može poslati na službu za pomoć.

Uobičajena zabrinutost sigurnosnih analitičara sa sličnim programima nadmorske visine je potencijalni rizik da krajnji korisnik pokrene definirani povišeni postupak, a zatim koristi povišeni postupak za dobivanje dodatnih neovlaštenih i nenamjernih pristupa. BeyondTrust je uložio znatan napor kako bi osigurao da povišeni procesi ostanu izolirani. Podrazumijevano, podređeni procesi započeti u kontekstu povišenih nadređenih procesa ne nasljeđuju nadređeni povišeni sigurnosni kontekst (osim ako ih administrator posebno konfigurira za to).

Moji ograničeni testovi za stjecanje povišenih zapovjednih uputa, izvučeni iz 10 godina iskustva s probojnim testiranjem, nisu uspjeli. Testirao sam više od desetak različitih vrsta pravila i snimio rezultirajući sigurnosni kontekst i privilegije koristeći Microsoftov uslužni program Process Explorer. U svakom su slučaju potvrđeni očekivani sigurnosni rezultati.

Ali pretpostavimo da postoje ograničeni slučajevi u kojima se Privilege Manager može koristiti za neovlašteno eskaliranje privilegija. U okruženjima koja bi posebno imala koristi od ovog proizvoda, svi su vjerojatno već prijavljeni kao administratori bez proizvoda ove vrste. Privilege Manager smanjuje taj rizik dopuštajući samo vrlo vještim nekolicini prilika da dobiju administratorski pristup.

Moj jedini negativni komentar odnosi se na model određivanja cijena. Prvo se odvaja od korisnika ili računala, zatim od licenciranog spremnika, a na kraju cijene sjedala odnose se na aktivni objekt u pokrivenoj jedinici, bez obzira na to utječe li Privilege Manager na objekt. Uz to se svakodnevno provjerava i ažurira broj licenci. To je jedina stvar koja je pretjerano komplicirana u inače neokaljanom proizvodu. (Cijena počinje od 30 USD po aktivnom računalu ili korisničkom objektu u licenciranom spremniku i potkontejnerima.)

Ako želite najjaču moguću sigurnost, nemojte dopustiti da vaši korisnici budu prijavljeni kao Administrator ili da izvršavaju povišene zadatke (uključujući upotrebu Privilege Manager). Međutim, za mnoga okruženja Privilege Manager je čvrsto, brzo rješenje za smanjenje rizika povezanih sa redovnim krajnjim korisnicima koji djeluju kao administratori.

Kartica rezultata Postavljanje (10,0%) Korisnička kontrola pristupa (40,0%) Vrijednost (8,0%) Skalabilnost (20,0%) Menadžment (20,0%) Ukupna ocjena (100%)
BeyondTrust Privilege Manager 3.0 9,0 9,0 10,0 10,0 10,0 9.3