Tratto dalla userguide del prodotto BeyondTrust Privilege Manager [1]
"BeyondTrust Privilege Manager è una estensione Group Policy che permette di implementare in Windows un modello di sicurezza del tipo "minor privilegio possibile". Le aziende, per mezzo di questo prodotto, hanno la possibilità di elevare i permessi assegnati a specifici processi e applicazioni. Allo stesso tempo esiste la possibilità di ridurre i permessi assegnati alle applicazioni come Internet Explorer o Microsoft Outlook anche qualora vengano eseguite da utenti amministratori. Inoltre, per le aziende bisognose di raggiungere alti livelli di sicurezza, è possibile usufruire della tecnologia ShatterProof per l'isolamento dei processi, l'unica protezione attualmente conosciuta in grado di contrastare gli shatter attack.
Normalmente le aziende assegnano agli utenti finali un livello di permessi molto alto al fine di rendere possibile l'esecuzione di determinate applicazioni o funzionalità del sistema. Questo comportamento potrebbe costituire la più grande vulnerabilità che oggigiorno affligge le reti aziendali. Alcune statistiche affermano che il pericolo derivante da un intervallo compreso tra il 70% e il 90% di tutte le vulnerabilità viene ridotto quando gli account utente possiedono privilegi minimi sul sistema (LUA). eWeek ha pubblicato un articolo in cui si afferma che statisticamente gli utenti "Power Users" e "Administrators" lasciano il sistema vulnerabile al 98% di tutti i virus e malware presi in esame. Quanto appena detto mette chiaramente in luce i problemi che circondano il principio del "minor privilegio possibile". All'interno di un sistema sicuro gli utenti dovrebbero possedere accesso e diritti soltanto per quelle risorse di cui hanno realmente bisogno e soltanto quando ne hanno bisogno. Sfortunatamente è impensabile che gli sviluppatori ritocchino tutte le applicazioni al fine di venire in contro a questo bisogno ed il numero di software e processi che richiedono privilegi elevati è in costante aumento. Aggiuntivamente, a causa dei comportamenti tenuti da utenti maleintenzionati e malware al fine di aggirare le protezioni, le aziende bisognose di raggiungere alti livelli di sicurezza devono aver modo di prevenire la diretta comunicazione tra quei processi che possiedono un livello di permessi differente sul sistema, questo tipo di approccio è l'unica protezione contro gli shatter attack che permettono ad un utente senza privilegi di acquisire il controllo di un computer attraverso un sistema di "Privilege Escalation".
BeyondTrust Privilege Manager affronta questa sfida con un sistema unico. E' possibile definire regole che stabiliscono in maniera specifica quale processo o applicazione sono autorizzati ad elevare i propri privilegi. Tali regole vengono comunicate ai computer client per mezzo di politiche di sistema (GPO).
BeyondTrust Privilege Manager basa il proprio funzionamento su di un driver installabile sui computer client per mezzo di un pacchetto .msi che contiene anche le estensioni client Group Policy (CSE) e gli spazi di nomi WMI necessari al motore di reportistica Resultant Set of Policy (RSoP). La maggior parte delle aziende installano questo pacchetto tramite Group Policy (software policy) o qualsiasi altra tecnologia per la distribuzione del software. Il suddetto driver di sicurezza intercetta l'avvio dei processi e li confronta con le regole che gli vengono trasmesse tramite Group Policy. Qualora sia presente qualche regolamentazione esso si occupa di intercettare l'evento di creazione del processo e ne manipola il token di sicurezza. In questo modo, quando un utente avvia una applicazione alla quale è stata associata una regola, il processo viene eseguito con l'aggiunta dei permessi e dei privilegi definiti in quest'ultima."
[2]Link: BeyondTrust.com [1]
Autore
Mirko Iodice
mirko -at- notageek (.dot) it