BeyondTrust empêche les utilisateurs Windows d'abuser des privilèges

Trop d'entreprises accordent encore à la plupart de leurs utilisateurs finaux des privilèges d'administration à plein temps dans Windows. Si vous demandez pourquoi la pratique taboue se poursuit, les administrateurs répondront qu'ils doivent autoriser les utilisateurs finaux réguliers à installer des logiciels et à apporter des modifications de base à la configuration du système. Pourtant, ces mêmes tâches exposent également les utilisateurs finaux à des risques d'exploitation malveillante.

[BeyondTrust Privilege Manager 3.0 a été sélectionné pour le prix Technologie de l'année. Regardez le diaporama pour voir tous les gagnants dans la catégorie sécurité. ]

La grande majorité des attaques de logiciels malveillants d'aujourd'hui fonctionnent en incitant l'utilisateur final à exécuter un exécutable non autorisé, via des pièces jointes, des liens intégrés et d'autres astuces d'ingénierie sociale associées. Bien qu'un accès privilégié ne soit pas toujours nécessaire pour accomplir un comportement malveillant, il facilite considérablement le travail et la grande majorité des logiciels malveillants sont écrits pour l'exiger.

Vista propose de nouveaux outils de sécurité, notamment UAC (User Access Control), mais même avec cette fonctionnalité, les utilisateurs finaux ont besoin d'informations d'identification privilégiées pour accomplir des tâches administratives telles que l'installation de logiciels, la modification de la configuration du système, etc. Et que faire des versions précédentes de Windows?

Entrez dans le gestionnaire de privilèges de BeyondTrust, qui comble le fossé en permettant à de nombreux administrateurs réseau d'appliquer des normes de sécurité conformes aux meilleures pratiques sous Windows 2000, 2003 et XP. Le logiciel permet aux administrateurs de définir diverses tâches élevées que les utilisateurs finaux peuvent effectuer sans avoir besoin d'informations d'identification élevées. Il peut également réduire les privilèges accordés aux utilisateurs, y compris aux administrateurs, lorsqu'ils exécutent des processus sélectionnés (Outlook, Internet Explorer), imitant la fonctionnalité de l'UAC de Vista ou du mode protégé d'Internet Explorer 7 (bien qu'en utilisant des mécanismes différents).

Privilege Manager fonctionne comme une extension de stratégie de groupe (ce qui est génial car vous pouvez la gérer avec vos outils Active Directory normaux) en exécutant des processus prédéfinis avec un contexte de sécurité alternatif, assisté par un pilote côté client en mode noyau. Le pilote et les extensions côté client sont installés à l'aide d'un seul package MSI (Microsoft Installer), qui peut être installé manuellement ou via une autre méthode de distribution de logiciels.

Un composant en mode utilisateur intercepte les demandes de processus client. Si le processus ou l'application est précédemment défini par une règle Privilege Manager stockée dans un GPO (objet de stratégie de groupe) effectif, le système remplace le jeton d'accès de sécurité normal du processus ou de l'application par un nouveau; alternativement, il peut ajouter ou supprimer des SID (identificateurs de sécurité) ou des privilèges du jeton. Au-delà de ces quelques changements, Privilege Manager ne modifie aucun autre processus de sécurité de Windows. À mon avis, c'est une manière brillante de manipuler la sécurité car cela signifie que les administrateurs peuvent compter sur le reste de Windows pour fonctionner normalement.

Le composant logiciel enfichable de stratégie de groupe Privilege Manager doit être installé sur un ou plusieurs ordinateurs qui seront utilisés pour modifier les objets de stratégie de groupe associés. Les logiciels de gestion côté client et GPO sont disponibles en versions 32 et 64 bits.

Les instructions d'installation sont claires et précises, avec juste assez de captures d'écran. L'installation est simple et sans problème mais nécessite un redémarrage (ce qui est une considération lors de l'installation sur des serveurs). Le progiciel d'installation côté client requis est stocké sur l'ordinateur d'installation dans des dossiers par défaut pour faciliter la distribution.

Après l'installation, les administrateurs trouveront deux nouvelles unités d'organisation (unités organisationnelles) lors de la modification d'un objet de stratégie de groupe. L'un est appelé Sécurité informatique sous la feuille de configuration de l'ordinateur; l'autre s'appelle Sécurité utilisateur sous le nœud Configuration utilisateur.

Les administrateurs créent de nouvelles règles basées sur le chemin, le hachage ou l'emplacement du dossier d'un programme. Vous pouvez également pointer vers des chemins ou des dossiers MSI spécifiques, désigner un contrôle ActiveX particulier (par URL, nom ou SID de classe), sélectionner une applet de panneau de configuration particulière ou même désigner un processus en cours d'exécution spécifique. Les autorisations et privilèges peuvent être ajoutés ou supprimés.

Chaque règle peut en outre être filtrée pour s'appliquer uniquement aux machines ou aux utilisateurs répondant à certains critères (nom de l'ordinateur, RAM, espace disque, plage de temps, système d'exploitation, langue, correspondance de fichier, etc.) Ce filtrage s'ajoute au filtrage WMI (Windows Management Interface) normal des objets de stratégie de groupe Active Directory et peut s'appliquer aux ordinateurs antérieurs à Windows XP.

Une règle courante, que la plupart des organisations trouveraient immédiatement utile, accorde la possibilité de copier tous les fichiers d'installation d'application autorisés dans un dossier d'entreprise commun et partagé. Ensuite, à l'aide de Privilege Manager, vous pouvez créer une règle qui exécute tout programme stocké dans le dossier dans le contexte Administrateur pour des installations faciles. Des autorisations élevées ne peuvent être accordées que lors de l'installation initiale du programme ou à chaque fois qu'il est exécuté. Si un processus ne s'exécute pas, le système peut présenter un lien personnalisé qui ouvre un e-mail déjà rempli contenant les faits pertinents à l'incident, que l'utilisateur final peut envoyer au service d'assistance.

Une préoccupation commune parmi les analystes de sécurité ayant des programmes d'élévation similaires est le risque potentiel pour un utilisateur final de démarrer un processus élevé défini, puis d'utiliser le processus élevé pour obtenir un accès non autorisé et non intentionnel supplémentaire. BeyondTrust a déployé des efforts considérables pour garantir que les processus élevés restent isolés. Par défaut, les processus enfants démarrés dans le contexte de processus parents élevés n'héritent pas du contexte de sécurité élevé du parent (sauf s'ils sont spécifiquement configurés pour le faire par l'administrateur).

Mes tests limités pour obtenir des invites de commande élevées, tirés de 10 ans d'expérience dans les tests de pénétration, n'ont pas fonctionné. J'ai testé plus d'une douzaine de types de règles différents et enregistré le contexte de sécurité et les privilèges résultants à l'aide de l'utilitaire Process Explorer de Microsoft. Dans tous les cas, le résultat de sécurité attendu a été confirmé.

Mais supposons qu'il existe des instances limitées dans lesquelles Privilege Manager peut être utilisé pour une élévation de privilèges non autorisée. Dans les environnements qui bénéficieraient spécifiquement de ce produit, tout le monde est probablement déjà connecté en tant qu'administrateur sans produit de ce type. Privilege Manager réduit ce risque en permettant uniquement à quelques personnes très qualifiées d'obtenir un accès administrateur.

Mon seul commentaire négatif concerne le modèle de tarification. Il est d'abord séparé par utilisateur ou ordinateur, puis par conteneur sous licence, et enfin le prix du siège est par objet actif dans une UO couverte, que l'objet soit ou non impacté par Privilege Manager. De plus, le nombre de licences est vérifié et mis à jour quotidiennement. C'est la seule chose trop compliquée dans un produit par ailleurs sans tache. (Le prix commence à 30 USD par ordinateur actif ou objet utilisateur dans le conteneur sous licence et les sous-conteneurs.)

Si vous voulez la sécurité la plus forte possible, n'autorisez pas vos utilisateurs à se connecter en tant qu'administrateur ou à exécuter des tâches élevées (y compris à l'aide de Privilege Manager). Cependant, pour de nombreux environnements, Privilege Manager est une solution solide et rapide pour réduire les risques associés aux utilisateurs finaux réguliers agissant en tant qu'administrateurs.

fiche d'évaluation Configuration (10,0%) Contrôle d'accès des utilisateurs (40,0%) Valeur (8,0%) Évolutivité (20,0%) Gestion (20,0%) Note globale (100%)
BeyondTrust Privilege Manager 3.0 9,0 9,0 10,0 10,0 10,0 9,3