Наименьшие привилегии облегчают требования к внесению в белый список

Опубликовано: 7 Апреля, 2023

Введение

Я обнаружил, что многие компании считают, что белые списки могут быть прекрасной технологией безопасности для их предприятий. Я согласен с ними… до определенного момента. В чем я не согласен, так это в общем подходе к развертыванию решения для создания белых списков, поскольку я считаю, что многие организации хотят, чтобы белые списки были чем-то большим, чем они есть. Я не знаю никого, кто говорил бы о наименьших привилегиях больше, чем я, за последние 10 лет, но я кладу большую часть своих яиц в корзину с наименьшими привилегиями, а не в корзину с белым списком. Причины очень веские, и я верю, что к концу этой статьи вы будете думать так же, как я по этому вопросу! Общая цель, конечно же, состоит в том, чтобы снизить риски безопасности при одновременном снижении затрат и усилий для достижения этой цели.

Что такое белый список?

Белый список — это технология, которая используется для управления приложениями, запущенными на компьютере. Обычно это настольный компьютер или ноутбук, а не сервер или контроллер домена. Белый список часто называют контролем приложений. Это имеет смысл, поскольку технология действительно контролирует приложения, которым разрешено работать на каждой конечной точке.

В большинстве случаев белый список также сочетается с термином «черный список». Эти два термина на самом деле являются списками приложений. Белый список определяет приложения, которые разрешено запускать. В черный список попадают приложения, запуск которых запрещен.

Чтобы построить наш сценарий для статьи, давайте поработаем со следующими списками:

Белый список

Черный список

Microsoft Word

Каин

Быстрые книги

ЛДП

Microsoft PowerPoint

Таблица 1

Как вы можете ясно видеть, белый список приложений — это типичные приложения, которые кто-то может запускать для компании. Черный список — это список приложений, которые, как правило, не должны запускаться пользователями в корпорации, поскольку они могут использоваться для атаки на сеть и сбора информации об окружающей среде, которую обычному пользователю знать не нужно.

Наименьшие привилегии

Я уверен, что большинство из вас знает, что такое наименьшие привилегии, но на всякий случай. Наименьшие привилегии — это концепция, согласно которой все пользователи (особенно не ИТ-сотрудники) должны работать на своем компьютере как обычный пользователь, а не как локальный администратор. Это означает, что у пользователя не должно быть никаких локальных административных учетных данных. Причина наименьших привилегий довольно проста. Если у пользователей есть административные привилегии, они (не может быть, как мы знаем большинство пользователей) вызовут сбои в их обычном вычислительном дне. Они могут изменить настройку, которая может вызвать ошибки, они могут загрузить вирус из Интернета, не подозревая об этом, они могут установить приложение, которое вызывает конфликт с производственным приложением и т. д.

Наименьшие привилегии легко настроить. Пользователь просто удаляется из локальной группы администраторов! Это все, что требуется для реализации наименьших привилегий.

Преимущества минимальных привилегий

Поскольку я так часто писал о наименьших привилегиях, я не буду вдаваться в подробности обо всех преимуществах, а просто перечислю их здесь:

  • Пользователи не могут устанавливать приложения, требующие прав локального администратора (это более 50% приложений).
  • Пользователи не могут устанавливать вредоносные приложения, требующие прав локального администратора (это более 90% приложений).
  • Пользователи не могут запускать локально установленные или сетевые приложения, требующие привилегий локального администратора (это число различается для каждой корпорации).
  • Пользователи не могут запускать вредоносные приложения, требующие прав локального администратора (это значительно больше 75% всех приложений).
  • Более 90% всех вирусов, червей, вредоносных программ и т. д. не могут работать
  • Пользователи являются обычными пользователями при работе в Интернете, поэтому вредоносные приложения не имеют прав локального администратора на компьютере.
  • Пользователи являются обычными пользователями при чтении электронной почты, поэтому любые ошибочные клики по «плохим ссылкам» не приведут к установке вредоносного приложения (примерно 90% отменяются).
  • Рабочие столы пользователей остаются безопасными и стабильными
  • Пользователи не теряют продукт ivy из-за ошибочных или вредоносных настроек своего компьютера, что приводит к простоям.

Внесение в белый список без наименьших привилегий

Если мы теперь посмотрим на различные комбинации белого списка и минимальных привилегий, то обнаружим довольно интригующие результаты. Возьмите рабочий стол, на котором пользователь работает как локальный администратор. Этот пользователь сможет запускать приложения, перечисленные в белом списке, И, скорее всего, запускать приложения, перечисленные в черном списке! Почему это так?

Ну если я локальный админ на компе, значит имею ПОЛНЫЙ КОНТРОЛЬ над компом. Я могу добавить/удалить любое приложение, какое захочу. Я могу останавливать и запускать любую службу, какую захочу. Я могу вывести компьютер из домена, взломать реестр, внести изменения в любой файл/настройку и т. д.

Поэтому, когда пользователю предоставлены права локального администратора, администратор сети/домена практически ничего не может сделать для управления этим пользователем.

Белый список с наименьшими привилегиями

Если теперь мы лишим пользователя прав локального администратора, мы столкнемся с совершенно другой ситуацией, когда наш пользователь будет работать на своем рабочем столе. Теперь белый и черный список не на 100% точны. Мы должны определить, требует ли указанное приложение прав локального администратора.

Для нашего черного списка Cain требует прав локального администратора, поэтому он не будет работать независимо от того, находится ли он в списке. LDP может работать как обычный пользователь, поэтому это приложение должно оставаться в черном списке, если пользователь является только стандартным пользователем на компьютере.

Теперь о белом списке. Word и Powerpoint не требуют прав локального администратора, поэтому эти приложения будут работать. Однако для работы Quickbooks пользователь должен быть локальным администратором. Тот факт, что это приложение находится в одобренном (белом списке), не имеет отношения к тому, будет ли приложение работать, если пользователь является обычным пользователем! Белый список — это не «список повышения», а утвержденный список. Одобрение не возвышает!

Наименьшие привилегии без белого списка

Если мы пойдем с минимальными привилегиями и даже не будем рассматривать белый список, какие результаты мы получим? Что ж, наш список приложений, запуск которых будет запрещен, включает Cain, так как он не будет работать с обычным пользователем. LDP по-прежнему будет работать, если он установлен, но его не может установить пользователь, не имеющий прав локального администратора.

Приложения, которые будут работать, включают Word и PowerPoint, поскольку они работают нормально, поскольку пользователь работает без прав локального администратора. Quickbooks не запустится, так как для этого требуются права локального администратора.

руб.

Как видите, мне не нужен черный список в этом сценарии, так как приложения, которые я не хочу, чтобы пользователь запускал, все равно не запустятся.

У меня есть одна небольшая проблема: Quickbooks не будет работать. Однако обратите внимание, что добавление решения из белого списка также не позволит запускать Quickbooks! Мне нужно другое решение!

Итак, вы можете видеть в этом сценарии, что наше решение по внесению в белый список является нулевым и пустой тратой времени. Я могу достичь желаемых целей безопасности с наименьшими привилегиями. Если у меня есть решение с белым списком без минимальных привилегий, я не добился никакой безопасности, поскольку пользователь должен быть локальным администратором, чтобы приложения могли работать.

Решение!

Чтобы получить максимальную отдачу от затраченных средств, я предлагаю вам получить решение, которое обеспечивает наименьшие привилегии, и, если вы этого хотите / нуждаетесь, также внесение в белый список. Суть в том, что наименьшие привилегии обеспечивают лучшее общее решение для безопасности, поскольку вам даже не нужно добавлять много приложений в белый/черный список, поскольку наименьшие привилегии определяют, какие приложения могут быть установлены/запущены.

Черный список будет необходим только для приложений, которые могут работать от имени локального администратора, что нежелательно.

В качестве такого продукта я рекомендую PowerBroker для Windows от BeyondTrust (www.beyondtrust.com). Это решение значительно опережает конкурентов и обладает некоторыми потрясающими новыми функциями, которые могут вывести ваше решение безопасности на невиданный ранее уровень.

Резюме

Белый список — отличная идея… в теории. Когда дело доходит до защиты конечных точек, в первую очередь нужно учитывать наименьшие привилегии! Внесение в белый список без минимальных привилегий похоже на помещение ваших ценностей в пуленепробиваемый шкафчик, но не запирание шкафчика. Вы можете добиться желаемой безопасности с наименьшими привилегиями и небольшим списком приложений из черного списка. Вы можете либо получить продукт, который может повышать права приложений и черный список, либо использовать продукт, который повышает права приложений и встроенный черный список, такой как AppLocker. В любом случае, тратьте свое время с наименьшими привилегиями, а не с решениями из белого списка!

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023