BeyondTrust forhindrer Windows-brugere i at misbruge privilegier

For mange organisationer tillader stadig de fleste af deres slutbrugere fuldtidsadministrationsrettigheder i Windows. Hvis du spørger, hvorfor tabu-praksis fortsætter, vil administratorer svare, at de skal tillade almindelige slutbrugere at installere software og foretage grundlæggende systemkonfigurationsændringer. Alligevel sætter netop disse opgaver også slutbrugere i fare for ondsindet udnyttelse.

[BeyondTrustPrivilege Manager 3.0 blev valgt til prisen for årets teknologi. Se diasshowet for at se alle vinderne i sikkerhedskategorien. ]

Langt størstedelen af ​​nutidens malwareangreb virker ved at få slutbrugeren til at køre en slyngelagtig eksekverbar fil vedhæftet fil, indlejrede links og andre tilknyttede social engineering-tricks. Selvom privilegeret adgang ikke altid er nødvendig for at udføre skurkopførsel, gør det jobbet betydeligt lettere, og langt størstedelen af ​​malware er skrevet for at kræve det.

Vista bringer nogle nye sikkerhedsværktøjer til bordet, især UAC (User Access Control), men selv med den funktion har slutbrugere brug for privilegerede legitimationsoplysninger for at udføre administrative opgaver såsom installation af software, ændring af systemkonfiguration og lignende. Og hvad skal jeg gøre ved tidligere Windows-versioner?

Gå ind på BeyondTrust's Privilege Manager, som overbygger kløften ved at lade mange netværksadministratorer håndhæve stærkere sikkerhedsstandarder for bedste praksis på tværs af Windows 2000, 2003 og XP. Softwaren lader administratorer definere forskellige forhøjede opgaver, som slutbrugere kan udføre uden behov for forhøjede legitimationsoplysninger. Det kan også reducere de rettigheder, der gives til brugerne, inklusive administratorer, når de kører udvalgte processer (Outlook, Internet Explorer) og efterligner funktionaliteten i Vista's UAC eller Internet Explorer 7's beskyttede tilstand (omend ved hjælp af forskellige mekanismer).

Privilege Manager fungerer som en gruppepolitikudvidelse (hvilket er godt, fordi du kan administrere det med dine normale Active Directory-værktøjer) ved at udføre foruddefinerede processer med en alternativ sikkerhedskontekst, assisteret af en kerne-tilstand, driver på klientsiden. Driver- og klientsideudvidelser installeres ved hjælp af en enkelt MSI-pakke (Microsoft installationsprogram), som kan installeres manuelt eller via en anden softwarefordelingsmetode.

En komponent i brugertilstand aflytter anmodninger om klientprocesser. Hvis processen eller applikationen tidligere er defineret af en Privilege Manager-regel, der er gemt i en effektiv GPO (Group Policy Object), erstatter systemet processen eller applikationens normale sikkerhedsadgangstoken med en ny; alternativt kan det føje til eller fjerne fra tokenet SID'er (sikkerhedsidentifikatorer) eller privilegier. Ud over disse få ændringer ændrer Privilege Manager ikke nogen anden Window-sikkerhedsproces. Efter min mening er dette en glimrende måde at manipulere sikkerhed på, fordi det betyder, at administratorer kan stole på, at resten af ​​Windows fungerer normalt.

Privilege Manager-gruppepolitik-snapin-modulet skal installeres på en eller flere computere, der bruges til at redigere de relaterede GPO'er. Clientside- og GPO-styringssoftware kommer i både 32- og 64-bit versioner.

Installationsinstruktioner er klare og nøjagtige med lige nok skærmbilleder. Installation er enkel og uproblematisk, men kræver en genstart (hvilket er en overvejelse, når du installerer på servere). Den krævede klientside-installationssoftwarepakke er gemt på installationscomputeren i standardmapper for at hjælpe med distributionen.

Efter installationen finder administratorer to nye OU'er (organisationsenheder), når de redigerer en GPO. Den ene hedder Computersikkerhed under bladet Computer Configuration; den anden hedder Brugersikkerhed under brugerkonfigurationsnoden.

Administratorer opretter nye regler baseret på et programs sti, hash eller mappeplacering. Du kan også pege på specifikke MSI-stier eller -mapper, udpege en bestemt ActiveX-kontrol (efter URL, navn eller klasse SID), vælge en bestemt kontrolpanel-applet eller endda udpege en bestemt kørende proces. Tilladelser og privilegier kan tilføjes eller fjernes.

Hver regel kan derudover filtreres for kun at gælde maskiner eller brugere, der opfylder bestemte kriterier (computernavn, RAM, diskplads, tidsinterval, OS, sprog, filtilpasning osv.). Denne filtrering er ud over den normale WMI (Windows Management Interface) -filtrering af Active Directory GPO'er og kan anvendes på computere før Windows XP.

En almindelig regel, som de fleste organisationer umiddelbart finder nyttige, giver mulighed for at kopiere alle autoriserede applikationsinstallationsfiler til en delt, fælles virksomhedsmappe. Derefter kan du bruge Privilege Manager til at oprette en regel, der kører ethvert program, der er gemt i mappen i administratorkonteksten for nem installation. Forhøjede tilladelser kan kun gives under programmets første installation, eller når som helst det udføres. Hvis en proces ikke kører, kan systemet præsentere et tilpasset link, der åbner en allerede udfyldt e-mail med relevante fakta til hændelsen, som slutbrugeren kan sende til helpdesk.

En almindelig bekymring blandt sikkerhedsanalytikere med lignende elevationsprogrammer er den potentielle risiko for en slutbruger at starte en defineret forhøjet proces og derefter bruge den forhøjede proces til at få yderligere uautoriseret og utilsigtet adgang. BeyondTrust har brugt en stor indsats for at sikre, at forhøjede processer forbliver isolerede. Som standard arver underordnede processer startet i sammenhæng med forhøjede overordnede processer ikke forældrenes forhøjede sikkerhedskontekst (medmindre det er specifikt konfigureret til at gøre det af administratoren).

Mine begrænsede tests til at få forhøjede kommandoprompter, hentet fra 10 års erfaring med penetrationstest, fungerede ikke. Jeg testede mere end et dusin forskellige regeltyper og registrerede den resulterende sikkerhedskontekst og privilegier ved hjælp af Microsofts processtifinder. I hvert tilfælde blev det forventede sikkerhedsresultat bekræftet.

Men antag, at der er begrænsede tilfælde, hvor Privilege Manager kan bruges til uautoriseret optrapning af privilegier. I de miljøer, der specifikt ville have gavn af dette produkt, er alle sandsynligvis allerede logget ind som administrator uden et produkt af denne type. Privilege Manager mindsker denne risiko ved kun at give de meget dygtige få en chance for at få administratoradgang.

Min eneste negative kommentar gælder for prisfastsættelsesmodellen. Først adskilles den af ​​bruger eller computer, derefter af licenseret container, og endelig er sædepriseringen pr. Aktivt objekt i en overdækket OU, uanset om objektet påvirkes af Privilege Manager eller ej. Plus licensantallet kontrolleres og opdateres dagligt. Det er den eneste ting, der er alt for kompliceret i et ellers upåvirket produkt. (Priser starter ved $ 30 pr. Aktiv computer eller brugerobjekt i den licenserede container og undercontainere.)

Hvis du vil have den stærkeste sikkerhed, der er mulig, skal du ikke tillade, at dine brugere er logget ind som administrator eller kører forhøjede opgaver (inklusive brug af Privilege Manager). I mange miljøer er Privilege Manager imidlertid en solid, hurtig løsning til at mindske risikoen forbundet med almindelige slutbrugere, der fungerer som administratorer.