BeyondTrust verhindert, dass Windows-Benutzer Berechtigungen missbrauchen

Zu viele Organisationen erlauben den meisten Endbenutzern immer noch Vollzeitverwaltungsrechte in Windows. Wenn Sie fragen, warum die Tabu-Praxis fortgesetzt wird, antworten Administratoren, dass sie regulären Endbenutzern erlauben müssen, Software zu installieren und grundlegende Änderungen an der Systemkonfiguration vorzunehmen. Diese Aufgaben gefährden jedoch auch Endbenutzer für böswillige Ausbeutung.

[BeyondTrust Privilege Manager 3.0 wurde für die Auszeichnung "Technologie des Jahres" ausgewählt. In der Diashow werden alle Gewinner in der Sicherheitskategorie angezeigt. ]]

Die überwiegende Mehrheit der heutigen Malware-Angriffe funktioniert, indem der Endbenutzer dazu veranlasst wird, eine unerwünschte ausführbare Datei über Dateianhänge, eingebettete Links und andere damit verbundene Social-Engineering-Tricks auszuführen. Obwohl privilegierter Zugriff nicht immer erforderlich ist, um unerwünschtes Verhalten zu erreichen, erleichtert dies die Arbeit erheblich, und die überwiegende Mehrheit der Malware ist so geschrieben, dass sie dies erfordert.

Vista bringt einige neue Sicherheitstools auf den Tisch, insbesondere UAC (User Access Control), aber selbst mit dieser Funktion benötigen Endbenutzer privilegierte Anmeldeinformationen, um administrative Aufgaben wie das Installieren von Software, das Ändern der Systemkonfiguration und dergleichen auszuführen. Und was tun mit früheren Windows-Versionen?

Geben Sie BeyondTrusts Privilege Manager ein, der diese Lücke schließt, indem viele Netzwerkadministratoren strengere Sicherheitsstandards für bewährte Verfahren in Windows 2000, 2003 und XP durchsetzen können. Mit der Software können Administratoren verschiedene erhöhte Aufgaben definieren, die Endbenutzer ausführen können, ohne erhöhte Anmeldeinformationen zu benötigen. Es kann auch die Berechtigungen reduzieren, die Benutzern, einschließlich Administratoren, beim Ausführen ausgewählter Prozesse (Outlook, Internet Explorer) gewährt werden, wodurch die Funktionalität der Vista-Benutzerkontensteuerung von Vista oder des geschützten Modus von Internet Explorer 7 nachgeahmt wird (wenn auch unterschiedliche Mechanismen verwendet werden).

Privilege Manager fungiert als Gruppenrichtlinienerweiterung (was großartig ist, da Sie sie mit Ihren normalen Active Directory-Tools verwalten können), indem vordefinierte Prozesse mit einem alternativen Sicherheitskontext ausgeführt werden, der von einem clientseitigen Treiber im Kernelmodus unterstützt wird. Die treiber- und clientseitigen Erweiterungen werden mit einem einzigen MSI-Paket (Microsoft Installer) installiert, das manuell oder über eine andere Softwareverteilungsmethode installiert werden kann.

Eine Komponente im Benutzermodus fängt Client-Prozessanforderungen ab. Wenn der Prozess oder die Anwendung zuvor durch eine Privilege Manager-Regel definiert wurde, die in einem effektiven Gruppenrichtlinienobjekt (Group Policy Object) gespeichert ist, ersetzt das System das normale Sicherheitszugriffstoken des Prozesses oder der Anwendung durch ein neues. Alternativ können Token-SIDs (Sicherheitskennungen) oder Berechtigungen hinzugefügt oder daraus entfernt werden. Abgesehen von diesen wenigen Änderungen ändert Privilege Manager keinen anderen Windows-Sicherheitsprozess. Meiner Meinung nach ist dies eine hervorragende Möglichkeit, die Sicherheit zu manipulieren, da sich Administratoren darauf verlassen können, dass der Rest von Windows normal funktioniert.

Das Gruppenrichtlinien-Snap-In "Privilege Manager" muss auf einem oder mehreren Computern installiert sein, auf denen die zugehörigen Gruppenrichtlinienobjekte bearbeitet werden. Die clientseitige und GPO-Verwaltungssoftware ist in 32- und 64-Bit-Versionen erhältlich.

Die Installationsanweisungen sind klar und genau und enthalten gerade genug Screenshots. Die Installation ist einfach und unproblematisch, erfordert jedoch einen Neustart (was bei der Installation auf Servern berücksichtigt wird). Das erforderliche clientseitige Installationssoftwarepaket wird auf dem Installationscomputer in Standardordnern gespeichert, um die Verteilung zu erleichtern.

Nach der Installation finden Administratoren beim Bearbeiten eines Gruppenrichtlinienobjekts zwei neue Organisationseinheiten (Organisationseinheiten). Eine davon wird unter dem Blatt Computerkonfiguration als Computersicherheit bezeichnet. Die andere Option wird unter dem Knoten Benutzerkonfiguration als Benutzersicherheit bezeichnet.

Administratoren erstellen neue Regeln basierend auf dem Pfad, dem Hash oder dem Ordner eines Programms. Sie können auch auf bestimmte MSI-Pfade oder -Ordner verweisen, ein bestimmtes ActiveX-Steuerelement (nach URL, Name oder Klassen-SID) festlegen, ein bestimmtes Applet für die Systemsteuerung auswählen oder sogar einen bestimmten laufenden Prozess festlegen. Berechtigungen und Privilegien können hinzugefügt oder entfernt werden.

Jede Regel kann zusätzlich gefiltert werden, um nur für Computer oder Benutzer zu gelten, die bestimmte Kriterien erfüllen (Computername, RAM, Speicherplatz, Zeitbereich, Betriebssystem, Sprache, Dateianpassung usw.). Diese Filterung ergänzt die normale WMI-Filterung (Windows Management Interface) von Active Directory-Gruppenrichtlinienobjekten und kann auf Computer vor Windows XP angewendet werden.

Eine gemeinsame Regel, die die meisten Unternehmen sofort als nützlich erachten, ermöglicht das Kopieren aller autorisierten Anwendungsinstallationsdateien in einen gemeinsam genutzten gemeinsamen Unternehmensordner. Anschließend können Sie mit Privilege Manager eine Regel erstellen, mit der jedes im Ordner im Administratorkontext gespeicherte Programm für eine einfache Installation ausgeführt wird. Erhöhte Berechtigungen können nur während der Erstinstallation des Programms oder zu jedem Zeitpunkt seiner Ausführung erteilt werden. Wenn ein Prozess nicht ausgeführt werden kann, kann das System einen benutzerdefinierten Link anzeigen, der eine bereits ausgefüllte E-Mail mit relevanten Fakten zum Vorfall öffnet, die der Endbenutzer an den Helpdesk senden kann.

Ein häufiges Anliegen von Sicherheitsanalysten mit ähnlichen Erhöhungsprogrammen ist das potenzielle Risiko für einen Endbenutzer, einen definierten erhöhten Prozess zu starten und dann den erhöhten Prozess zu verwenden, um zusätzlichen nicht autorisierten und unbeabsichtigten Zugriff zu erhalten. BeyondTrust hat erhebliche Anstrengungen unternommen, um sicherzustellen, dass erhöhte Prozesse isoliert bleiben. Standardmäßig erben untergeordnete Prozesse, die im Kontext erhöhter übergeordneter Prozesse gestartet werden, nicht den erhöhten Sicherheitskontext des übergeordneten Elements (es sei denn, der Administrator hat dies ausdrücklich konfiguriert).

Meine begrenzten Tests zum Erhalten erhöhter Befehlsaufforderungen, die aus 10 Jahren Erfahrung mit Penetrationstests stammen, haben nicht funktioniert. Ich habe mehr als ein Dutzend verschiedene Regeltypen getestet und den resultierenden Sicherheitskontext und die Berechtigungen mit dem Dienstprogramm Process Explorer von Microsoft aufgezeichnet. In jedem Fall wurde das erwartete Sicherheitsergebnis bestätigt.

Angenommen, es gibt begrenzte Fälle, in denen Privilege Manager für die nicht autorisierte Eskalation von Berechtigungen verwendet werden kann. In Umgebungen, die speziell von diesem Produkt profitieren würden, ist wahrscheinlich jeder bereits als Administrator ohne ein Produkt dieses Typs angemeldet. Privilege Manager verringert dieses Risiko, indem nur sehr wenigen Fachleuten die Möglichkeit eingeräumt wird, Administratorzugriff zu erhalten.

Mein einziger negativer Kommentar gilt für das Preismodell. Zuerst wird es nach Benutzer oder Computer getrennt, dann nach lizenziertem Container, und schließlich gilt der Sitzplatzpreis pro aktivem Objekt in einer abgedeckten Organisationseinheit, unabhängig davon, ob das Objekt von Privilege Manager betroffen ist oder nicht. Außerdem wird die Lizenzanzahl täglich überprüft und aktualisiert. Es ist das einzige, was in einem ansonsten makellosen Produkt übermäßig kompliziert ist. (Die Preise beginnen bei 30 USD pro aktivem Computer oder Benutzerobjekt im lizenzierten Container und in den Untercontainern.)

Wenn Sie die größtmögliche Sicherheit wünschen, dürfen Ihre Benutzer nicht als Administrator angemeldet sein oder erhöhte Aufgaben ausführen (einschließlich der Verwendung von Privilege Manager). In vielen Umgebungen ist Privilege Manager jedoch eine solide und schnelle Lösung, um die Risiken zu verringern, die mit regulären Endbenutzern als Administratoren verbunden sind.

Scorecard Setup (10,0%) Benutzerzugriffskontrolle (40,0%) Wert (8,0%) Skalierbarkeit (20,0%) Management (20,0%) Gesamtpunktzahl (100%)
BeyondTrust Privilege Manager 3.0 9.0 9.0 10.0 10.0 10.0 9.3