Защита привилегированных пользователей в Windows
Одним из важнейших вопросов современного бизнеса является вопрос электронной безопасности, и как и другие производители, компания Microsoft постоянно работает над тем, чтобы улучшить безопасность своих чрезвычайно популярных операционных систем. Новейшие издания Windows включают в себя целый ряд функций, призванных защитить систему от вирусов и хакерских атак, таких как виртуализация, криптографическая обработка данных и поддержка UEFI secure boot.
И хотя все эти новые средства успешно делают Windows более устойчивым к атакам из вне, они фактически оказываются бессильными перед угрозой со стороны пользователей, имеющих полноценный законный доступ к системе – сотрудников компании и различных сторонних подрядчиков. Успешная борьба с внутренними атаками требует совершенно другого подхода, и, как результат, другого набора инструментов, включая мониторинг действий привилегированных пользователей и защиту учетных записей с повышенным набором привилегий.
В этой статье мы узнаем, что именно Microsoft может предложить пользователям Windows для решения этой проблемы, какие инструменты доступны в системе по умолчанию, как ими пользоваться и насколько они эффективны в качестве защиты от внутренних угроз.
Виды учетных записей в Windows
Операционные системы Windows используют учетную запись для того, чтобы идентифицировать пользователя и загрузить всю информацию, ассоциируемую с этим конкретным пользователем, включая все настройки, внесенные им изменения и уровень его полномочий. Защита учетной записи с помощью пароля является наиболее простым, но все-же достаточно эффективным способом защитить личные данные. Кроме того, пользователи с более низким уровнем полномочий в системе имеют меньше шансов совершить вредоносные действия.
Политика Microsoft по отношению к учетным записям Windows изменилась со временем в пользу большей безопасности. Теперь Windows использует меньше видов учетных записей и создает их меньшее количество по умолчанию. Ограничение количества учетных записей – один из базовых способов минимизации площади для потенциальной атаки.
Windows 7 содержит следующие виды учетных записей:
- Администратор. Пользователь с максимально возможным уровнем привилегий. Он может устанавливать любое программное обеспечение, менять любые настройки и управлять учетными записями других пользователей.
- Пользователь. Учетная запись для повседневного использования. Не имеет доступа к критическим системным настройкам. Любые внесенные таким пользователем изменения персональные и не коснуться других пользователей.
- Гость. Одноразовая учетная запись, не имеющая пароля. Гости не могут вносить никаких изменений в систему.
Учетные записи видов Администратор и Пользователь также используются в Windows 8 и Windows 10. Помимо этого, данные системы также предлагают новый вид учетной записи – общая учетная запись для всех сервисов и продуктов Microsoft. Такая учетная запись привязывается к адресу вашей электронной почты и всегда обязательно имеет пароль. Она позволяет синхронизировать информацию между различными устройствами и приложениями Windows.
Если вы хотите узнать уровень полномочий своей учетной записи в Windows 7 и выше, проще всего это сделать с помощью Панели Управления. В настройках пользователей вы сможете не только узнать статус вашей текущей учетной записи, но изменить его, если это разрешено. Также для этих целей можно использовать настройки локальных пользователей и групп или командную строку, например, введя команду whoami /priv.
Разобраться в различных учетных записях Windows становится чуть сложнее при использовании доменов, но основной принцип распределения полномочий всегда сохраняется. Администратор всегда обладает наивысшими полномочиями, позволяющими вносить любые изменения в систему и использовать встроенные средства мониторинга для сбора любой необходимой информации. Это позволяет администратору обнаружить определенные виды внутренних угроз со стороны пользователей при условии правильно настроенных политик безопасности. Однако, обнаружить вредоносные действия со стороны самого администратора Windows используя только стандартные средства будет достаточно сложно.
Теперь, рассмотрим стандартные инструменты мониторинга, которые предлагает Windows.
Журнал событий Windows
Журнал событий Windows позволяет просматривать логи любых системных событий. Для облегчения поиска, все эти логи отсортированы по нескольким категориям – Приложения, Безопасность, Настройка и Система. Отдельный журнал для приложений и служб был добавлен в последних версиях Windows, чтобы облегчить просмотр логов отдельных приложений, отфильтровав всю дополнительную информацию.
Журнал событий дает возможность быстро искать нужную информацию и позволяет составить базовое представление о действиях пользователя. Тем не менее, этот инструмент, прежде всего, создан для администрирования системы и информация представлена здесь в таком виде, который не позволяет эффективно обнаруживать внутренние угрозы.
Локальные политики
Среди Локальных политик Windows также имеется встроенный инструмент для аудита, позволяя отслеживать различные события по отдельным пользователям. Эти события включают в себя вход в систему, доступ к объектам, изменение политик, и т. д. Аудит доступен как для локальных, так и для удаленных пользователей. Данный инструмент дает точное представление о конкретных типах пользовательских действий. Он практичен и легок в использовании, что позволяет применять его для обнаружения определенных видов внутренних угроз. Наиболее полезной здесь является возможность отслеживать доступ к файлам. Основным ограничением данного инструмента является то, что он позволяет отслеживать только определенные типы действий.
Мониторинг сетевой активности
Windows предлагает несколько способов мониторинга сетевой активности. Для перехвата пакетов может использоваться командная строка. Также можно использовать вкладку Сеть Монитора ресурсов для более удобного анализа траффика. Монитор ресурсов – инструмент, специально предназначенный для того, чтобы отслеживать статистику использования различных ресурсов системы, таких как процессор, оперативная память и дисковое пространство. Он также включает возможность отследить сетевой траффик, однако записать эти данные для дальнейшего анализа нельзя. Таким образом, эти инструменты могут использоваться только для отслеживания траффика в реальном времени, что не дает возможности эффективно обнаруживать внутренние угрозы или следить за использованием траффика сотрудниками.
Заключение
Операционные системы Windows предлагают достаточно проработанную систему управления учетными записями, а также множество встроенных инструментов для мониторинга системных событий и действий пользователей. Однако всего этого недостаточно для эффективного обнаружение и предотвращения внутренних угроз. Хотя пользователю с низким уровнем привилегий будет тяжелее совершить кражу защищенных данных, ничто не мешает системному администратору совершить любые вредоносные действия. Кроме того, все инструменты мониторинга предназначены прежде всего для поиска и устранения неполадок в системе и плохо подходят для анализа действий пользователей.
Что же делать в такой ситуации? Наиболее эффективным решением является использование профессиональных инструментов для мониторинга привилегированных пользователей. Такие инструменты надежно защищены и позволяют собрать всю нужную информацию для того, чтобы эффективно предотвращать и своевременно обнаруживать внутренние угрозы, дополнив электронную защиту вашей компании и обеспечив её надежность со всех сторон.
Комментировать статью: