BeyondTrust mengelakkan pengguna Windows menyalahgunakan hak istimewa

Terlalu banyak organisasi masih membenarkan sebahagian besar hak istimewa pentadbiran pengguna akhir mereka di Windows. Sekiranya anda bertanya mengapa amalan pantang larang itu berterusan, pentadbir akan bertindak balas bahawa mereka mesti membenarkan pengguna akhir memasang perisian dan membuat perubahan konfigurasi sistem asas. Tetapi tugas-tugas ini juga meletakkan pengguna akhir berisiko untuk dieksploitasi jahat.

[BeyondTrust Privilege Manager 3.0 dipilih untuk anugerah Teknologi of the Year. Lihat tayangan slaid untuk melihat semua pemenang dalam kategori keselamatan. ]

Sebilangan besar serangan malware hari ini berfungsi dengan mendorong pengguna akhir untuk menjalankan penyangak yang boleh dilaksanakan, melalui lampiran fail, pautan tertanam, dan trik kejuruteraan sosial yang berkaitan. Walaupun akses istimewa tidak selalu diperlukan untuk mencapai tingkah laku jahat, ini menjadikan pekerjaan lebih mudah, dan sebahagian besar perisian hasad ditulis untuk memerlukannya.

Vista membawa beberapa alat keselamatan baru ke meja, terutamanya UAC (Kawalan Akses Pengguna), tetapi walaupun dengan ciri itu, pengguna akhir memerlukan kelayakan istimewa untuk menyelesaikan tugas pentadbiran seperti memasang perisian, mengubah konfigurasi sistem, dan sejenisnya. Dan apa yang perlu dilakukan mengenai versi Windows sebelumnya?

Masukkan BeyondTrust'sPrivilege Manager, yang merapatkan jurang dengan membiarkan banyak pentadbir rangkaian melaksanakan standard keselamatan amalan terbaik yang lebih kuat di Windows 2000, 2003, dan XP. Perisian ini membolehkan pentadbir menentukan pelbagai tugas tinggi yang dapat dilakukan oleh pengguna akhir tanpa memerlukan kelayakan tinggi. Ini juga dapat mengurangkan hak istimewa yang diberikan kepada pengguna, termasuk pentadbir, ketika mereka menjalankan proses yang dipilih (Outlook, Internet Explorer), meniru fungsi UAC Vista atau Mode Perlindungan Internet Explorer 7 (walaupun menggunakan mekanisme yang berbeza).

Privilege Manager berfungsi sebagai pelanjutan dasar kumpulan (yang bagus kerana anda dapat menguruskannya dengan alat Direktori Aktif biasa anda) dengan menjalankan proses yang telah ditentukan dengan konteks keselamatan alternatif, dibantu oleh mod kernel, pemacu sisi klien. Sambungan pemandu dan pelanggan dipasang dengan menggunakan satu paket MSI (pemasang Microsoft), yang boleh dipasang secara manual atau melalui kaedah pengedaran perisian yang lain.

Komponen mod pengguna memintas permintaan proses pelanggan. Sekiranya proses atau aplikasi sebelumnya ditentukan oleh peraturan Privilege Manager yang disimpan dalam GPO yang berkesan (Objek Polisi Kumpulan), sistem akan menggantikan proses atau token akses keselamatan normal aplikasi dengan yang baru; sebagai alternatif, ia boleh menambah atau membuang dari SID token (pengecam keselamatan) atau hak istimewa. Di luar beberapa perubahan itu, Privilege Manager tidak mengubah proses keselamatan Window yang lain. Pada pendapat saya, ini adalah kaedah cemerlang untuk memanipulasi keselamatan kerana ini bermaksud pentadbir boleh bergantung pada Windows yang lain untuk berfungsi dengan normal.

Snap-in dasar kumpulan Privilege Manager mesti dipasang pada satu atau lebih komputer yang akan digunakan untuk mengedit GPO yang berkaitan. Perisian pengurusan pelanggan dan GPO terdapat dalam versi 32- dan 64-bit.

Arahan pemasangan jelas dan tepat, dengan tangkapan skrin yang cukup. Pemasangan adalah mudah dan tidak bermasalah tetapi memerlukan reboot (yang menjadi pertimbangan semasa memasang pada pelayan). Pakej perisian pemasangan sisi pelanggan yang diperlukan disimpan pada komputer pemasangan dalam folder lalai untuk membantu pengedaran.

Selepas pemasangan, pentadbir akan menemui dua OU baru (unit organisasi) semasa mengedit GPO. Satu dipanggil Keselamatan Komputer di bawah daun Konfigurasi Komputer; yang lain dipanggil Keselamatan Pengguna di bawah nod Konfigurasi Pengguna.

Pentadbir membuat peraturan baru berdasarkan lokasi, hash, atau lokasi folder program. Anda juga boleh menunjukkan jalur atau folder MSI tertentu, menetapkan kawalan ActiveX tertentu (mengikut URL, nama, atau kelas SID), memilih applet panel kawalan tertentu, atau menetapkan proses berjalan tertentu. Kebenaran dan hak istimewa dapat ditambahkan atau dihapus.

Setiap peraturan juga dapat disaring untuk diterapkan hanya pada mesin atau pengguna yang sesuai dengan kriteria tertentu (nama komputer, RAM, ruang disk, rentang waktu, OS, bahasa, padanan file, dll.). Penyaringan ini adalah tambahan dari penyaringan WMI (Windows Management Interface) biasa dari GPO Direktori Aktif, dan dapat diterapkan pada komputer pra-Windows XP.

Satu peraturan umum, satu organisasi akan berguna, memberikan kemampuan untuk menyalin semua fail pemasangan aplikasi yang dibenarkan ke folder syarikat bersama yang biasa. Kemudian dengan menggunakan Privilege Manager, anda boleh membuat peraturan yang menjalankan program yang disimpan dalam folder dalam konteks Pentadbir agar mudah dipasang. Kebenaran yang lebih tinggi hanya dapat diberikan semasa pemasangan awal program atau bila-bila masa ia dilaksanakan. Sekiranya proses gagal dijalankan, sistem dapat menunjukkan pautan khusus yang membuka e-mel yang sudah diisi yang berisi fakta-fakta yang relevan dengan kejadian tersebut, yang dapat dihantar oleh pengguna akhir ke meja bantuan.

Kebimbangan umum di kalangan penganalisis keselamatan dengan program peningkatan yang serupa adalah risiko yang berpotensi bagi pengguna akhir untuk memulakan proses peningkatan yang ditentukan dan kemudian menggunakan proses peningkatan untuk mendapatkan akses tambahan yang tidak dibenarkan dan tidak diinginkan. BeyondTrust telah melakukan banyak usaha untuk memastikan proses peningkatan tetap terpencil. Secara lalai, proses anak yang dimulakan dalam konteks proses ibu bapa meningkat tidak mewarisi konteks keselamatan ibu bapa yang meningkat (melainkan dikonfigurasi secara khusus untuk melakukannya oleh pentadbir).

Ujian terhad saya untuk mendapatkan arahan arahan yang tinggi, diambil dari pengalaman ujian penembusan selama 10 tahun, tidak berjaya. Saya menguji lebih dari selusin jenis peraturan yang berbeza dan mencatatkan konteks keselamatan dan keistimewaan yang dihasilkan menggunakan utiliti Process Explorer Microsoft. Dalam setiap keadaan, hasil keselamatan yang dijangkakan telah disahkan.

Tetapi anggaplah bahawa terdapat keadaan terhad di mana Pengurus Privilege dapat digunakan untuk peningkatan hak istimewa tanpa izin. Dalam persekitaran yang secara khusus akan mendapat keuntungan dari produk ini, semua orang mungkin sudah log masuk sebagai pentadbir tanpa produk jenis ini. Privilege Manager mengurangkan risiko itu dengan hanya memberi peluang kepada beberapa orang yang mahir untuk mendapatkan akses pentadbir.

Satu-satunya komen negatif saya berlaku untuk model harga. Mula-mula dipisahkan oleh pengguna atau komputer, kemudian oleh kontena berlesen, dan akhirnya harga tempat duduk adalah setiap objek aktif dalam OU yang dilindungi, sama ada objek tersebut dipengaruhi oleh Pengurus Privilege atau tidak. Plus jumlah lesen diperiksa dan dikemas kini setiap hari. Ini satu-satunya perkara yang terlalu rumit dalam produk yang tidak bercacat. (Harga bermula dari $ 30 per komputer aktif atau objek pengguna dalam kontena dan sub-kontena berlesen.)

Sekiranya anda mahukan keamanan sekuat mungkin, jangan biarkan pengguna anda log masuk sebagai Pentadbir atau menjalankan tugas yang tinggi (termasuk menggunakan Privilege Manager). Namun, bagi banyak persekitaran, Privilege Manager adalah penyelesaian pantas dan pantas untuk mengurangkan risiko yang berkaitan dengan pengguna akhir biasa yang bertindak sebagai pentadbir.

Kad Markah Persediaan (10.0%) Kawalan akses pengguna (40.0%) Nilai (8.0%) Skalabiliti (20.0%) Pengurusan (20.0%) Skor Keseluruhan (100%)
Pengurus Privasi BeyondTrust 3.0 9.0 9.0 10.0 10.0 10.0 9.3