BeyondTrust impedisce agli utenti di Windows di abusare dei privilegi

Troppe organizzazioni consentono ancora alla maggior parte dei propri utenti finali i privilegi di amministrazione a tempo pieno in Windows. Se chiedi perché la pratica tabù continua, gli amministratori risponderanno che devono consentire agli utenti finali regolari di installare software e di apportare modifiche alla configurazione di base del sistema. Tuttavia, proprio queste attività mettono anche gli utenti finali a rischio di sfruttamento dannoso.

[BeyondTrust Privilege Manager 3.0 è stato selezionato per il premio Technology of the Year. Guarda la presentazione per visualizzare tutti i vincitori nella categoria sicurezza. ]

La stragrande maggioranza degli attacchi di malware odierni funziona inducendo l'utente finale a eseguire un eseguibile non autorizzato, tramite allegati di file, collegamenti incorporati e altri trucchi di ingegneria sociale associati. Sebbene l'accesso privilegiato non sia sempre necessario per eseguire comportamenti illeciti, semplifica notevolmente il lavoro e la stragrande maggioranza del malware è scritta per richiederlo.

Vista porta alcuni nuovi strumenti di sicurezza sul tavolo, in particolare UAC (User Access Control), ma anche con questa funzionalità gli utenti finali necessitano di credenziali privilegiate per svolgere attività amministrative come l'installazione di software, la modifica della configurazione del sistema e simili. E cosa fare con le versioni precedenti di Windows?

Entra in Privilege Manager di BeyondTrust, che colma il divario consentendo a molti amministratori di rete di applicare standard di sicurezza best practice più rigorosi su Windows 2000, 2003 e XP. Il software consente agli amministratori di definire varie attività elevate che gli utenti finali possono eseguire senza bisogno di credenziali elevate. Può anche ridurre i privilegi concessi agli utenti, inclusi gli amministratori, quando eseguono processi selezionati (Outlook, Internet Explorer), imitando la funzionalità dell'UAC di Vista o della modalità protetta di Internet Explorer 7 (sebbene utilizzando meccanismi diversi).

Privilege Manager funziona come un'estensione dei criteri di gruppo (il che è fantastico perché puoi gestirlo con i tuoi normali strumenti di Active Directory) eseguendo processi predefiniti con un contesto di sicurezza alternativo, assistito da un driver lato client in modalità kernel. Il driver e le estensioni lato client vengono installati utilizzando un singolo pacchetto MSI (programma di installazione Microsoft), che può essere installato manualmente o tramite un altro metodo di distribuzione del software.

Un componente in modalità utente intercetta le richieste di processo del client. Se il processo o l'applicazione è stato definito in precedenza da una regola di Privilege Manager memorizzata all'interno di un oggetto Criteri di gruppo (Oggetto Criteri di gruppo) effettivo, il sistema sostituisce il normale token di accesso di sicurezza del processo o dell'applicazione con uno nuovo; in alternativa, può aggiungere o rimuovere dal token SID (identificatori di sicurezza) o privilegi. Oltre a queste poche modifiche, Privilege Manager non modifica nessun altro processo di sicurezza di Windows. A mio parere, questo è un modo brillante per manipolare la sicurezza perché significa che gli amministratori possono fare affidamento sul resto di Windows per funzionare normalmente.

Lo snap-in Criteri di gruppo di Privilege Manager deve essere installato su uno o più computer che verranno utilizzati per modificare gli oggetti Criteri di gruppo correlati. Il software di gestione lato client e GPO è disponibile nelle versioni a 32 e 64 bit.

Le istruzioni di installazione sono chiare e precise, con un numero sufficiente di screenshot. L'installazione è semplice e senza problemi, ma richiede un riavvio (che è una considerazione quando si installa sui server). Il pacchetto software di installazione lato client richiesto viene archiviato nel computer di installazione nelle cartelle predefinite per facilitare la distribuzione.

Dopo l'installazione, gli amministratori troveranno due nuove unità organizzative (unità organizzative) durante la modifica di un oggetto Criteri di gruppo. Uno si chiama Computer Security nella pagina Configurazione computer; l'altro è chiamato Sicurezza utente nel nodo Configurazione utente.

Gli amministratori creano nuove regole in base al percorso, all'hash o alla posizione della cartella di un programma. Puoi anche puntare a specifici percorsi o cartelle MSI, designare un particolare controllo ActiveX (tramite URL, nome o SID di classe), selezionare una particolare applet del pannello di controllo o persino designare un processo in esecuzione specifico. È possibile aggiungere o rimuovere autorizzazioni e privilegi.

Ogni regola può essere ulteriormente filtrata per essere applicata solo a macchine o utenti che soddisfano determinati criteri (nome computer, RAM, spazio su disco, intervallo di tempo, sistema operativo, lingua, corrispondenza file, ecc.). Questo filtro si aggiunge al normale filtro WMI (Windows Management Interface) degli oggetti Criteri di gruppo di Active Directory e può essere applicato a computer precedenti a Windows XP.

Una regola comune, che la maggior parte delle organizzazioni troverebbe immediatamente utile, garantisce la possibilità di copiare tutti i file di installazione delle applicazioni autorizzati in una cartella aziendale condivisa e comune. Quindi, utilizzando Privilege Manager, è possibile creare una regola che esegue qualsiasi programma memorizzato nella cartella nel contesto dell'amministratore per installazioni semplici. È possibile fornire autorizzazioni elevate solo durante l'installazione iniziale del programma o ogni volta che viene eseguito. Se un processo non viene eseguito, il sistema può presentare un collegamento personalizzato che apre un'e-mail già compilata contenente fatti rilevanti per l'incidente, che l'utente finale può inviare all'help desk.

Una preoccupazione comune tra gli analisti della sicurezza con programmi di elevazione simili è il rischio potenziale per un utente finale di avviare un processo elevato definito e quindi utilizzare il processo elevato per ottenere ulteriori accessi non autorizzati e non intenzionali. BeyondTrust ha profuso notevoli sforzi per garantire che i processi elevati rimangano isolati. Per impostazione predefinita, i processi figlio avviati nel contesto di processi padre con privilegi elevati non ereditano il contesto di sicurezza con privilegi elevati del genitore (a meno che non siano specificatamente configurati per farlo dall'amministratore).

I miei test limitati per ottenere prompt dei comandi elevati, tratti da 10 anni di esperienza nei test di penetrazione, non hanno funzionato. Ho testato più di una dozzina di diversi tipi di regole e ho registrato il contesto di sicurezza ei privilegi risultanti utilizzando l'utilità Process Explorer di Microsoft. In ogni caso, il risultato di sicurezza atteso è stato confermato.

Ma si supponga che vi siano istanze limitate in cui Privilege Manager può essere utilizzato per l'escalation dei privilegi non autorizzata. Negli ambienti che specificamente trarrebbero vantaggio da questo prodotto, probabilmente tutti sono già registrati come amministratori senza un prodotto di questo tipo. Privilege Manager riduce questo rischio consentendo solo a pochi esperti di avere accesso come amministratore.

Il mio unico commento negativo si applica al modello di prezzo. Prima viene separato dall'utente o dal computer, quindi dal contenitore con licenza e infine il prezzo della postazione è per oggetto attivo in un'unità organizzativa coperta, indipendentemente dal fatto che l'oggetto sia influenzato o meno da Privilege Manager. Inoltre, il conteggio delle licenze viene verificato e aggiornato quotidianamente. È l'unica cosa eccessivamente complicata in un prodotto altrimenti senza macchia. (Il prezzo parte da $ 30 per computer o oggetto utente attivo nel contenitore e nei sotto-contenitori con licenza.)

Se desideri la massima sicurezza possibile, non consentire agli utenti di accedere come amministratore o di eseguire attività con privilegi elevati (incluso l'utilizzo di Privilege Manager). Tuttavia, per molti ambienti Privilege Manager è una soluzione solida e rapida per ridurre i rischi associati agli utenti finali regolari che agiscono come amministratori.

Scorecard Configurazione (10,0%) Controllo dell'accesso degli utenti (40,0%) Valore (8,0%) Scalabilità (20,0%) Gestione (20,0%) Punteggio complessivo (100%)
BeyondTrust Privilege Manager 3.0 9.0 9.0 10.0 10.0 10.0 9.3