вторник, 13 марта 2012 г.

Админские права у пользователей

Перевел фрагмент анотации на интересный продукт, посвященный отбору админских прав. Сам продукт не называю.

Сложности установления минимальных привилегий
Улучшение безопасности ассоциируется с ликвидацией административных прав. Можно спросить, почему так много организаций позволяют своим сотрудникам работать с административными правами. Это идет от предположения, что убрать лишние права очень трудная задача, и что пользователи будут работать менее эффективно из-за запретов, возникающих минимальными правами. Если пользователю нужны административные права, чтобы запустить единственное приложение, приходится добавлять его в группу администраторов. В действительности же у каждого пользователя более, чем одно приложение требует таких прав. Увеличение количества ноутбуков в организации только усиливает эту проблему, т.к. пользователям самим приходится решать многие административные задачи на них, например, изменять сетевые настройки, добавлять принтеры, устанавливать дополнительное ПО.
Неспособность большинства ОС точечно предоставлять и контролировать нужные приложениям права является фундаментальным барьером для многих организаций, желающих добиться эффективной работы своих сотрудников с минимальными привилегиями, необходимыми для выполнения ими своих задач.
Хотя в Windows XP есть режим запуска “Rus As”, а в Windows Vista и Windows 7 есть режим User Account Control (UAC), эти режимы всё еще требуют, чтобы пользователь имел дополнительно еще и административную учетную запись для выполнения административных задач. Однако эти возможности больше подходят для работы на домашнем компьютере, когда пользователь выполняет свои повседневные дела, работая под обычными правами, и использует полные права только эпизодически. 

Ликвидация административных прав
Ликвидация административных прав для обычных пользователей это первый шаг на пути установления минимальных привилегий. Это часто называет least-privileged user account (LUA). LUA должен быть применен, как к обычным пользователям, так и к администраторам.
Однако применение LUA может быть трудным и дорогим во внедрении, т.к. приложения, требующие административных прав часто должны быть переработаны или для их работы нужно точно понять какие ресурсы им необходимы, точечно предоставить их, чтобы эти приложения заработали под обычными правами.
Когда пользователям требуется сконфигурировать ОС, что бывает необходимо во многих ОС, им предоставляются административные учетные записи. Используя режимы Run As и UAC можно запустить приложения под административными правами, но для этого опять же нужно дать пользователям права администратора. Всё это очевидно создает следующие трудности:
§        пользователи должны быть доверенными, т.к. имеют локальные административные учетные записи, что создает возможность злоупотреблений, что в корпоративной среде неприемлемо;
§     приложения, запускаемые под другими учетными записями, нежели работают сами пользователи, создают дополнительные проблемы. Например, приложения могут не иметь доступа к пользовательским профилям или сетевым ресурсам, в результате чего уменьшается прозрачность при работе пользователей с приложениями.
§     пользователи должны помнить по два пароля: один стандартный, другой административный.  Пользователям нужно быть более бдительными при запросах ОС о вводе административных паролей, такие пользователи становятся слабым звеном любой системы.

Все эти проблемы создают предпосылки для повседневной работы пользователей под административными правами.

2 комментария:

  1. Я соглашусь, вещь очень нужная, но в свое практике очень редко сталкивался. Но есть некоторые особенность:
    - ИТ не хочется возится с софтом, дабы выяснить, какие именно нужны доступа и к каким ресурсам, чтобы не давать локального администратора. Им проще дать права.
    В своей практике всегда удавалось решать такие вопросы обходится или создание фиктивной группы Локального администратора (были такие случаи), или предоставлялись необходимые доступа (реестр, устройство, файлы, папки и т.д.) и добавление в GPO .
    Разработчики не очень охотно идут на контакт, чтобы помочь.
    Могу сказать, что в своей практике пока не приходилось применять Run As.

    PS: Если я правильно понял, то программа работает не только с домеными, но с локальными группами?

    ОтветитьУдалить
  2. Как выяснилось агент просто запускает нужный процесс (читать приложение) в другом окружении (читать с админскими правами) и всё.

    ОтветитьУдалить