BeyondTrust brání uživatelům Windows ve zneužívání oprávnění

Příliš mnoho organizací stále povoluje většině svých koncových uživatelů oprávnění na plný úvazek v systému Windows. Pokud se zeptáte, proč tabuizovaná praxe pokračuje, administrátoři odpoví, že musí umožnit běžným koncovým uživatelům instalovat software a provádět základní změny konfigurace systému. Právě tyto úkoly však také vystavují koncové uživatele riziku škodlivého vykořisťování.

[BeyondTrustPrivilege Manager 3.0 byl vybrán pro ocenění Technologie roku. V prezentaci můžete zobrazit všechny vítěze v kategorii zabezpečení. ]

Drtivá většina dnešních malwarových útoků funguje tak, že přiměje koncového uživatele ke spuštění nečestného spustitelného souboru, prostřednictvím příloh souborů, vložených odkazů a dalších souvisejících triků sociálního inženýrství. Přestože privilegovaný přístup není vždy nutný k dosažení nepoctivého chování, výrazně usnadňuje práci a drtivá většina malwaru je napsána tak, aby to vyžadovala.

Vista přináší do tabulky několik nových bezpečnostních nástrojů, zejména UAC (User Access Control), ale i s touto funkcí potřebují koncoví uživatelé privilegovaná pověření k provádění administrativních úkolů, jako je instalace softwaru, změna konfigurace systému a podobně. A co dělat s předchozími verzemi Windows?

Vstupte do BeyondTrust'sPrivilege Manager, který překlenuje mezeru tím, že umožňuje mnoha správcům sítě prosazovat přísnější bezpečnostní standardy osvědčených postupů v systémech Windows 2000, 2003 a XP. Tento software umožňuje správcům definovat různé zvýšené úkoly, které mohou koncoví uživatelé provádět, aniž by potřebovali zvýšená pověření. Může také snížit oprávnění udělená uživatelům, včetně správců, když spouštějí vybrané procesy (Outlook, Internet Explorer), napodobující funkce UAC systému Vista nebo Chráněného režimu aplikace Internet Explorer 7 (i když s použitím různých mechanismů).

Správce Privilege funguje jako rozšíření zásad skupiny (což je skvělé, protože jej můžete spravovat pomocí běžných nástrojů služby Active Directory) spuštěním předdefinovaných procesů s alternativním kontextem zabezpečení za pomoci ovladače na straně klienta v režimu jádra. Ovladač a rozšíření na straně klienta se instalují pomocí jediného balíčku MSI (instalační program Microsoftu), který lze nainstalovat ručně nebo pomocí jiné metody distribuce softwaru.

Komponenta v uživatelském režimu zachycuje požadavky procesu klienta. Pokud je proces nebo aplikace dříve definován pravidlem Privilege Manager uloženým v účinném objektu zásad skupiny (Group Policy Object), systém nahradí běžný přístupový token procesu nebo aplikace novým tokenem; alternativně může přidat nebo odebrat z tokenu SID (bezpečnostní identifikátory) nebo oprávnění. Kromě těchto několika změn Privilege Manager nemění žádný jiný proces zabezpečení Windows. Podle mého názoru je to skvělý způsob manipulace se zabezpečením, protože to znamená, že se správci mohou spolehnout na to, že zbytek Windows bude fungovat normálně.

Modul snap-in Zásady skupiny Privilege Manager musí být nainstalován na jednom nebo více počítačích, které budou použity k úpravám souvisejících objektů zásad skupiny. Software pro správu na straně klienta a GPO se dodává v 32bitové i 64bitové verzi.

Pokyny k instalaci jsou jasné a přesné, s dostatečným počtem snímků obrazovky. Instalace je jednoduchá a bezproblémová, ale vyžaduje restart (což je při instalaci na serverech důležité). Požadovaný softwarový balíček pro instalaci na straně klienta je uložen v instalačním počítači ve výchozích složkách, aby se usnadnila distribuce.

Po instalaci najdou správci při úpravách GPO dva nové OU (organizační jednotky). Jeden se nazývá Zabezpečení počítače pod listem Konfigurace počítače; druhý se v uzlu Konfigurace uživatele nazývá Zabezpečení uživatele.

Správci vytvářejí nová pravidla na základě cesty programu, hodnoty hash nebo umístění složky. Můžete také ukázat na konkrétní cesty nebo složky MSI, určit konkrétní ovládací prvek ActiveX (podle adresy URL, názvu nebo SID třídy), vybrat konkrétní applet ovládacího panelu nebo dokonce určit konkrétní spuštěný proces. Oprávnění a oprávnění lze přidávat nebo odebírat.

Každé pravidlo lze dodatečně filtrovat, aby se vztahovalo pouze na počítače nebo uživatele, kteří splňují určitá kritéria (název počítače, RAM, místo na disku, časový rozsah, OS, jazyk, shoda souborů atd.). Toto filtrování doplňuje běžné filtrování WMI (Windows Management Interface) objektů Active Directory GPO a lze jej použít u počítačů před Windows XP.

Běžné pravidlo, které by většina organizací považovala za okamžitě užitečné, poskytuje možnost kopírovat všechny autorizované instalační soubory aplikace do sdílené společné složky společnosti. Poté pomocí Správce oprávnění můžete vytvořit pravidlo, které pro snadnou instalaci spustí libovolný program uložený ve složce v kontextu správce. Zvýšená oprávnění lze udělit pouze během počáteční instalace programu nebo kdykoli je spuštěn. Pokud se proces nespustí, může systém předložit přizpůsobený odkaz, který otevře již vyplněný e-mail obsahující relevantní fakta o incidentu, který může koncový uživatel zaslat technické podpoře.

Společným zájmem analytiků zabezpečení s podobnými programy pro zvýšení úrovně je potenciální riziko, že koncový uživatel zahájí definovaný zvýšený proces a poté použije zvýšený proces k získání dalšího neoprávněného a nezamýšleného přístupu. Společnost BeyondTrust vynaložila značné úsilí, aby zajistila, že zvýšené procesy zůstanou izolované. Ve výchozím nastavení podřízené procesy spuštěné v kontextu nadřazených nadřazených procesů nezdědí nadřazený kontext zvýšeného zabezpečení (pokud to správce výslovně nenakonfiguruje).

Moje omezené testy při získávání zvýšených příkazových příkazů, čerpané z 10 let zkušeností s penetračním testováním, nefungovaly. Testoval jsem více než tucet různých typů pravidel a zaznamenal výsledný kontext zabezpečení a oprávnění pomocí nástroje Microsoft Process Explorer. V každém případě byl očekávaný výsledek zabezpečení potvrzen.

Ale předpokládejme, že existují omezené instance, ve kterých lze Správce oprávnění použít k neoprávněné eskalaci oprávnění. V prostředích, která by konkrétně měla prospěch z tohoto produktu, je každý pravděpodobně již přihlášen jako správce bez produktu tohoto typu. Správce Privilege snižuje toto riziko tím, že dává šanci získat přístup administrátorovi jen několika málo zkušeným.

Můj jediný negativní komentář se týká cenového modelu. Nejprve je oddělena uživatelem nebo počítačem, poté licencovaným kontejnerem a nakonec je cena sedadel za aktivní objekt v kryté organizační jednotce, ať už je objekt ovlivněn či nikoli Privilege Managerem. Navíc je počet licencí denně kontrolován a aktualizován. Je to jediná věc, která je v jinak bezvadném produktu příliš komplikovaná. (Cena začíná na 30 $ za aktivní počítač nebo objekt uživatele v licencovaném kontejneru a dílčích kontejnerech.)

Pokud chcete co nejsilnější zabezpečení, nedovolte svým uživatelům být přihlášeni jako správce nebo spouštět zvýšené úlohy (včetně použití Správce oprávnění). V mnoha prostředích je však Privilege Manager solidní a rychlé řešení pro snížení rizik spojených s běžnými koncovými uživateli, kteří jednají jako správci.