Повышение безопасности конечных точек для настольных компьютеров Windows (часть 2)
Введение
Это вторая из двух серий статей, описывающих методы и параметры, доступные для повышения безопасности вашей конечной точки для ваших устройств Windows. В нашей первой статье мы обсудили, как были настроены брандмауэр и политика паролей, а также как вы можете проверить правильность настроек. Понятно, что политика паролей защищает компьютер в первую очередь от локальных атак, когда злоумышленник может подобрать пароль. Брандмауэр защитит конечную точку от сетевых атак и другого вредоносного кода, который может быть написан для связи через известные небезопасные порты. В этом выпуске мы обсудим, как минимальные привилегии могут помочь защитить компьютер от атак локальных пользователей, а также как защита от утечки данных может помочь защитить корпоративные активы от незаконной и/или ненадлежащей отправки через Интернет.
Endpoint Security: наименьшие привилегии
Когда дело доходит до безопасности конечных точек, я считаю, что минимальные привилегии — это самая важная функция безопасности, которую вы можете реализовать. Без минимальных привилегий пользователь конечной точки обычно настраивается как локальный администратор, чтобы выполнять все свои авторизованные задачи. Если пользователю предоставлен локальный администратор для выполнения его авторизованных задач, имеет смысл только то, что он также может запускать почти любую другую задачу, которую он хочет.
Как только пользователю предоставлены права локального администратора, администратор сети или домена не может ничего сделать, чтобы контролировать его поведение на своей конечной точке. Некоторые примеры того, что может сделать локальный администратор, но не может остановить администратор сети или домена:
- Вывести конечную точку из домена
- Изменить настройки IP-адреса
- Изменить настройки реестра
- Установите любое приложение локально
Это может показаться не разрушительным изменением конечной точки, но почти все они имеют последствия, которые могут поставить под угрозу безопасность конечной точки и всей сети в целом. Невозможность контролировать конечную точку из-за того, что пользователь является локальным администратором, — это наихудшая ситуация, в которой может оказаться корпорация.
Если минимальные привилегии так важны, то почему большинство корпораций до сих пор имеют конечные точки, не настроенные с минимальными привилегиями? Ответ связан с множеством проблем, связанных с тем, что пользователям необходимо делать для выполнения своих повседневных задач. Ниже приведены примеры задач, которые большинство корпораций хотят или нуждаются в том, чтобы их пользователи выполняли на своих конечных устройствах, чтобы быть продуктивными:
- Установить приложения
- Установить драйверы
- Запускайте бизнес-приложения
- Установите элементы управления ActiveX
- Запуск функций операционной системы (дефрагментация, изменение часов и т. д.)
Все эти функции на определенном уровне требуют прав локального администратора. Даже если вашим конечным точкам требуется одна из этих задач с повышенными правами, мало что можно сделать, чтобы предоставить пользователю привилегии только над этой одной задачей. Таким образом, большинство организаций предоставляют полные права локального администратора компьютера, чтобы можно было выполнить задачу.
Решения для наименьших привилегий были проверены, и, к сожалению, большинство попыток потерпели неудачу. Ниже приведен список распространенных проверенных/неудачных решений для наименьших привилегий.
- Запуск от имени Windows XP
- Контроль учетных записей пользователей Windows Vista/7 (UAC)
- Изменение прав доступа к файлу/папке/реестру
- Использование локальной группы опытных пользователей
- Белый список приложений
- Совместимость приложений
Некоторые из этих решений близки, но ни одно из них не может решить наименьшие привилегии так, чтобы конечная точка была защищена. Однако на рынке есть и другие решения, которые могут решить проблему минимальных привилегий. Большинство доступных на рынке решений с минимальными привилегиями используют групповую политику для развертывания и управления конечными точками. Пионером минимальных привилегий является компания BeyondTrust и их продукт PowerBroker Windows Desktops (www.beyondtrust.com). PowerBroker Windows Desktops, как и любое реализуемое вами решение с минимальными привилегиями, должно иметь следующие основные функции:
- Заставить пользователя быть стандартным пользователем
- Все утвержденные задачи с повышенными правами должны обнаруживаться автоматически.
- Решение с наименьшими привилегиями необходимо интегрировать в существующую среду Active Directory.
- Все утвержденные задачи могут быть выполнены
Endpoint Security: защита от утечки данных
Защита от утечек данных (DLP) — это новая форма безопасности, которая имеет решающее значение почти для каждой корпорации из-за наплыва утечек данных за последние месяцы. Утечка данных — это злонамеренный (иногда ошибочный) обмен или передача данных внутри корпорации куда-то за ее пределы. Утечка может произойти кем-то с привилегиями локального администратора или даже привилегиями локального стандартного пользователя. Ключевым аспектом сценария утечки данных является то, что существует мало контроля или мониторинга того, что пользователи могут делать с данными, когда они имеют законный доступ к данным. Наименьшая привилегия не является решением для защиты от утечки данных, поскольку она ограничивает только привилегию пользователя в конечной точке.
Защита от утечки данных — это концепция и технология, которые обеспечивают контроль и мониторинг данных для обеспечения конфиденциальности и конфиденциальности данных для любой ИТ-инфраструктуры. Как минимум, современное решение для защиты от утечки данных должно обеспечивать защиту от утечки данных с учетом содержимого, контроль устройств, контроль электронной почты, веб-контроль, контроль доступа к данным, как минимум.
Утечки данных были на первых полосах газет в последние месяцы из-за компаний, подвергшихся атакам, а также из-за утечки информации. В качестве примера можно привести примеры недавних утечек данных:
Корпорация Sony. Сеть Sony PlayStation Network была недоступна в течение недели, поскольку компания признала, что неуполномоченное лицо украло личную информацию, принадлежащую 77 миллионам владельцев учетных записей.
Безопасность RSA. Недавно RSA был взломан, когда вор похитил информацию, связанную с токенами RSA SecurID. Это решение для двухфакторной аутентификации RSA используется миллионами пользователей, в том числе государственными и частными организациями.
WikiLeaks. Правительство Соединенных Штатов раскрыло десятки тысяч документов, опубликованных Pfc. Брэдли Мэннинг, служивший аналитиком разведки в Ираке.
HSBC. У HSBC были украдены данные более чем 130 000 клиентов из частного банка HSBC Holdings Plc в Женеве, Швейцария.
Любое решение по утечке данных, которое вы реализуете, должно защищать от наиболее распространенных утечек. Ниже приведен список требований к решению DLP:
- Предотвращение инцидентов Wikileaks
- Предотвращение доступа к данным на украденных или потерянных компьютерах
- Управление съемными устройствами
- Ограничение доступа к данным для определенных приложений
- Предотвращение передачи данных за пределы организации
Резюме
Безопасность конечных точек — это не просто настройка нескольких политик и обеспечение безопасности IE. Безопасность конечных точек — это множество функций и решений безопасности, которые защищают ключевые области, где конечные точки становятся средством атаки, могут быть атакованы или представляют угрозу для всей сети. Взгляд на всеобъемлющую модель безопасности конечной точки означает, что вы должны обратить внимание на брандмауэр конечной точки, политики паролей конечной точки, минимальные привилегии и DLP. Если вы внедрите решения для всех этих областей и убедитесь, что все они настроены для защиты конечной точки, ваши конечные точки будут более безопасными, чем когда-либо прежде, и будут почти надежными.