Pārāk daudz organizāciju joprojām lielākai daļai savu tiešo lietotāju administrē Windows pilnas slodzes administrēšanas privilēģijas. Ja jūs jautājat, kāpēc turpinās tabu prakse, administratori atbildēs, ka viņiem ir jāatļauj parastajiem lietotājiem instalēt programmatūru un veikt pamata sistēmas konfigurācijas izmaiņas. Tomēr šie paši uzdevumi arī pakļauj galalietotājus ļaunprātīgas izmantošanas riskam.
[BeyondTrustPrivilege Manager 3.0 tika izvēlēts Gada balvai tehnoloģijā. Skatiet slaidrādi, lai apskatītu visus uzvarētājus drošības kategorijā. ]
Lielākā daļa mūsdienu ļaunprātīgās programmatūras uzbrukumu darbojas, mudinot galalietotāju palaist negodīgu izpildāmo failu, izmantojot failu pielikumus, iegultas saites un citus saistītus sociālās inženierijas trikus. Kaut arī negodīgas izturēšanās veikšanai ne vienmēr ir nepieciešama priviliģēta piekļuve, tas ievērojami atvieglo darbu, un lielākā daļa ļaunprogrammatūru ir uzrakstīti tā pieprasīšanai.
Vista piedāvā tabulā dažus jaunus drošības rīkus, īpaši UAC (User Access Control), taču pat ar šo funkciju lietotājiem ir nepieciešami priviliģēti akreditācijas dati, lai veiktu administratīvos uzdevumus, piemēram, programmatūras instalēšanu, sistēmas konfigurācijas mainīšanu un tamlīdzīgi. Un ko darīt ar iepriekšējām Windows versijām?
Ievadiet BeyondTrust privilēģiju pārvaldnieku, kas novērš plaisu, ļaujot daudziem tīkla administratoriem ieviest stingrākus paraugprakses drošības standartus visos Windows 2000, 2003 un XP. Programmatūra ļauj administratoriem noteikt dažādus paaugstinātus uzdevumus, kurus lietotāji var veikt, neprasot paaugstinātus akreditācijas datus. Tas var arī samazināt privilēģijas, kas lietotājiem, tostarp administratoriem, tiek piešķirtas, palaižot atlasītos procesus (Outlook, Internet Explorer), atdarinot Vista UAC vai Internet Explorer 7 aizsargātā režīma funkcionalitāti (kaut arī izmantojot dažādus mehānismus).
Privilege Manager darbojas kā grupas politikas paplašinājums (kas ir lieliski, jo to var pārvaldīt ar parastajiem Active Directory rīkiem), izpildot iepriekš definētus procesus ar alternatīvu drošības kontekstu, kam palīdz kodola režīma klienta puses draiveris. Draivera un klienta puses paplašinājumi tiek instalēti, izmantojot vienu MSI (Microsoft installer) pakotni, kuru var instalēt manuāli vai izmantojot citu programmatūras izplatīšanas metodi.
Lietotāja režīma komponents pārtver klienta procesa pieprasījumus. Ja procesu vai lietojumprogrammu iepriekš definēja Privilege Manager kārtula, kas saglabāta efektīvā GPO (grupas politikas objektā), sistēma procesa vai lietojumprogrammas parasto drošības piekļuves marķieri aizstāj ar jaunu; alternatīvi, tas var pievienot vai noņemt marķierim SID (drošības identifikatorus) vai privilēģijas. Papildus šīm dažām izmaiņām Privilege Manager nemaina nevienu citu Windows drošības procesu. Manuprāt, tas ir lielisks veids, kā manipulēt ar drošību, jo tas nozīmē, ka administratori var paļauties uz pārējo Windows normālu darbību.
Grupas Privilege Manager pievienojumprogramma ir jāinstalē vienā vai vairākos datoros, kas tiks izmantoti saistīto GPO rediģēšanai. Klienta puses un GPO pārvaldības programmatūra ir pieejama gan 32, gan 64 bitu versijās.
Instalēšanas instrukcijas ir skaidras un precīzas, ar pietiekami daudz ekrānuzņēmumu. Instalēšana ir vienkārša un bez problēmām, taču tai ir nepieciešama atsāknēšana (tas ir apsvērums, instalējot serveros). Nepieciešamā klienta puses instalēšanas programmatūras pakotne tiek saglabāta instalācijas datorā noklusējuma mapēs, lai veicinātu izplatīšanu.
Pēc instalēšanas administratori, rediģējot GPO, atradīs divus jaunus OU (organizatoriskās vienības). Vienu lapu Computer Configuration sauc par Computer Security; otru sauc par User Security zem User Configuration mezgla.
Administratori izveido jaunus noteikumus, pamatojoties uz programmas ceļu, jaucējkomandu vai mapes atrašanās vietu. Varat arī norādīt uz noteiktiem MSI ceļiem vai mapēm, noteikt konkrētu ActiveX vadīklu (pēc URL, nosaukuma vai klases SID), atlasīt noteiktu vadības paneļa sīklietotni vai pat noteikt konkrētu darbības procesu. Atļaujas un privilēģijas var pievienot vai noņemt.
Katru kārtulu var papildus filtrēt, lai tas attiektos tikai uz mašīnām vai lietotājiem, kas atbilst noteiktiem kritērijiem (datora nosaukums, RAM, diska vieta, laika diapazons, OS, valoda, failu atbilstība utt.). Šī filtrēšana tiek papildināta ar parasto Active Directory GPO filtrēšanu WMI (Windows pārvaldības saskarne), un to var izmantot pirms Windows XP datoriem.
Vispārējs noteikums, kuru lielākā daļa organizāciju varētu uzskatīt par noderīgu, nodrošina iespēju kopēt visus atļautos lietojumprogrammu instalēšanas failus koplietotā kopīgā uzņēmuma mapē. Pēc tam, izmantojot Privilege Manager, varat izveidot kārtulu, kas atvieglo instalēšanu, palaižot jebkuru mapē saglabāto programmu administratora kontekstā. Paaugstinātas atļaujas var piešķirt tikai programmas sākotnējās instalēšanas laikā vai jebkurā laikā, kad tā tiek izpildīta. Ja process neizdodas, sistēma var uzrādīt pielāgotu saiti, kas atver jau aizpildītu e-pastu ar attiecīgajiem incidenta faktiem, kurus galalietotājs var nosūtīt palīdzības dienestam.
Drošības analītiķu, kuriem ir līdzīgas pacēluma programmas, kopīgas bažas ir iespējamais risks, ka galalietotājs var sākt noteiktu paaugstinātu procesu un pēc tam izmantot paaugstinātu procesu, lai iegūtu papildu nesankcionētu un neparedzētu piekļuvi. BeyondTrust ir veltījis ievērojamas pūles, lai nodrošinātu, ka paaugstinātie procesi paliek izolēti. Pēc noklusējuma pakārtotajiem vecāku procesu kontekstā sāktie bērnu procesi nemanto vecāku paaugstinātu drošības kontekstu (ja vien administrators to nav īpaši konfigurējis).
Mani ierobežotie testi, lai iegūtu paaugstinātas komandas uzvednes, kas iegūti, izmantojot 10 gadu iespiešanās testēšanas pieredzi, nedarbojās. Es pārbaudīju vairāk nekā duci dažādu kārtulu veidu un reģistrēju iegūto drošības kontekstu un privilēģijas, izmantojot Microsoft Process Explorer utilītu. Katrā ziņā gaidāmais drošības rezultāts tika apstiprināts.
Bet pieņemsim, ka ir ierobežoti gadījumi, kad privilēģiju pārvaldnieku var izmantot neatļautai privilēģiju eskalācijai. Vidēs, kas īpaši gūtu labumu no šī produkta, visi, iespējams, jau ir pieteikušies kā administratori bez šāda veida produkta. Privilege Manager samazina šo risku, ļaujot administratoriem piekļūt tikai ļoti kvalificētiem cilvēkiem.
Mans vienīgais negatīvais komentārs attiecas uz cenu modeli. Vispirms to atdala lietotājs vai dators, pēc tam ar licencētu konteineru, un visbeidzot sēdvietu cenas ir noteiktas katram aktīvam objektam aptvertajā OU neatkarīgi no tā, vai objektu ietekmē Privilege Manager. Turklāt licenču skaits tiek pārbaudīts un atjaunināts katru dienu. Tas ir vienīgais, kas ir pārāk sarežģīts citādi nevainojamā izstrādājumā. (Cenas sākas no 30 USD par aktīvo datoru vai lietotāja objektu licencētajā konteinerā un apakškonteineros.)
Ja vēlaties pēc iespējas spēcīgāku drošību, neļaujiet lietotājiem pieteikties kā administratoram vai veikt paaugstinātus uzdevumus (tostarp izmantojot privilēģiju pārvaldnieku). Tomēr daudzās vidēs Privilege Manager ir drošs, ātrs risinājums, lai samazinātu riskus, kas saistīti ar parastajiem tiešajiem lietotājiem, kas darbojas kā administratori.
| Rezultātu karte | Uzstādīt (10.0%) | Lietotāju piekļuves kontrole (40.0%) | Vērtība (8.0%) | Mērogojamība (20.0%) | Vadība (20.0%) | Kopējais rādītājs (100%) |
|---|---|---|---|---|---|---|
| BeyondTrust privilēģiju pārvaldnieks 3.0 | 9.0 | 9.0 | 10.0 | 10.0 | 10.0 | 9.3 |
