Windows Vista и принцип наименьших привилегий

Windows Vista и принцип наименьших привилегий

У ИТ-сообщества было много проблем с Microsoft и их текущей практикой установки системы только с созданной учетной записью администратора, которая имеет полный доступ к компьютеру. Поскольку вирусы, вредоносное ПО, черви и злоумышленники растут как на дрожжах, должны быть приняты некоторые меры, которые помогут уменьшить подверженность этим отвратительным атакам на компьютер с Windows. Меры, которые принимает Microsoft, не ясны на 100%, но общий посыл остается прежним. У Microsoft будет какая-то минимальная привилегия для пользователей в Vista, просто неясно, насколько глубоко они будут ее использовать.

Определение принципа наименьших привилегий

Определение принципа наименьших привилегий довольно простое и понятное. Идея состоит в том, что пользователям будут предоставлены только те привилегии, которые абсолютно необходимы для выполнения той или иной задачи. Это может быть настройка их компьютера, работа в Интернете, запуск финансового приложения или отправка электронной почты. Возможно, вы также слышали термин «наименьшие разрешения», который очень похож на принцип наименьших привилегий.

Текущие попытки реализовать принцип наименьших привилегий

Администраторы изо дня в день борются за контроль над тем, к чему может получить доступ пользователь. Принцип наименьших привилегий может распространяться не только на компьютер пользователя, но и на саму сеть. Например, администраторы тратят бессчетное количество часов на то, чтобы убедиться, что списки контроля доступа к сетевым ресурсам настроены правильно. Эти списки управления доступом отвечают за разрешение доступа к ресурсу, к которому они подключены, только настроенным пользователям. Каждый сетевой ресурс (файл, папка, принтер и т. д.) имеет список управления доступом в сети Windows.

Дополнительная попытка контролировать то, к чему имеют доступ пользователи, включает в себя блокировку доступа к серверу. Обычно это делается с помощью списков контроля доступа и прав пользователей. Права пользователя определяют, что пользователь может делать на сервере. Примеры прав пользователя включают в себя: локальный вход в систему, доступ к компьютеру по сети, резервное копирование файлов и папок и вход в систему с использованием сеанса службы терминалов.

Эти попытки заблокировать сетевые ресурсы и серверы очень успешны. Однако эти конфигурации не влияют на то, вошел ли пользователь на свой локальный компьютер как обычный пользователь (пользователь с наименьшими правами) или как администратор. Следовательно, основная слабость в контроле за реализацией принципа наименьших привилегий связана с компьютером пользователя.

Причины и подводные камни предоставления прав администратора пользователям

Я не знаю слишком много администраторов, которые желают предоставлять административный доступ своим конечным пользователям, даже если административный доступ нужен для установки и запуска ключевого приложения на компьютере. Вот некоторые причины, по которым пользователям может потребоваться административный доступ к своему компьютеру:

• установка приложений
• установка драйверов принтера
• изменение системного времени или часового пояса
• установка патчей безопасности
• выполнение задач Windows или административных задач

В каждом случае необходима общая потребность в административных привилегиях. Есть и другие причины, по которым пользователи входят в систему с правами администратора. Хотя эти причины в основном касаются домашних пользователей, есть много компаний, которые становятся жертвами работы в качестве администратора по следующим причинам:

• Это установленный пользователь по умолчанию, поэтому он используется
• Кажется, он работает для всего, что мне нужно, поэтому он используется
• Я не знал, что могу создать другую учетную запись пользователя

В настоящее время нет способа запретить пользователю административный доступ ко всему компьютеру после того, как ему был предоставлен административный доступ к одной из этих задач. Это означает, что пользователь с административным доступом к компьютеру может выполнять другие задачи, такие как:

• работа в Интернете от имени администратора
• установка других приложений на свой компьютер
• изменение ключевых сетевых настроек
• удаление своего компьютера из домена

Вопросы разработки и установки приложений

Если мы сосредоточимся исключительно на необходимости того, чтобы пользователь был администратором для запуска приложения, проблема вернётся к разработке приложения. Почти в каждом случае разработчик приложения входит в систему как администратор, чтобы разработать и протестировать поведение приложения. Существует несколько приложений, разработанных для работы в рамках концепции или среды с наименьшими привилегиями.

Другой ловушкой для большинства приложений, требующих, чтобы пользователь был администратором, является тот факт, что приложение записывает данные в ключевые системные папки и разделы реестра, требующие административного доступа. К ним могут относиться:

• C:виндовс
• C:Программные файлы
• HKEY_Local_Machine

Исследования приложений, требующих административного доступа, привели к ошеломляющим цифрам. Исследование показало, что примерно 90 процентов программного обеспечения Windows невозможно установить без доступа администратора к Windows. Это связано с тем, что 70 процентов приложений не будут работать, если у пользователя нет прав администратора.

Решение Microsoft для принципа наименьших привилегий

Microsoft принимает меры для устранения почти каждой из этих проблем, чтобы гарантировать, что в Windows Vista будет пользователь с наименьшими привилегиями. Когда Vista еще носила кодовое название Longhorn, Microsoft имела в виду новую модель привилегий пользователей, которая называлась Least-Privilege User Account (LUA). Идея учетной записи LUA заключается в том, что учетная запись не будет иметь прав администратора на компьютере, что снизит влияние вирусов и злоумышленников, если учетная запись окажется под угрозой.

Затем какое-то время Microsoft подталкивала независимых поставщиков программного обеспечения к рассмотрению возможности поддержки учетной записи LUA. Это включало специальную программу логотипа для соответствия LUA.

Название LUA было выбрано неудачно, поскольку Microsoft не могла реализовать концепцию учетной записи пользователя с наименьшими привилегиями с помощью технологии, о которой они говорили в Longhorn. Microsoft обсуждала такие технологии, как команда «Запуск от имени», которая вообще не использует концепцию наименьших привилегий. Здесь пользователь может запускать любое приложение от имени другого пользователя с правами администратора. Таким образом, они могут злоупотреблять службой и даже входить в систему как пользователь с повышенными привилегиями.

Как только Microsoft изменила название Longhorn на Vista, они также изменили название своей модели с наименьшими привилегиями. Новое название — защита учетных записей пользователей (UAP). Концепции UAP не сильно отличаются от концепций LUA, но есть некоторые различия. Некоторые из ключевых концепций, которые Microsoft пытается реализовать с помощью UAP, включают следующие задачи, которые не требуют административного доступа:

• Пользователи ноутбуков смогут установить WEP-ключ для подключения к домашней беспроводной сети.
• Пользователи смогут устанавливать драйверы принтеров
• Пользователи смогут загружать и устанавливать обновления
• Можно создавать и устанавливать VPN- и коммутируемые соединения.
• Запуск большинства приложений

Одной из возможностей, которые обещает Vista, является работа с установками приложений, требующих прав администратора. Цель состоит в том, чтобы Vista запрашивала у пользователя учетные данные администратора только для тех приложений, которые в них нуждаются. Это связано с тем, что приложения должны хранить файлы и настройки в системных файлах и ключах реестра, которые мы обсуждали ранее. Если у пользователя нет прав администратора, Vista предоставит виртуализацию реестра и файлов. Эта виртуализация будет выполняться для каждого компьютера и будет хранить информацию о приложении в расположениях для каждого пользователя, к которым у пользователя есть права доступа.

Microsoft также пытается решить проблемы с приложениями в первую очередь. Сообщается, что они работают с поставщиками, которые предоставляют программное обеспечение для установки приложений, включающее технологии LUA/UAP. Часть работы связана с раздельной настройкой, разделением функций пользователя и администратора. Это действительно вызывает потенциальные проблемы с установкой программного обеспечения, но эти проблемы не поднимались в моем исследовании.

В настоящее время у Microsoft есть технологии для установки приложений для пользователей, которые вошли в систему с минимальными правами доступа. Эта технология представляет собой групповую политику, которая позволяет устанавливать приложения без входа администратора в систему. Если эту технологию объединить с другими технологиями, такими как PolicyMaker Application Security, проблемы установки и запуска приложений от имени пользователя с минимальными привилегиями будут решены.

Вывод

Необходимость входа пользователей в систему с минимальными привилегиями имеет первостепенное значение для будущей безопасности и стабильности всех сетей. Существует слишком много уязвимостей и рисков, связанных с входом пользователей в систему в качестве администраторов. Поскольку такие компании, как Microsoft, продвигают реализацию минимальных привилегий в своих операционных системах, возможность увидеть модель минимальных привилегий в Vista вполне реальна. Не похоже, чтобы Microsoft полностью реализовала полное решение с наименьшими привилегиями, но с некоторыми сторонними решениями для управления приложениями мы будем очень близки. А пока нам просто нужно следить за тем, что Microsoft делает с Vista.