BeyondTrust hindrer Windows-brukere i å misbruke privilegier

For mange organisasjoner tillater fortsatt de fleste av sluttbrukerne heltidsadministrasjonsrettigheter i Windows. Hvis du spør hvorfor tabubruk fortsetter, vil administratorer svare at de må tillate vanlige sluttbrukere å installere programvare og gjøre grunnleggende endringer i systemkonfigurasjonen. Likevel setter akkurat disse oppgavene også sluttbrukere i fare for skadelig utnyttelse.

[BeyondTrustPrivilege Manager 3.0 ble valgt til prisen for årets teknologi. Se lysbildefremvisningen for å se alle vinnerne i sikkerhetskategorien. ]

De aller fleste av dagens malwareangrep fungerer ved å få sluttbrukeren til å kjøre en useriøs kjørbar fil, vedlegg, innebygde lenker og andre tilknyttede sosialtekniske triks. Selv om det ikke alltid er behov for privilegert tilgang for å oppnå useriøs oppførsel, gjør det jobben betydelig enklere, og de aller fleste malware er skrevet for å kreve det.

Vista bringer noen nye sikkerhetsverktøy til bordet, spesielt UAC (User Access Control), men selv med den funksjonen trenger sluttbrukere privilegerte legitimasjoner for å utføre administrative oppgaver som å installere programvare, endre systemkonfigurasjon og lignende. Og hva skal jeg gjøre med tidligere Windows-versjoner?

Gå inn på BeyondTrust's Privilege Manager, som bygger bro over gapet ved å la mange nettverksadministratorer håndheve sterkere sikkerhetsstandarder for beste praksis i Windows 2000, 2003 og XP. Programvaren lar administratorer definere forskjellige forhøyede oppgaver som sluttbrukere kan utføre uten å ha forhøyet legitimasjon. Det kan også redusere privilegiene gitt brukere, inkludert administratorer, når de kjører utvalgte prosesser (Outlook, Internet Explorer), og etterligner funksjonaliteten til Vista's UAC eller Internet Explorer 7s beskyttede modus (om enn å bruke forskjellige mekanismer).

Privilege Manager fungerer som en gruppepolicyutvidelse (noe som er bra fordi du kan administrere det med de vanlige Active Directory-verktøyene) ved å utføre forhåndsdefinerte prosesser med en alternativ sikkerhetskontekst, assistert av en kjernemodus, driver på klientsiden. Driver- og klientsideutvidelsene er installert ved hjelp av en enkelt MSI (Microsoft installer) -pakke, som kan installeres manuelt eller via en annen programvaredistribusjonsmetode.

En brukermodus-komponent avlytter klientprosessforespørsler. Hvis prosessen eller applikasjonen tidligere er definert av en Privilege Manager-regel som er lagret i en effektiv GPO (gruppepolicyobjekt), erstatter systemet prosessen eller applikasjonens normale sikkerhetsadgangstoken med en ny; alternativt kan det legge til eller fjerne fra token SID (sikkerhetsidentifikatorer) eller privilegier. Utover de få endringene endrer ikke Privilege Manager noen annen Window-sikkerhetsprosess. Etter min mening er dette en glimrende måte å manipulere sikkerhet på, fordi det betyr at administratorer kan stole på at resten av Windows fungerer normalt.

Gruppepolicy-snapin-modulen for Privilege Manager må installeres på en eller flere datamaskiner som skal brukes til å redigere de relaterte GPO-ene. Programvare for klientside og GPO-administrasjon kommer i både 32- og 64-biters versjoner.

Installasjonsinstruksjoner er klare og nøyaktige, med akkurat nok skjermbilder. Installasjonen er enkel og uproblematisk, men krever en omstart (som er en vurdering når du installerer på servere). Den nødvendige programvarepakken for installasjon på klientsiden er lagret på installasjonsdatamaskinen i standardmapper for å hjelpe distribusjonen.

Etter installasjonen vil administratorer finne to nye organisasjonsenheter (organisasjonsenheter) når de redigerer en GPO. Den ene heter Computer Security under Computer Configuration leaf; den andre heter User Security under User Configuration node.

Administratorer oppretter nye regler basert på et programs sti, hash eller mappeplassering. Du kan også peke på spesifikke MSI-stier eller mapper, angi en bestemt ActiveX-kontroll (etter URL, navn eller klasse SID), velge en bestemt kontrollpanel-applet, eller til og med angi en bestemt kjører prosess. Tillatelser og privilegier kan legges til eller fjernes.

Hver regel kan i tillegg filtreres slik at den bare gjelder maskiner eller brukere som oppfyller bestemte kriterier (datamaskinnavn, RAM, diskplass, tidsrom, operativsystem, språk, filmatch osv.). Denne filtreringen er i tillegg til den normale WMI (Windows Management Interface) -filtreringen av Active Directory GPOer, og kan gjelde datamaskiner før Windows XP.

En vanlig regel, som de fleste organisasjoner vil finne umiddelbart nyttig, gir muligheten til å kopiere alle autoriserte applikasjonsinstallasjonsfiler til en delt, felles firmamappe. Deretter kan du bruke Privilege Manager til å opprette en regel som kjører et hvilket som helst program som er lagret i mappen i administratorsammenheng for enkle installasjoner. Forhøyede tillatelser kan bare gis under programmets første installasjon eller når som helst det utføres. Hvis en prosess ikke kan kjøres, kan systemet presentere en tilpasset lenke som åpner en allerede utfylt e-post som inneholder relevante fakta til hendelsen, som sluttbrukeren kan sende til helpdesk.

En vanlig bekymring blant sikkerhetsanalytikere med lignende høydeprogrammer er den potensielle risikoen for en sluttbruker å starte en definert forhøyet prosess og deretter bruke den forhøyede prosessen for å få ytterligere uautorisert og utilsiktet tilgang. BeyondTrust har brukt mye arbeid på å sikre at forhøyede prosesser holder seg isolert. Som standard arver ikke underordnede prosesser startet i sammenheng med forhøyede foreldreprosesser foreldrenes forhøyede sikkerhetskontekst (med mindre det er spesifikt konfigurert for å gjøre det av administratoren).

Mine begrensede tester for å få forhøyede kommandoprompter, hentet fra 10 års erfaring med penetrasjonstesting, fungerte ikke. Jeg testet mer enn et dusin forskjellige regeltyper og registrerte den resulterende sikkerhetskonteksten og privilegiene ved å bruke Microsofts verktøy for prosessutforsker. I alle tilfeller ble det forventede sikkerhetsresultatet bekreftet.

Men anta at det er begrensede tilfeller der Privilege Manager kan brukes til uautorisert opptrapping av privilegier. I miljøene som spesifikt vil ha nytte av dette produktet, er alle sannsynligvis allerede logget på som administrator uten et produkt av denne typen. Privilege Manager reduserer risikoen ved å gi bare de svært dyktige få muligheten til å få administratoradgang.

Min eneste negative kommentar gjelder prismodellen. Først skilles den av bruker eller datamaskin, deretter av lisensiert container, og til slutt er seteprisen per aktivt objekt i en dekket OU, uansett om objektet påvirkes av Privilege Manager eller ikke. Pluss lisensantallet sjekkes og oppdateres daglig. Det er det eneste som er altfor komplisert i et ellers ulastelig produkt. (Priser starter ved $ 30 per aktiv datamaskin eller brukerobjekt i lisensiert container og undercontainere.)

Hvis du vil ha en sterkest mulig sikkerhet, ikke la brukerne være pålogget som administrator eller kjøre forhøyede oppgaver (inkludert bruk av Privilege Manager). For mange miljøer er Privilege Manager imidlertid en solid, rask løsning for å redusere risikoen forbundet med vanlige sluttbrukere som fungerer som administratorer.