BeyondTrust mencegah pengguna Windows menyalahgunakan hak istimewa

Terlalu banyak organisasi yang masih mengizinkan sebagian besar hak istimewa administrasi penuh waktu pengguna akhir mereka di Windows. Jika Anda bertanya mengapa praktik tabu terus berlanjut, administrator akan menjawab bahwa mereka harus mengizinkan pengguna akhir biasa untuk menginstal perangkat lunak dan membuat perubahan konfigurasi sistem dasar. Namun tugas-tugas ini juga menempatkan pengguna akhir pada risiko eksploitasi jahat.

[BeyondTrust Privilege Manager 3.0 terpilih untuk penghargaan Technology of the Year. Lihat slideshow untuk melihat semua pemenang dalam kategori keamanan. ]

Sebagian besar serangan malware saat ini bekerja dengan mendorong pengguna akhir untuk menjalankan program jahat yang dapat dieksekusi, melalui lampiran file, tautan yang disematkan, dan trik rekayasa sosial terkait lainnya. Meskipun akses istimewa tidak selalu diperlukan untuk menyelesaikan perilaku jahat, hal itu membuat pekerjaan menjadi jauh lebih mudah, dan sebagian besar malware dibuat untuk mewajibkan itu.

Vista membawa beberapa alat keamanan baru ke meja, terutama UAC (Kontrol Akses Pengguna), tetapi bahkan dengan fitur itu pengguna akhir memerlukan kredensial istimewa untuk menyelesaikan tugas administratif seperti menginstal perangkat lunak, mengubah konfigurasi sistem, dan sejenisnya. Dan apa yang harus dilakukan tentang versi Windows sebelumnya?

Masuk ke BeyondTrust'sPrivilege Manager, yang menjembatani kesenjangan dengan memungkinkan banyak administrator jaringan untuk menerapkan standar keamanan praktik terbaik yang lebih kuat di Windows 2000, 2003, dan XP. Perangkat lunak ini memungkinkan administrator menentukan berbagai tugas tingkat tinggi yang dapat dilakukan pengguna akhir tanpa memerlukan kredensial yang lebih tinggi. Ini juga dapat mengurangi hak istimewa yang diberikan kepada pengguna, termasuk administrator, ketika mereka menjalankan proses yang dipilih (Outlook, Internet Explorer), meniru fungsionalitas dari Vista's UAC atau Internet Explorer 7's Protected Mode (meskipun menggunakan mekanisme yang berbeda).

Privilege Manager bekerja sebagai ekstensi kebijakan grup (yang sangat bagus karena Anda dapat mengelolanya dengan alat Active Directory normal Anda) dengan menjalankan proses yang telah ditentukan sebelumnya dengan konteks keamanan alternatif, dibantu oleh driver sisi klien mode kernel. Driver dan ekstensi sisi klien diinstal menggunakan satu paket MSI (Penginstal Microsoft), yang dapat diinstal secara manual atau melalui metode distribusi perangkat lunak lain.

Komponen mode pengguna menyadap permintaan proses klien. Jika proses atau aplikasi sebelumnya ditentukan oleh aturan Privilege Manager yang disimpan dalam GPO (Objek Kebijakan Grup) yang efektif, sistem akan mengganti token akses keamanan normal proses atau aplikasi dengan yang baru; sebagai alternatif, ia dapat menambah atau menghapus dari SID token (pengenal keamanan) atau hak istimewa. Di luar beberapa perubahan itu, Privilege Manager tidak mengubah proses keamanan Window lainnya. Menurut pendapat saya, ini adalah cara yang brilian untuk memanipulasi keamanan karena itu berarti administrator dapat mengandalkan sisa Windows untuk berfungsi secara normal.

Snap-in kebijakan grup Privilege Manager harus diinstal di satu atau lebih komputer yang akan digunakan untuk mengedit GPO terkait. Perangkat lunak manajemen sisi klien dan GPO hadir dalam versi 32 dan 64-bit.

Petunjuk penginstalan jelas dan akurat, dengan tangkapan layar yang cukup. Instalasi sederhana dan tidak bermasalah tetapi membutuhkan reboot (yang merupakan pertimbangan saat menginstal di server). Paket perangkat lunak penginstalan sisi klien yang diperlukan disimpan di komputer penginstalan di folder default untuk membantu distribusi.

Setelah penginstalan, administrator akan menemukan dua OU (unit organisasi) baru saat mengedit GPO. Salah satunya disebut Keamanan Komputer di bawah daun Konfigurasi Komputer; yang lainnya disebut Keamanan Pengguna di bawah node Konfigurasi Pengguna.

Administrator membuat aturan baru berdasarkan jalur program, hash, atau lokasi folder. Anda juga dapat menunjuk ke jalur atau folder MSI tertentu, menentukan kontrol ActiveX tertentu (dengan URL, nama, atau kelas SID), memilih applet panel kontrol tertentu, atau bahkan menentukan proses berjalan tertentu. Izin dan hak istimewa dapat ditambahkan atau dihapus.

Setiap aturan dapat difilter tambahan untuk diterapkan hanya pada mesin atau pengguna yang memenuhi kriteria tertentu (nama komputer, RAM, ruang disk, rentang waktu, OS, bahasa, kecocokan file, dll.). Pemfilteran ini merupakan tambahan untuk pemfilteran WMI (Antarmuka Manajemen Windows) normal dari Active Directory GPOs, dan dapat diterapkan ke komputer pra-Windows XP.

Aturan umum, yang akan segera dianggap berguna oleh sebagian besar organisasi, memberikan kemampuan untuk menyalin semua file penginstalan aplikasi resmi ke folder perusahaan bersama dan umum. Kemudian menggunakan Privilege Manager, Anda dapat membuat aturan yang menjalankan program apa pun yang disimpan di folder dalam konteks Administrator untuk penginstalan yang mudah. Izin yang ditingkatkan hanya dapat diberikan selama instalasi awal program atau kapan pun itu dijalankan. Jika suatu proses gagal dijalankan, sistem dapat menampilkan tautan khusus yang membuka email yang sudah terisi berisi fakta-fakta yang relevan dengan insiden tersebut, yang dapat dikirim pengguna akhir ke meja bantuan.

Perhatian umum di antara analis keamanan dengan program elevasi serupa adalah potensi risiko bagi pengguna akhir untuk memulai proses elevated yang ditentukan dan kemudian menggunakan proses elevated untuk mendapatkan akses tambahan yang tidak sah dan tidak diinginkan. BeyondTrust telah menghabiskan banyak upaya untuk memastikan bahwa proses yang ditinggikan tetap terisolasi. Secara default, proses anak yang dimulai dalam konteks proses induk yang ditinggikan tidak mewarisi konteks keamanan yang ditinggikan induknya (kecuali secara khusus dikonfigurasi untuk melakukannya oleh administrator).

Tes terbatas saya untuk mendapatkan perintah perintah yang ditinggikan, yang diambil dari 10 tahun pengalaman pengujian penetrasi, tidak berhasil. Saya menguji lebih dari selusin jenis aturan yang berbeda dan mencatat konteks keamanan yang dihasilkan dan hak istimewa menggunakan utilitas Microsoft Process Explorer. Dalam setiap contoh, hasil keamanan yang diharapkan dikonfirmasi.

Tetapi anggaplah ada contoh terbatas di mana Privilege Manager dapat digunakan untuk eskalasi hak istimewa yang tidak sah. Di lingkungan yang secara khusus akan mendapatkan keuntungan dari produk ini, semua orang mungkin sudah masuk sebagai administrator tanpa produk jenis ini. Privilege Manager mengurangi risiko itu dengan hanya mengizinkan sedikit orang yang sangat terampil untuk memperoleh akses administrator.

Satu-satunya komentar negatif saya berlaku untuk model penetapan harga. Pertama, dipisahkan oleh pengguna atau komputer, lalu oleh wadah berlisensi, dan terakhir penetapan harga kursi adalah per objek aktif dalam OU yang tercakup, baik objek dipengaruhi oleh Privilege Manager atau tidak. Ditambah jumlah lisensi diperiksa dan diperbarui setiap hari. Itu satu-satunya hal yang terlalu rumit dalam produk yang tidak bercacat. (Harga mulai dari $ 30 per komputer aktif atau objek pengguna dalam penampung dan sub-penampung berlisensi.)

Jika Anda menginginkan keamanan yang sekuat mungkin, jangan izinkan pengguna Anda masuk sebagai Administrator atau menjalankan tugas yang lebih tinggi (termasuk menggunakan Privilege Manager). Namun, untuk banyak lingkungan, Privilege Manager adalah solusi yang solid dan cepat untuk mengurangi risiko yang terkait dengan pengguna akhir biasa yang bertindak sebagai administrator.

Kartu catatan angka Penyiapan (10.0%) Kontrol akses pengguna (40.0%) Nilai (8.0%) Skalabilitas (20,0%) Manajemen (20,0%) Skor Keseluruhan (100%)
BeyondTrust Privilege Manager 3.0 9.0 9.0 10.0 10.0 10.0 9.3