Liian monet organisaatiot antavat edelleen suurimmalle osalle loppukäyttäjiensä kokopäiväisiä järjestelmänvalvontaoikeuksia Windowsissa. Jos kysyt, miksi tabukäytäntö jatkuu, järjestelmänvalvojat vastaavat, että heidän on sallittava säännöllisten loppukäyttäjien asentaa ohjelmistoja ja tehdä järjestelmän perusasetuksia. Nämäkin tehtävät kuitenkin asettavat loppukäyttäjät vaaraan pahantahtoisesta hyväksikäytöstä.
[BeyondTrustPrivilege Manager 3.0 valittiin vuoden teknologiapalkinnolle. Katso diaesitys nähdäksesi kaikki turvakategorian voittajat. ]
Suurin osa nykyisistä haittaohjelmahyökkäyksistä saa loppukäyttäjän suorittamaan roistovaltiotiedoston tiedostotiedostojen, sulautettujen linkkien ja muiden siihen liittyvien sosiaalisen suunnittelun temppujen kautta. Vaikka etuoikeutettua pääsyä ei aina tarvita roistokäyttäytymisen aikaansaamiseksi, se helpottaa työtä huomattavasti, ja valtaosa haittaohjelmista on kirjoitettu vaatimaan sitä.
Vista tuo pöydälle joitain uusia tietoturvatyökaluja, etenkin UAC (User Access Control), mutta jo tämän ominaisuuden myötä loppukäyttäjät tarvitsevat etuoikeutettuja kirjautumistietoja hallinnollisten tehtävien suorittamiseen, kuten ohjelmistojen asentamiseen, järjestelmän kokoonpanon muuttamiseen ja vastaaviin. Ja mitä tehdä aiemmille Windows-versioille?
Anna BeyondTrust'sPrivilege Manager, joka korjaa aukon antamalla monille verkonvalvojille mahdollisuuden noudattaa vahvempia parhaiden käytäntöjen suojausstandardeja kaikissa Windows 2000-, 2003- ja XP-käyttöjärjestelmissä. Ohjelmiston avulla järjestelmänvalvojat voivat määritellä erilaisia kohotettuja tehtäviä, joita loppukäyttäjät voivat suorittaa tarvitsematta korkeita tunnistetietoja. Se voi myös vähentää käyttäjille, myös järjestelmänvalvojille, myönnettyjä oikeuksia, kun he suorittavat valittuja prosesseja (Outlook, Internet Explorer), matkimalla Vistan UAC: n tai Internet Explorer 7: n suojatun tilan toiminnallisuudesta (vaikkakin käyttämällä eri mekanismeja).
Privilege Manager toimii ryhmäkäytäntölaajennuksena (mikä on hienoa, koska voit hallita sitä tavallisilla Active Directory -työkaluilla) suorittamalla ennalta määriteltyjä prosesseja vaihtoehtoisella suojauskontekstilla, jota tukee ydintila, asiakaspuolen ohjain. Ohjaimen ja asiakaspuolen laajennukset asennetaan yhdellä MSI (Microsoft Installer) -paketilla, joka voidaan asentaa manuaalisesti tai muulla ohjelmistojakelumenetelmällä.
Käyttäjätilan komponentti sieppaa asiakasprosessipyynnöt. Jos prosessi tai sovellus on aiemmin määritelty tehokkaaseen ryhmäkäytäntöobjektiin (ryhmäkäytäntöobjektiin) tallennetulla Privilege Manager -säännöllä, järjestelmä korvaa prosessin tai sovelluksen normaalin suojausoikeustunnuksen uudella; Vaihtoehtoisesti se voi lisätä tai poistaa tunnuksen SID-tunnuksia (suojaustunnisteita) tai käyttöoikeuksia. Näiden muutosten lisäksi Privilege Manager ei muokkaa mitään muuta Windowsin suojausprosessia. Mielestäni tämä on loistava tapa manipuloida tietoturvaa, koska se tarkoittaa, että järjestelmänvalvojat voivat luottaa siihen, että muu Windows toimii normaalisti.
Privilege Manager -ryhmäkäytännön laajennus on asennettava yhteen tai useampaan tietokoneeseen, joita käytetään vastaavien GPO: iden muokkaamiseen. Asiakaspuolen ja GPO-hallintaohjelmistot ovat sekä 32- että 64-bittisiä.
Asennusohjeet ovat selkeät ja tarkat, ja niissä on vain tarpeeksi kuvakaappauksia. Asennus on yksinkertaista ja ongelmatonta, mutta vaatii uudelleenkäynnistyksen (mikä on huomioitava asennettaessa palvelimille). Vaadittu asiakaspuolen asennusohjelmistopaketti tallennetaan asennustietokoneelle oletuskansioihin jakelun helpottamiseksi.
Asennuksen jälkeen järjestelmänvalvojat löytävät kaksi uutta organisaatioyksikköä (organisaatioyksikköä) muokkaamalla GPO: ta. Yksi on nimeltään Tietoturva Tietokoneen kokoonpano -lehdessä; toista kutsutaan User Security -kohdassa User Security.
Järjestelmänvalvojat luovat uudet säännöt ohjelman polun, tiivisteen tai kansion sijainnin perusteella. Voit myös osoittaa tiettyihin MSI-polkuihin tai kansioihin, nimetä tietyn ActiveX-komponentin (URL: n, nimen tai luokan SID: n mukaan), valita tietyn ohjauspaneelin sovelman tai jopa nimetä tietyn käynnissä olevan prosessin. Käyttöoikeuksia ja etuoikeuksia voidaan lisätä tai poistaa.
Jokainen sääntö voidaan lisäksi suodattaa koskemaan vain koneita tai käyttäjiä, jotka sopivat tiettyihin kriteereihin (tietokoneen nimi, RAM, levytila, aika-alue, käyttöjärjestelmä, kieli, tiedostojen vastaavuus jne.). Tämä suodatus täydentää Active Directory -näytönohjainten normaalia WMI (Windows Management Interface) -suodatusta, ja sitä voidaan soveltaa Windows XP -tietokoneisiin.
Yleinen sääntö, josta useimmat organisaatiot pitävät heti hyödyllisiä, antaa mahdollisuuden kopioida kaikki valtuutetut sovellusasennustiedostot jaettuun, yhteiseen yrityskansioon. Sitten voit käyttää Privilege Manager -sovellusta luomalla säännön, joka suorittaa minkä tahansa kansioon tallennetun ohjelman järjestelmänvalvojan kontekstissa asennuksen helpottamiseksi. Korotetut käyttöoikeudet voidaan antaa vain ohjelman ensimmäisen asennuksen aikana tai milloin tahansa. Jos prosessi ei onnistu, järjestelmä voi näyttää räätälöidyn linkin, joka avaa jo täytetyn sähköpostin, joka sisältää tapahtumaan liittyviä tosiseikkoja ja jonka loppukäyttäjä voi lähettää tukipalvelulle.
Samankaltaisia korkeusohjelmia käyttävien turvallisuusanalyytikkojen yhteinen huolenaihe on mahdollinen riski, että loppukäyttäjä voi aloittaa määritellyn korotetun prosessin ja käyttää sitten korotettua prosessia saadakseen ylimääräisen luvattoman ja tahattoman pääsyn. BeyondTrust on käyttänyt huomattavia ponnisteluja varmistaakseen, että korkeat prosessit pysyvät eristettyinä. Oletusarvon mukaan korotettujen vanhempien prosessien yhteydessä aloitetut aliprosessit eivät peri vanhemman korotettua suojauskontekstia (ellei järjestelmänvalvoja ole nimenomaan määrittänyt niin tekemään).
Rajoitetut testini korkeiden komentokehotusten saamiseksi, jotka on otettu 10 vuoden tunkeutumistestauskokemuksesta, eivät toimineet. Testasin yli tusina erilaista sääntöä ja tallennin tuloksena olevan suojauskontekstin ja käyttöoikeudet Microsoftin Process Explorer -apuohjelman avulla. Odotettu tietoturvatulos vahvistettiin joka tapauksessa.
Oletetaan kuitenkin, että on olemassa rajoitettuja tapauksia, joissa Privilege Manageria voidaan käyttää luvattomaan käyttöoikeuksien laajentamiseen. Ympäristöissä, jotka hyötyvät erityisesti tästä tuotteesta, kaikki ovat todennäköisesti jo kirjautuneet järjestelmänvalvojiksi ilman tämäntyyppistä tuotetta. Privilege Manager vähentää tätä riskiä antamalla vain ammattitaitoisille harvoille mahdollisuuden saada järjestelmänvalvojan käyttöoikeudet.
Ainoa kielteinen kommenttini koskee hinnoittelumallia. Ensin se erotetaan käyttäjän tai tietokoneen, sitten lisensoidun säilön avulla, ja lopuksi istuimen hinnoittelu on aktiivisen objektin mukaan katetulla OU: lla riippumatta siitä, vaikuttaako Privilege Manager objektiin. Lisäksi lisenssimäärä tarkistetaan ja päivitetään päivittäin. Se on ainoa asia, joka on liian monimutkainen muuten virheettömässä tuotteessa. (Hinnoittelu alkaa 30 dollaria per aktiivinen tietokone tai käyttäjäobjekti lisensoidussa säilössä ja alisäiliöissä.)
Jos haluat parhaan mahdollisen tietoturvan, älä salli käyttäjien kirjautua sisään järjestelmänvalvojana tai suorittaa korkeita tehtäviä (mukaan lukien Privilege Managerin käyttö). Monissa ympäristöissä Privilege Manager on kuitenkin vankka, nopea ratkaisu järjestelmänvalvojina toimiviin säännöllisiin loppukäyttäjiin liittyvien riskien vähentämiseen.
| Tuloskortti | Perustaa (10.0%) | Käyttäjän pääsyn hallinta (40.0%) | Arvo (8.0%) | Skaalautuvuus (20.0%) | Johto (20.0%) | Kokonaispistemäärä (100%) |
|---|---|---|---|---|---|---|
| BeyondTrust Privilege Manager 3.0 | 9.0 | 9.0 | 10.0 | 10.0 | 10.0 | 9.3 |
