Рецепт максимально безопасного настольного компьютера известен давно: независимо от платформы и применяемых дополнительных средств защиты пользователь должен обладать лишь минимально необходимыми правами. Это уже само по себе ограждает от львиной доли опасностей и ошибок в ПО (что, конечно, не означает, будто их можно не исправлять, просто ситуация перестает быть настолько критичной). Однако то, что совершенно привычно в мире UNIX, с трудом прокладывает себе дорогу в мире Windows.
 |
Хотя появление UAC (User Account Control) в Windows Vista было несомненно шагом в правильном направлении, многие восприняли его неоднозначно, и нередко данный механизм попросту отключают (забывая, что при этом перестают работать и другие защитные механизмы). Парадокс ситуации заключается в том, что, по словам представителей Microsoft, он как раз и призван тревожить пользователя, чтобы тот понимал серьезность выполняемых им действий. Кроме того, UAC должен бы стимулировать сторонних разработчиков к созданию программ, по возможности не требующих для исполнения (там, где это возможно) административных привилегий, однако и здесь до всеобщего консенсуса еще далеко. Тем не менее в Windows 7 доработанный UAC стал результатом очередного компромисса, что незамедлительно привело к появлению методов его обхода.
Впрочем, в любом случае UAC больше ориентирован на индивидуальных пользователей и мало пригоден в корпоративной среде (все еще в значительной степени полагающейся на Windows XP), где за настройку и функционирование компьютеров отвечают системные администраторы, а пользователи, соответственно, полностью «поражены в правах» (т. е. не могут быть даже локальными администраторами). При всей своей оправданности данный подход, однако, приносит множество неудобств: пользователь не может самостоятельно установить нужную программу, запустить вручную утилиту, вроде дефрагментатора, и по любому подобному вопросу вынужден обращаться к техническому персоналу.
 |
| Правила Privilege Manager позволяют различным образом описывать исполняемые файлы, в данном случае – цифровым сертификатом |
Впрочем, для этой проблемы существует элегантное решение, хотя и полагающееся на стороннее ПО. BeyondTrust Privilege Manager позволяет организовать рабочую среду в компании таким образом, что обычные пользователи смогут выполнять ряд предопределенных задач, которые автоматически (в том числе и совершенно «прозрачно», без лишних вопросов и подтверждений) будут запускаться с повышенными привилегиями.
При этом архитектура Privilege Manager предельно проста и понятна – оно полностью полагается на стандартный механизм групповых политик Windows, а для реализации специфической функциональности необходимо установить лишь специальное расширение, интегрирующееся со стандартными средствами управления политиками, и клиентский драйвер на компьютеры обслуживаемой OU. В дальнейшем администратор действует совершенно традиционным способом: создает новый GPO и затем настраивает его разделы, относящиеся к Privilege Manager.
Суть последнего процесса сводится к формированию списка специальных правил, определяющих контекст исполнения необходимых программ. В зависимости от принципа описания своих объектов они разделяются на несколько типов, уместных в различных сценариях:
- исполняемый файл или инсталляционный модуль можно указать с помощью пути или хэш-кодом (SHA1);
- правило для сетевой папки позволит создать разделяемый ресурс, куда администратором будут складироваться все дополнительные программы, разрешенные к применению пользователям;
- на основании цифрового сертификата можно открыть доступ к ПО конкретного поставщика, что удобно, если в организации используются различные версии какой-то программы (скажем, антивируса или дефрагментатора);
- правила для оптических дисков (распознаваемых по цифровым идентификаторам) позволяет выдавать их пользователям для самостоятельной установки;
- также можно разрешить инсталляцию ActiveX-компонентов – всех вместе или индивидуально.
Еще один тип правил – Shell Rule – стоит несколько особняком, поскольку позволяет пользователю запускать с повышенными привилегиями любые EXE- или MSI-файлы, для чего в контекстном меню Windows Explorer появляются соответствующие пункты – по сути, аналоги Run As, с той лишь разницей, что не потребуется вводить пароль администратора.
 |
| Встроенный механизм фильтров обеспечивает избирательность применения правил по самым разным критериям |
Естественно, все правила допускают весьма подробную настройку. Во-первых, от пользователя можно требовать дополнительной аутентификации, а также письменного объяснения (которое будет запротоколировано), зачем ему понадобилось данное приложение. Во-вторых, вкладка Permissions в окне свойств правила позволяет в явном виде управлять конкретными полномочиями, в основном системного уровня (к примеру, менять время, загружать драйверы, выключать компьютер и т. д.). Для Windows Vista и Windows Server 2008 также актуальна вкладка Integrity Level, где указываются уровни целостности (в некоторых источниках – доверия) охватываемых программных процессов, определяющих их взаимодействие с другими объектами в данных ОС.
Наконец, для правил имеется развитой механизм фильтров, позволяющий избирательно применять их в рамках GPO. К примеру, если обслуживаемый компьютер находится в многопользовательском доступе, то правило можно сделать актуальным только для отдельных учетных записей. Аналогично можно указать конкретный домен, версию и язык ОС и даже кое-какие аппаратные характеристики.
Имеется возможность и настройки самого механизма Privilege Manager, причем реализованная в виде еще одного набора групповых политик, объединенных в специальный административный шаблон. Здесь можно управлять параметрами обработки правил, протоколированием действий драйвера и пользователя и даже адаптировать диалоговые окна Internet Explorer, которые отображаются при установке ActiveX-компонентов.
В целом, Privilege Manager выглядит весьма продуманным продуктом, что и неудивительно, поскольку речь идет о версии 4.x, и прекрасно справляется с возложенными на него функциями. Цена – порядка $37,20 за компьютер (в пакете до 250 лицензий) – не так мала, однако надо учитывать, что Privilege Manager позволяет с легкостью решить целый ряд проблем, весьма болезненных в корпоративной среде, и при этом поддерживать на должном уровне общую безопасность.