Настольные ПК: Локальные права и привилегии

  • Article
Введение

Мне кажется, что сейчас все больше и больше вопросов я получаю от пользователей настольных ПК. Не поймите меня неправильно, мне нравятся настольные ПК! Мне просто хотелось бы, чтобы основные концепции настольных ПК для конечных пользователей: понятия о пользовательских правах, участии в локальных группах и безопасности этих ПК были проще для понимания. Однако, судя по тьме электронных писем, это достаточно сложно! Поэтому я хочу представить вам эту статью, определяющую, описывающую и решающую некоторые проблемы с безопасностью, которые беспокоят пользователей настольных ПК. В этой статье речь пойдет о пользовательских правах, участии в локальных группах, защите данных и принципе наименьших привилегий.

Определение терминов

Для начала я должен уделить несколько минут кратким определениям. Это поможет при чтении статьи, ведь многие часто путаются в подобных обсуждениях и статьях. Я попробую честно придерживаться «правильных» определений, но даже я иногда сбиваюсь. Итак, вот некоторые самые важные определения:

Пользовательские права - это настройки для компьютера, контролирующие то, что пользователь (или группа пользователей) может делать с компьютером. Например, если у вас есть право на резервное копирование файлов на каком-то компьютере, это означает, что вы можете сделать копию ЛЮБОГО файла, хранящегося на данном компьютере, даже файлов ОС, файлов для администраторов или любых других файлов. В общем, это относится ко всему компьютеру, а не к отдельным файлам или папкам.

Разрешения - то, что настраивается для контроля доступа к ресурсам. Ресурс – это файл, папка, ключ реестра, принтер или объект Active Directory (на контроллере домена). Разрешения настраиваются в Access Control List (ACL – Список контроля доступа). Разрешения определяют, «кто» и «что» можно делать с ресурсом. Примеры: Read(чтение), Modify(изменение), Delete(удаление) и т.д.

Локальная группа - эти группы хранятся в локальном Security Accounts Manager (SAM) компьютера (или сервера). Локальные группы действуют только в рамках того компьютера, на котором они располагаются. То есть, если пользователь участвует в локальной группе, возможности, обеспечиваемые локальной группой, распространяются только на тот компьютер, где находится группа.

Наименьшие привилегии - это принцип, впервые представленный министерством обороны (Department of Defense - DoD). Смысл его в том, что пользователю даются только минимальные привилегии, необходимые для выполнения задач. Если пользователю требуется запускать ключевое бизнес-приложение с администраторскими правами, они должны быть обеспечены пользователю. Однако, когда этот пользователь запускает Microsoft Word, он должен получать доступ к нему только как стандартный пользователь.

Общая безопасность настольного ПК

Для корпоративных сред общая задача состоит в том, чтобы позволить пользователям запускать приложения, устанавливать нужные программы и драйверы, запускать службы операционной системы, делать то, что приносит компании доход, но при этом выдавать пользователям наименьшие из возможных привилегий.

Часто я слышу от многих администраторов, что они хотят установить ограничения для каждого пользователя, определив, к каким компьютерам у них есть доступ, реализуя таким образом свою модель безопасности. И хотя я считаю, что в таком методе есть смысл, он очень трудоемок, и делает среду очень запутанной в управлении и при решении возникающих проблем.

Если безопасность хорошо проработана для каждого настольного ПК, тогда допуск каждого пользователя к каждому ПК не должен стать проблемой с точки зрения информационной безопасности. При этом правильно настроены должны быть пользовательские права, разрешения, участие в локальных группах и реализация принципа наименьших привилегий для приложений, установок и функций ОС.

Пользовательские права

Пользовательские права – это настройки, контролирующие различные аспекты работы настольного ПК. В сущности, эти права обеспечивают или запрещают наивысший уровень возможностей в отношении ПК. Когда я говорю о наивысшем уровне, я имею в виду уровень всего компьютера, а не отдельных файлов или папок. Когда право определено для ПК, оно включает в себя действие над чем угодно на этом компьютере.

Есть некоторые права пользователя, содержащие более высокую степень риска по сравнению с другими. Например, есть такое право – «Shut down the System»(Завершение работы). Это возможность, которую должен иметь любой пользователь. То есть, нет ничего страшного в том, чтобы дать такое право каждому пользователю. А вот если рассмотреть право «Act as part of the operating system»(Работа в режиме операционной системы), очевидно, что обычному пользователю его выдавать не следует.

Вот те пользовательские права, на которые я всегда указываю администраторам и аудиторам:

  • Act as part of the operating system
  • Back up files and directories(Архивирование файлов и каталогов)
  • Change the system time(Изменение системного времени)
  • Create a token object(Создание маркерного объекта)
  • Force shutdown from a remote system(Принудительное удаленное завершение)
  • Generate security audits(Создание журналов безопасности)
  • Impersonate a client after authentication(Олицетворение клиента после проверки подлинности)
  • Log on as a batch job(Вход в качестве пакетного задания)
  • Log on as a service(Вход в качестве службы)
  • Manage auditing and security log(Управление аудитом и журналом безопасности)
  • Replace a process level token(Замена маркера уровня процесса)
  • Take ownership of files and other objects(Овладение файлам и другими объектами)

Получить доступ к этим и другим пользовательским правам вы можете с помощью групповой политики. Локально на ПК вы можете найти Local Group Policy, набрав gpedit.msc в строке Run, при этом откроется локальный редактор групповой политики. Если вы раскроете Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment, вы увидите все пользовательские права, как показано на Рисунке 1.

Рисунок 1: Пользовательские права в Group Policy для компьютера Windows 7 Рисунок 1: Пользовательские права в Group Policy для компьютера Windows 7

Разрешения

Разрешения контролируют доступ к ресурсам. Понятие «ресурсы» включает в себя файлы, папки, ключи реестра и принтеры компьютера. По умолчанию разрешения для большинства этих ресурсов безопасны, но любые папки и файлы, создаваемых в корневом каталоге, C:\, и открываемые тем, кто создал данные, доступны любому пользователю, вошедшему в систему.

Давайте взглянем на некоторые примеры настроек Windows 7 по умолчанию.

C:\ Authenticated users(Аутентифицированные пользователи) – имеют почти полный контроль над подпапками и файлами, но не корневым каталогом. Administrators(Администраторы) – имеют полный контроль над корневым каталогом и всем содержимым в этом каталоге. Users (Local)(Пользователи(локальные)) – им разрешено только чтение корневого каталога и всего содержимого в нем.

C:\Windows Administrators – имеют почти полный контроль над этой папкой и полный контроль над всем содержимым этой папки Users – имеют разрешения на чтение и исполнение

C:\Users\<имяПользователя> Administrators – полный контроль <имяПользователя> - полный контроль

В общем, пока у пользователя нет администраторских разрешений на ПК, файлы и папки, требующие защиты, по умолчанию защищены. И только если пользователь получает административные разрешения, он получает доступ свыше необходимого.

Углубляя эту концепцию, плохой практикой является, как с точки зрения безопасности, так и с точки зрения стабильности данных, разрешать пользователю хранить файлы локально. Если некие файлы хранятся в пользовательском профиле, направляясь затем при помощи Folder Redirection, то все правильно. Однако возможность создать папку напрямую в корне C:\, являющуюся таким образом незащищенной, притом, что пользователи могут хранить здесь файлы — это очень плохое решение. Такие файлы не защищаются (как мы видели выше с разрешениями по умолчанию), и по умолчанию им не гарантируется возможность резервного копирования.

Участие в локальных группах

Принцип тут простой. Если пользователь помещается в локальную группу Administrators, этот пользователь получает локальный администраторский доступ. То есть пользователь может выполнять любую задачу, с любым ресурсом, и устанавливать любое приложение по своему усмотрению. Нет способов контролировать ПК, где пользователь является локальным администратором! Это ужасная ситуация и плохая политика для корпоративного ПК.

Наименьшие привилегии

Как видите, все эти принципы и идеи ведут к одному. Пользователь не должен иметь локальных администраторских привилегий, за исключением разрешений для тех задач, выполнять которые необходимо.

Вопрос в том, КАК реализовать это в компьютере с Windows? При стандартном наборе вариантов вы можете либо выдать доступ к бизнес-приложениям, требующим администраторских привилегий, добавив пользователя в локальную группу Administrators, либо вы можете модифицировать все разрешения и пользовательские права, связанные с файлами, папками и всем компьютером, чтобы пользователь мог вызывать ТОЛЬКО конкретное приложение. При, возможно, сотне приложений на корпорацию, это не очень эффективный способ.

В Windows Vista и 7 появилась функция User Account Control (UAC – Контроль пользовательского доступа), которая как раз контролирует работу с пользовательскими привилегиями, но, к сожалению, при существующей технологии ее работы, она и близко не подходит к решению проблемы. Вместо этого она решает другие проблемы, о чем можно прочитать в этой статье.

При том, что стандартная операционная система не в состоянии решить дилемму наименьших привилегий, UAC тоже не приближается к ее решению, а модификация разрешений и пользовательских прав вызывают столько головной боли, что все-таки может помочь решить проблему с наименьшими привилегиями? Сегодня одним из самых быстрорастущих решений для корпоративных сред является расширение вашей текущей инфраструктуры Group Policy. Подобное решение позволит вам воспользоваться тем, что у вас уже есть (включая Active Directory и Group Policy), без необходимости менять контроллеры домена, Active Directory, устанавливать сложные решения, дополнительные серверы и т.д. Посмотреть на такие решения можно здесь.

Заключение

В ПК с Windows есть масса сложностей, когда речь заходит о безопасности. Разбиение вариантов на меньшие части помогает нам понять, что дает нам каждый вариант, а также помогает понять, как корректно защитить компьютер. С помощью пользовательских прав, разрешений, UAC и локальных групп решить проблему довольно сложно. В конце концов вам понадобится обеспечить доступ с учетом принципа наименьших привилегий, что невозможно при использовании встроенных технологий от Microsoft!

Автор: Дерек Мелбер (Derek Melber)

Дерек Мелбер (Derek Melber)Дерек Мелбер, MCSE, MVP, CISM.
Дерек является Директором по Согласованию Решений в DesktopStandard. Он написал несколько книг по аудиту безопасности Windows, а также Group Policy Guide (Руководство по Политике Групп) для MSPress, которая является единственной книгой Microsoft, посвященной Политике Групп.

Источник: https://www.Redline-Software.com

Возникли вопросы?

Обращайтесь на форум!