BeyondTrust Privilege Manager: навстречу безопасному десктопу

13 март, 2009 - 13:16Игорь Дериев

Рецепт максимально безопасного настольного компьютера известен давно: независимо от платформы и применяемых дополнительных средств защиты пользователь должен обладать лишь минимально необходимыми правами. Это уже само по себе ограждает от львиной доли опасностей и ошибок в ПО (что, конечно, не означает, будто их можно не исправлять, просто ситуация перестает быть настолько критичной). Однако то, что совершенно привычно в мире UNIX, с трудом прокладывает себе дорогу в мире Windows.

BeyondTrust Privilege Manager навстречу безопасному десктопу

Хотя появление UAC (User Account Control) в Windows Vista было несомненно шагом в правильном направлении, многие восприняли его неоднозначно, и нередко данный механизм попросту отключают (забывая, что при этом перестают работать и другие защитные механизмы). Парадокс ситуации заключается в том, что, по словам представителей Microsoft, он как раз и призван тревожить пользователя, чтобы тот понимал серьезность выполняемых им действий. Кроме того, UAC должен бы стимулировать сторонних разработчиков к созданию программ, по возможности не требующих для исполнения (там, где это возможно) административных привилегий, однако и здесь до всеобщего консенсуса еще далеко. Тем не менее в Windows 7 доработанный UAC стал результатом очередного компромисса, что незамедлительно привело к появлению методов его обхода.

Впрочем, в любом случае UAC больше ориентирован на индивидуальных пользователей и мало пригоден в корпоративной среде (все еще в значительной степени полагающейся на Windows XP), где за настройку и функционирование компьютеров отвечают системные администраторы, а пользователи, соответственно, полностью «поражены в правах» (т. е. не могут быть даже локальными администраторами). При всей своей оправданности данный подход, однако, приносит множество неудобств: пользователь не может самостоятельно установить нужную программу, запустить вручную утилиту, вроде дефрагментатора, и по любому подобному вопросу вынужден обращаться к техническому персоналу.

BeyondTrust Privilege Manager навстречу безопасному десктопу
Правила Privilege Manager позволяют различным образом описывать исполняемые файлы, в данном случае – цифровым сертификатом

Впрочем, для этой проблемы существует элегантное решение, хотя и полагающееся на стороннее ПО. BeyondTrust Privilege Manager позволяет организовать рабочую среду в компании таким образом, что обычные пользователи смогут выполнять ряд предопределенных задач, которые автоматически (в том числе и совершенно «прозрачно», без лишних вопросов и подтверждений) будут запускаться с повышенными привилегиями.

При этом архитектура Privilege Manager предельно проста и понятна – оно полностью полагается на стандартный механизм групповых политик Windows, а для реализации специфической функциональности необходимо установить лишь специальное расширение, интегрирующееся со стандартными средствами управления политиками, и клиентский драйвер на компьютеры обслуживаемой OU. В дальнейшем администратор действует совершенно традиционным способом: создает новый GPO и затем настраивает его разделы, относящиеся к Privilege Manager.

Суть последнего процесса сводится к формированию списка специальных правил, определяющих контекст исполнения необходимых программ. В зависимости от принципа описания своих объектов они разделяются на несколько типов, уместных в различных сценариях:

  • исполняемый файл или инсталляционный модуль можно указать с помощью пути или хэш-кодом (SHA1);
  • правило для сетевой папки позволит создать разделяемый ресурс, куда администратором будут складироваться все дополнительные программы, разрешенные к применению пользователям;
  • на основании цифрового сертификата можно открыть доступ к ПО конкретного поставщика, что удобно, если в организации используются различные версии какой-то программы (скажем, антивируса или дефрагментатора);
  • правила для оптических дисков (распознаваемых по цифровым идентификаторам) позволяет выдавать их пользователям для самостоятельной установки;
  • также можно разрешить инсталляцию ActiveX-компонентов – всех вместе или индивидуально.

Еще один тип правил – Shell Rule – стоит несколько особняком, поскольку позволяет пользователю запускать с повышенными привилегиями любые EXE- или MSI-файлы, для чего в контекстном меню Windows Explorer появляются соответствующие пункты – по сути, аналоги Run As, с той лишь разницей, что не потребуется вводить пароль администратора.

BeyondTrust Privilege Manager навстречу безопасному десктопу
Встроенный механизм фильтров обеспечивает избирательность применения правил по самым разным критериям

Естественно, все правила допускают весьма подробную настройку. Во-первых, от пользователя можно требовать дополнительной аутентификации, а также письменного объяснения (которое будет запротоколировано), зачем ему понадобилось данное приложение. Во-вторых, вкладка Permissions в окне свойств правила позволяет в явном виде управлять конкретными полномочиями, в основном системного уровня (к примеру, менять время, загружать драйверы, выключать компьютер и т. д.). Для Windows Vista и Windows Server 2008 также актуальна вкладка Integrity Level, где указываются уровни целостности (в некоторых источниках – доверия) охватываемых программных процессов, определяющих их взаимодействие с другими объектами в данных ОС.

Наконец, для правил имеется развитой механизм фильтров, позволяющий избирательно применять их в рамках GPO. К примеру, если обслуживаемый компьютер находится в многопользовательском доступе, то правило можно сделать актуальным только для отдельных учетных записей. Аналогично можно указать конкретный домен, версию и язык ОС и даже кое-какие аппаратные характеристики.

Имеется возможность и настройки самого механизма Privilege Manager, причем реализованная в виде еще одного набора групповых политик, объединенных в специальный административный шаблон. Здесь можно управлять параметрами обработки правил, протоколированием действий драйвера и пользователя и даже адаптировать диалоговые окна Internet Explorer, которые отображаются при установке ActiveX-компонентов.

В целом, Privilege Manager выглядит весьма продуманным продуктом, что и неудивительно, поскольку речь идет о версии 4.x, и прекрасно справляется с возложенными на него функциями. Цена – порядка $37,20 за компьютер (в пакете до 250 лицензий) – не так мала, однако надо учитывать, что Privilege Manager позволяет с легкостью решить целый ряд проблем, весьма болезненных в корпоративной среде, и при этом поддерживать на должном уровне общую безопасность.