Мифы о защите рабочих столов Windows (часть 1)
Введение
Я провел большую часть последних 6 лет, сосредоточившись на защите рабочих столов Windows (в дополнение ко всему предприятию Windows). Я пытался обучать, проповедовать и помогать организациям и администраторам понять, какие возможности возможны с операционными системами Windows. До меня дошло, что большая часть работы, которую я выполнял, по-прежнему не оказывает достаточно большого влияния, поэтому я хотел продолжить подчеркивать, какие различные варианты безопасности настольных компьютеров доступны и что каждый вариант дает вам как организации. Я всегда говорил, что безопасность подобна шведскому столу: вы должны выбрать параметры и функции, которые, по вашему мнению, обеспечат вам наилучшую безопасность для вашей организации, в то же время позволяя пользователям работать. После прочтения этой статьи у вас будет гораздо лучшее представление о том, что дает каждый элемент буфета безопасности, а что нет.
Антивирусная защита
В последнее время антивирусная защита получила плохую репутацию даже у таких людей, как я. Что я хочу сделать, так это честно встряхнуть антивирус, поскольку он, безусловно, играет ключевую роль на любом компьютере, особенно на тех, которые работают в организации. Антивирус обеспечивает отличную защиту от «известных» вирусов, вредоносного ПО, рекламного ПО и т. д.
Одним из самых больших преимуществ антивирусной защиты является то, что пользователю и даже администратору нужно очень мало сделать для выполнения своей работы. Антивирус работает с сигнатурными файлами, которые содержат информацию об исполняемых файлах, библиотеках DLL и других хэшах файлов, которые, как известно, являются вредоносными приложениями. Когда компьютер сканируется на наличие приложений или приложение запускается, программное обеспечение антивирусной защиты оценивает, что находится на компьютере, и может предупредить, поместить в карантин или даже удалить вредоносные приложения.
Самая большая проблема с антивирусной защитой заключается в том, что защита настолько хороша, насколько хорош последний файл сигнатуры. Если на компьютере есть вирус, который новее, чем файл сигнатуры, антивирусное программное обеспечение не может обнаружить вирус. Существуют также атаки нулевого дня, которые даже не указаны ни в одном файле антивирусных сигнатур. Атаки нулевого дня и вирусы, которые хорошо трансформируются, затрудняют 100%-ный успех антивирусной защиты.
Причина, по которой вам нужна антивирусная защита, заключается в том, что если известные вредоносные приложения атакуют компьютер, они будут обнаружены. Кроме того, если пользователь установит или скопирует вредоносное приложение на свой компьютер, оно также будет обнаружено и предупреждено программным обеспечением антивирусной защиты.
Миф состоит в том, что антивирусных решений достаточно для защиты конечных точек. Это неправда, и, честно говоря, простое антивирусное решение для вашей конечной точки не очень хорошая защита.
Управление привилегиями
Одна из самых важных тем, о которой я проповедую, — это идея управления привилегиями для корпоративных пользователей. Управление привилегиями заключается в том, что пользователь на рабочем столе не является локальным администратором, то есть не имеет членства в локальной группе администраторов. С этой концепцией контроля привилегия для конечного пользователя не нова, просто ее трудно, если вообще возможно, получить с помощью традиционных технологий, поставляемых с Windows.
Когда пользователю предоставляются привилегии локального администратора, могут происходить и обычно случаются плохие вещи. Это не означает, что пользователь является злонамеренным, но наличие привилегий локального администратора слишком сложно для конечного пользователя. В большинстве случаев сверхпривилегированные пользователи делятся на три категории:
- Злоумышленник — пользователь, который пытается атаковать сеть или Active Directory, используя повышенные привилегии на своей конечной точке.
- Случайные — пользователи, которые просто пытаются выполнять свои рабочие задачи, но создают проблемы по пути, не зная, что они делают, являются проблемой.
- ИТ-помощник — это пользователи, которые знают достаточно, чтобы быть опасными, хотят помочь ИТ-персоналу в обеспечении безопасности и настройке своего компьютера, но при этом вызывают неправильную настройку и простои своей конечной точки.
Оценивая свое решение по управлению привилегиями, обязательно учитывайте желаемый результат вашего решения. В большинстве случаев вы захотите решить свои проблемы с управлением привилегиями полностью, а не только частично. Полное решение по управлению привилегиями будет состоять в том, что пользователь останется стандартным пользователем, в то время как следующие задачи все еще могут выполняться:
- Пользователи, запускающие все приложения, даже те, которым требуются права локального администратора
- Пользователи, устанавливающие утвержденные приложения, даже те, которые требуют прав локального администратора
- Пользователи, использующие функции ОС (часы, дефрагментация, сетевые свойства и т. д.)
- Пользователи, устанавливающие элементы управления ActiveX
- Пользователи, устанавливающие локальные принтеры
Сложность решения проблемы управления привилегиями заключается в том, что Microsoft не предоставляет никаких технологий, позволяющих выполнять эти действия, если пользователь не является локальным администратором с чрезмерными привилегиями на своей конечной точке. Есть несколько решений, которые просто не решают проблему полностью:
- Контроль учетных записей пользователей
- Ручное изменение прав доступа к файлам, папкам и реестру
- AppLocker
- Беги как
- Членство в группе опытных пользователей
Единственный способ решить проблему управления привилегиями, когда у вас есть приложения и функции, требующие привилегий локального администратора, — использовать сторонний инструмент, который может решить проблему на уровне процесса. Такие решения, как BeyondTrust PowerBroker Desktops (www.beyondtrust.com), работают с вашей существующей реализацией Active Directory и групповой политики, чтобы обеспечить полное и всестороннее решение для управления привилегиями.
Миф об управлении привилегиями заключается в том, что встроенные инструменты и технологии, особенно те, которые поставляются с Windows 7, обеспечивают решение вашей дилеммы управления привилегиями. В любой версии Windows нет ничего, что могло бы решить проблему управления привилегиями.
Резюме
Обеспечить безопасность рабочих столов Windows не так просто, если учесть полный список параметров безопасности, которые необходимо решить. В этой статье мы обсуждаем две области, которые вам необходимо решить: антивирус и управление привилегиями. Решения AV, как правило, являются первой линией обороны организации для защиты своих конечных точек. Решения AV являются распространенными, надежными и жизненно важными для защиты части проблем безопасности ваших конечных точек. Однако антивирусные решения хороши ровно настолько, насколько хорош последний файл сигнатур, связанный с ним. Антивирусные решения не могут найти и остановить новые вирусы, так как сигнатуры этих вредоносных приложений неизвестны. Управление привилегиями является жизненно важной частью безопасности вашей конечной точки. Являясь одним из наиболее эффективных решений для обеспечения безопасности конечных точек, управление привилегиями улучшает общую безопасность вашей конечной точки в большей степени, чем другие обсуждаемые решения. Причина в том, что обычные пользователи не могут причинить такой ущерб и вред, как привилегированный пользователь. Установки, вредоносные приложения, ошибочные конфигурации и т. д. просто не происходят, когда управление привилегиями контролируется.