Не секрет, что Microsoft хочет быть впереди всех и собирается внедрить принцип наименьшего уровня привилегий в новой операционной системе, известной как Windows Vista. В этой статье рассматриваются некоторые текущие проблемы, связанные с принципов наименьшего уровня привилегий, а также разбирается в том, что же на самом деле предлагает Microsoft.
У ИТ-специалистов возникало и возникает много проблем с компанией Microsoft и ее практикой установки систем только с учетной записью Администратор, которая имеет полный доступ к компьютеру. Поскольку вирусы, черви и злоумышленники растут не по дням, а по часам, должны существовать меры, которые помогут уменьшить незащищенность компьютеров под управлением Windows. Меры, предлагаемые Microsoft, не совсем ясны, но в целом все остается как есть. В системе Vista будет некоторая форма наименьшего уровня привилегий для пользователей, но не понятно, насколько серьезно это будет сделано.
Определение принципа наименьшего уровня привилегий очень просто и легко понятно. Идея состоит в том, что пользователям выдаются привилегии, которые необходимы им для выполнения любых задач. Это может быть настройка компьютера, выход в Интернет, работа в финансовых приложениях или отправка электронной почты. Вы могли слышать термин «наименьший уровень разрешений», который очень похож на принцип наименьшего уровня привилегий.
Каждый день администраторы борются за контроль доступа пользователей. Принцип наименьшего уровня привилегий может охватывать как компьютер пользователя, так и всю сеть. Например, администраторы проводят кучу времени на проверку настроек списков контроля доступа к сетевым ресурсам. Такие списки контроля доступа отвечают за разрешение только определенным пользователям доступа к предназначенным для них ресурсам. Каждый сетевой ресурс (файл, папка, принтер и т.д.) обладает списком контроля доступа в сети Windows.
Другой метод контроля доступа пользователей включает блокирование доступа к серверу. Обычно это делается с помощью списков контроля доступа и прав пользователей. Права пользователя определяют, какие действия может совершать пользователь на сервере. Пример прав пользователей: локальный вход в систему, сетевой доступ к компьютеру, резервное копирование файлов и папок и использование службы терминалов для входа на компьютер.
Такие методы блокирования доступа к сетевым ресурсам и серверам очень действенны. Однако эти настройки не учитывают, вошел ли пользователь на свой компьютер как обычный пользователь (наименьший уровень привилегий) или как администратор. Поэтому главная уязвимость контроля внедрения принципа наименьшего уровня привилегий находится на пользовательском компьютере.
Я знаю немного администраторов, которые предоставляют администраторский доступ конечным пользователям, даже если причиной является установка и запуск важного приложения на компьютере. Вот некоторые из причин, почему пользователям могут потребоваться администраторский доступ к компьютеру:
В каждом из этих случаев администраторские привилегии необходимы. Есть еще много причин, почему пользователи должны заходить на компьютер с администраторскими правами. Хотя это причины относятся в основном к домашним пользователям, многие компании становятся жертвой использования учетной записи администратора. Происходит это по следующим причинам:
Практически нет способа ограничить использование пользователем администраторского доступа ко всему компьютеру, если им был дан такой доступ к одной из задач. Это значит, что пользователь с администраторским доступом может выполнять такие задачи, как
Если мы остановимся на необходимости для пользователя обладать правами администратора, то увидим, что проблема уходит корнями в разработку приложений. Почти всегда разработчик при проектировании и тестировании приложения входит в систему как администратор. Существует не так много приложений, которые разрабатывались для работы в условиях наименьшего уровня привилегий.
Другая ошибка всех приложений, требующих права администратора на запуск, состоит в том, что приложение записывает информацию в ключевые системные папки и разделы реестра, которые требуют администраторского доступа:
Изучение приложений, требующих администраторского доступа, дало ошеломляющий результат: около 90 процентов программного обеспечения Windows не может быть установлено без прав администратора. Помимо этого, 70 процентов приложений требуют администраторских привилегий на запуск.
Компания Microsoft принимает все меры для устранения недостатков, чтобы гарантировать наличие принципа наименьшего уровня привилегий в системе Windows Vista. Когда Vista еще называлась Longhorn, Microsoft сообщала о новой модели уровня привилегий пользователя: Учетная запись пользователя наименьшего уровня привилегий (Least-Privilege User Account — LUA). Идея учетной записи LUA была в том, что она не имела администраторских прав на компьютере, что уменьшало последствия вирусов и атак в случае проблем с этой учетной записью.
Затем Microsoft подстегивала независимых производителей программного обеспечения к рассмотрению возможности поддержки LUA, что включало выдачу специального логотипа за соблюдение принципа LUA.
Имя LUA было выбрано неудачно, поскольку Microsoft не смогла внедрить концепцию учетной записи пользователя наименьшего уровня привилегий в технологии, которые они собиралась представить в системе Longhorn. Компания Microsoft рассматривала такие технологии, как команда Run As (Запуск от имени), что совсем не вяжется с концепцией наименьшего уровня привилегий. Пользователь может запустить любое приложение под именем другого пользователя с администраторскими правами. Таким образом, можно запустить службу и даже зайти в компьютер как пользователь с более высокими привилегиями.
Когда Microsoft поменяла имя системы с Longhorn на Vista, она также поменяла и имя модели наименьшего уровня привилегий. Теперь эта модель называется Защита учетной записи пользователя (User Account Protection – UAP). Концепция UAP не слишком отличается от LUA, однако различия есть. Некоторые ключевые идеи, которые компания Microsoft пытается внедрить вместе с UAP, включают следующие задачи, не требующие администраторского доступа:
Одна из обещанных в Vista возможностей – это работа с программами установки приложений, которые требуют администраторских прав. Цель состоит в том, чтобы Vista просила у пользователя ввода администраторских учетных данных для тех приложений, которые этого требуют, т.е. тех, которые сохраняют файлы и настройки в системных файлах и разделах реестра, о чем мы писали выше. Если у пользователя нет никаких администраторских учетных данных, Vista предлагает ему виртуальный реестр и файлы. Виртуализация будет использоваться только для компьютера, и с ее помощью информация о приложении будет храниться для каждого пользователя в отдельном месте, в том, в которое тот имеет доступ.
Microsoft стремительно пытается решить проблемы приложений. Как сообщается, компания работает с поставщиками, которые предлагают программы для установки приложений с поддержкой технологий LUA/UAP. Некоторые из этих разработок вращаются вокруг обособленной установки, разделяющей функции пользователя и администратора. Это порождает проблему невозможности установки приложения, но такие проблемы не возникли во время моего исследования.
У компании Microsoft существуют технологии для установки приложений пользователями, которые вошли в компьютер с наименьшим уровнем привилегий. Это Групповая политика, которая может установить приложения без входа администратора в систему. Если эту технологию соединить с другими, такими как PolicyMaker Application Security, проблемы установки и запуска приложений будут решены.
Необходимость входа пользователей в систему с наименьшим уровнем привилегий является главной задачей безопасности и стабильности сети. Существует очень много уязвимостей и опасностей, сопряженных с наличием у пользователей прав администратора. С такими компаниями, как Microsoft, которые проталкивают внедрение наименьшего уровня привилегий в операционные системы, возможность появления такой модели в системе Vista очень велика. Неизвестно, сделает ли Microsoft все для внедрения полного решения наименьшего уровня привилегий, но при использовании решений сторонних производителей для контроля приложений мы получим очень похожее на эту модель. Теперь остается только ждать, что Microsoft сделает с Vista.
Источник www.windowsecurity.com
Tags: mac, redirect, vpn, Windows Vista