Programovanie

BeyondTrust bráni používateľom systému Windows v zneužívaní privilégií

Príliš veľa organizácií stále povoľuje väčšine svojich koncových používateľov oprávnenie na plný úväzok v systéme Windows. Ak sa pýtate, prečo tabuizovaná prax pokračuje, správcovia odpovedia, že musia umožniť pravidelným koncovým používateľom inštaláciu softvéru a vykonávanie základných zmien konfigurácie systému. Práve tieto úlohy však tiež vystavujú koncových používateľov riziku škodlivého zneužitia.

[BeyondTrustPrivilege Manager 3.0 bol vybraný za cenu Technológia roka. V prezentácii nájdete všetkých víťazov v kategórii zabezpečenia. ]

Prevažná väčšina dnešných útokov škodlivého softvéru funguje tak, že koncového používateľa núti spustiť nečestný spustiteľný súbor prostredníctvom príloh súborov, vložených odkazov a ďalších súvisiacich trikov sociálneho inžinierstva. Aj keď privilegovaný prístup nie je vždy potrebný na dosiahnutie nečestného správania, výrazne uľahčuje prácu a veľká väčšina škodlivého softvéru je napísaná tak, aby si to vyžadovala.

Systém Vista prináša do tabuľky niekoľko nových bezpečnostných nástrojov, predovšetkým UAC (User Access Control), ale aj pri tejto funkcii potrebujú koncoví používatelia privilegované poverenia na vykonávanie administratívnych úloh, ako je inštalácia softvéru, zmena konfigurácie systému a podobne. A čo robiť s predchádzajúcimi verziami systému Windows?

Zadajte BeyondTrust'sPrivilege Manager, ktorý prekonáva priepasti tým, že umožňuje mnohým správcom sietí presadzovať prísnejšie štandardy zabezpečenia najlepších postupov v systémoch Windows 2000, 2003 a XP. Tento softvér umožňuje správcom definovať rôzne zvýšené úlohy, ktoré môžu koncoví používatelia vykonávať bez potreby zvýšených oprávnení. Môže tiež znížiť oprávnenie udelené používateľom vrátane správcov pri spustení vybraných procesov (Outlook, Internet Explorer), čím napodobňuje funkčnosť UAC systému Vista alebo chráneného režimu prehľadávača Internet Explorer 7 (aj keď s použitím rôznych mechanizmov).

Správca Privilege funguje ako rozšírenie skupinovej politiky (čo je skvelé, pretože ho môžete spravovať pomocou bežných nástrojov služby Active Directory) vykonávaním preddefinovaných procesov s alternatívnym kontextom zabezpečenia, ktorým pomáha ovládač na strane klienta v režime jadra. Ovládač a rozšírenia na strane klienta sa inštalujú pomocou jediného balíka MSI (Microsoft installer), ktorý je možné nainštalovať manuálne alebo iným spôsobom distribúcie softvéru.

Komponent užívateľského režimu zachytáva požiadavky procesov klienta. Ak je proces alebo aplikácia predtým definovaný pravidlom Privilege Manager uloženým v účinnom objekte GPO (Group Policy Object), systém nahradí bežný bezpečnostný prístupový token procesu alebo aplikácie novým; alternatívne môže pridať alebo odobrať z tokenu SID (bezpečnostné identifikátory) alebo privilégiá. Okrem týchto niekoľkých zmien program Privilege Manager nezmení žiadny ďalší proces zabezpečenia systému Windows. Podľa môjho názoru je to vynikajúci spôsob manipulácie so zabezpečením, pretože to znamená, že správcovia sa môžu spoľahnúť na to, že zvyšok systému Windows bude fungovať normálne.

Modul politiky skupiny Privilege Manager musí byť nainštalovaný na jednom alebo viacerých počítačoch, ktoré sa použijú na úpravu súvisiacich GPO. Softvér na správu na strane klienta a GPO sa dodáva v 32- aj 64-bitovej verzii.

Pokyny na inštaláciu sú jasné a presné a obsahujú iba dostatok snímok obrazovky. Inštalácia je jednoduchá a bezproblémová, vyžaduje však reštart (čo je potrebné brať do úvahy pri inštalácii na servery). Požadovaný softvérový balík na strane klienta je uložený v inštalačnom počítači v predvolených priečinkoch, ktoré uľahčujú distribúciu.

Po inštalácii nájdu správcovia pri úprave objektu zásad skupiny dva nové organizačné jednotky (organizačné jednotky). Jeden sa nazýva Počítačová bezpečnosť pod listom Konfigurácia počítača; druhá sa v uzle Konfigurácia používateľa nazýva Zabezpečenie používateľa.

Správcovia vytvárajú nové pravidlá na základe cesty, hašovania alebo umiestnenia priečinka programu. Môžete tiež ukázať na konkrétne cesty alebo priečinky MSI, určiť konkrétny ovládací prvok ActiveX (podľa adresy URL, názvu alebo identifikátora SID triedy), vybrať konkrétny applet ovládacieho panela alebo dokonca určiť konkrétny spustený proces. Povolenia a privilégiá je možné pridať alebo odobrať.

Každé pravidlo je možné dodatočne filtrovať tak, aby sa vzťahovalo iba na počítače alebo používateľov, ktorí vyhovujú určitým kritériám (názov počítača, RAM, miesto na disku, časový rozsah, OS, jazyk, zhoda súborov atď.). Toto filtrovanie je doplnkom bežného filtrovania WMI (Windows Management Interface) GPO služby Active Directory a je možné ho použiť v počítačoch starších ako Windows XP.

Bežné pravidlo, ktoré by väčšina organizácií považovala za okamžite užitočné, poskytuje možnosť kopírovať všetky oprávnené súbory na inštaláciu aplikácií do zdieľaného spoločného podnikového priečinka. Potom pomocou Správcu privilégií môžete vytvoriť pravidlo, ktoré pre ľahkú inštaláciu spustí akýkoľvek program uložený v priečinku v kontexte správcu. Zvýšené povolenia je možné udeliť iba počas úvodnej inštalácie programu alebo kedykoľvek, keď je spustený. Ak sa proces nepodarí spustiť, systém môže predstaviť prispôsobený odkaz, ktorý otvorí už vyplnený e-mail obsahujúci príslušné fakty týkajúce sa incidentu, ktorý môže koncový používateľ poslať na technickú podporu.

Spoločným záujmom bezpečnostných analytikov s podobnými programami zvýšenia je potenciálne riziko pre koncového používateľa spustiť definovaný zvýšený proces a potom použiť zvýšený proces na získanie ďalšieho neoprávneného a neúmyselného prístupu. Spoločnosť BeyondTrust vynaložila značné úsilie na zabezpečenie toho, aby zvýšené procesy zostali izolované. V predvolenom nastavení podradené procesy spustené v kontexte zvýšených nadradených procesov nededia nadradený kontext zvýšeného zabezpečenia (pokiaľ to nie je výslovne nakonfigurované správcom).

Moje obmedzené testy pri získavaní zvýšených príkazových riadkov, čerpané z 10 rokov skúseností s testovaním prieniku, nefungovali. Testoval som viac ako tucet rôznych typov pravidiel a výsledný bezpečnostný kontext a oprávnenia som zaznamenal pomocou obslužného programu Microsoft Process Explorer. V každom prípade sa potvrdil očakávaný bezpečnostný výsledok.

Predpokladajme však, že existujú obmedzené prípady, v ktorých je možné správcu Privilege použiť na neoprávnené stupňovanie privilégií. V prostrediach, ktoré by konkrétne profitovali z tohto produktu, sú všetci pravdepodobne už prihlásení ako správcovia bez produktu tohto typu. Správca privilégií znižuje toto riziko tým, že dáva šancu správcovi získať iba málo kvalifikovaným osobám.

Moja jediná negatívna poznámka sa týka cenového modelu. Najskôr je oddelené používateľom alebo počítačom, potom licencovaným kontajnerom a nakoniec je cena sedadla platná za aktívny objekt v krytej organizačnej jednotke, bez ohľadu na to, či je objekt ovplyvnený správcom Privilege. Počet licencií sa navyše denne kontroluje a aktualizuje. Je to jediná vec, ktorá je v inak nepoškodenom produkte príliš komplikovaná. (Cena sa začína na 30 USD za aktívny počítač alebo objekt používateľa v licencovanom kontajneri a čiastkových kontajneroch.)

Ak chcete čo najsilnejšie zabezpečenie, nedovoľte svojim používateľom, aby boli prihlásení ako správcovia, ani aby nespúšťali zvýšené úlohy (vrátane použitia nástroja Privilege Manager). Pre mnoho prostredí je však Privilege Manager solídnym a rýchlym riešením na zníženie rizík spojených s bežnými koncovými používateľmi pôsobiacimi ako správcovia.

Výsledková listina Nastaviť (10.0%) Kontrola prístupu používateľov (40.0%) Hodnota (8.0%) Škálovateľnosť (20.0%) Zvládanie (20.0%) Celkové skóre (100%)
BeyondTrust Privilege Manager 3.09.09.010.010.010.0 9.3
$config[zx-auto] not found$config[zx-overlay] not found