Skip to main content

Zarządzanie uprawnieniami

Oprogramowanie klasy EPM/PEDM (Endpoint Privilege Management / Privilege Elevation and Delegation Management) to rozwiązania łączące w sobie dwa elementy – kontrolę uruchamianych aplikacji oraz zarządzanie uprawnieniami kont użytkowników na poziomie systemu operacyjnego. Połączenie powyższych dwóch funkcji pozwala na wdrożenie mechanizmów, które zezwalają na uruchamianie wyłącznie zaufanych aplikacji na komputerach pracowników przy jednoczesnym ograniczeniu uprawnień konta użytkownika do niezbędnego minimum. Za pomocą systemów pozwalających na zarządzanie uprawnieniami (Systemy EPM/PEDM) można w prosty sposób wyeliminować konieczność stosowania kont uprzywilejowanych – np. lokalnych kont z uprawnieniami administratora – jednocześnie wywierając minimalny wpływ na wydajność pracowników i ich „odczucia” podczas pracy z systemem operacyjnym.

Zapewnienie bezpieczeństwa i ochrony sprzętu komputerowego jest jednym z kluczowych aspektów zarządzania zasobami IT, a systemy klasy EPM są jednym z filarów tego bezpieczeństwa i stanowią podstawową technologię we wdrażaniu polityki najmniejszych uprawnień dla użytkowników końcowych.

  • Implementacja systemów EPM bazuje na wzorcach lub kreatorach ułatwiających zbudowanie poprawnych polityk bezpieczeństwa co znacząco upraszcza i przyspiesza proces wdrożenia.
  • Zaleca się wdrożenie polityki najmniejszych przywilejów dla wszystkich typów użytkowników, jednak w praktyce szczególną uwagę zwraca się na grupy użytkowników zaawansowanych (programiści, kontraktorzy, administratorzy), w przypadku których odjęcie uprawnień administratora bez wykorzystania systemu EPM uniemożliwiłoby im wykonywanie codziennych zadań.
  • Niezwykle istotna jest funkcja podnoszenia (elewacji) uprawnień w sposób selektywny – per aplikacja. Użytkownik za pomocą konta z uprawnieniami standardowego użytkownika ma możliwość uruchomienia wskazanych programów tak, jakby znajdował się w grupie administratorów.
  • Systemy EPM są w stanie zatrzymać wykonanie niebezpiecznego oprogramowania typu Ransomware & Malware (zmniejszenie płaszczyzny ataku poprzez przyznawanie podwyższonych uprawnień tylko dla zatwierdzonych aplikacji, skryptów, zadań czy poleceń, które faktycznie ich wymagają).
  • Rozwiązania EPM pozwalają na kontrolę uruchamianych aplikacji przez użytkowników poprzez blokowanie wskazanych programów, również tych które działają nie wymagają podwyższonych uprawnień konta.
  • Systemy EPM są wyposażone w moduły raportowe, za pomocą których dział bezpieczeństwa może pozyskać szczegółowe informacje na temat wszystkich nieznanych / niezatwierdzonych aplikacji, które zostały uruchomione przez użytkowników.

Minimalizacja ryzyka wynikającego z podatności

Zgodnie z danymi zawartymi w raporcie „Malware Threat Report 2021” dotyczącym bezpieczeństwa systemów Microsoft, niezałatane podatności są przyczyną ok. 30% wszystkich naruszeń bezpieczeństwa w IT. Wzrost ilości podatności w przypadku produktów Microsoft między rokiem 2019 a 2020 to 48%, gdzie w 2019 roku zarejestrowano 858 podatności a w 2020 roku 1268. W przypadku podatności krytycznych, w 2020 roku 56% z nich byłoby niegroźne w przypadku gdyby zostały usunięte uprawnienia administratora. W przypadku systemu Windows 10 ze wszystkich luk bezpieczeństwa wykrytych w 2020 r. 132 uznano za krytyczne, przy czym odebranie praw administratora uniemożliwia wykorzystanie 70% z tych podatności.

Znaczną część zagrożeń można łatwo złagodzić, usuwając uprawnienia administracyjne na urządzeniach końcowych, co jest powszechnie zalecaną rekomendacją przez ekspertów branżowych.

Strategia najmniejszych przywilejów

Systemy do zarządzania uprawnieniami (systemy EPM/PEDM) są nierozerwalnie powiązane z jedną z podstawowych zasad bezpieczeństwa w IT, jaką jest polityka najmniejszych uprawnień (least privilege). Posiadanie praw lokalnego administratora oznacza, że ​​użytkownik ma uprawnienia do wykonywania praktycznie wszystkich funkcji w systemie operacyjnym na komputerze. Uprawnienia te mogą obejmować takie zadania, jak instalowanie oprogramowania i sterowników sprzętu, zmiana ustawień systemu. Mogą również tworzyć konta użytkowników i zmieniać hasła na wszystkich kontach. Niekiedy nadaje się lokalne uprawnienia administratora, aby zmniejszyć zapotrzebowanie na wsparcie IT, jednocześnie narażając się na wysokie ryzyko naruszeń bezpieczeństwa.

Powszechnym podejściem do zarządzania kontami użytkowników uprzywilejowanych jest model z najmniejszymi uprawnieniami polegający na przypisywaniu użytkownikom i programom najmniejszej ilości uprawnień wymaganych do wykonania określonych zadań. Polityka najmniejszych uprawnień działa najskuteczniej w połączeniu z koncepcją umieszczania aplikacji na białej liście. Biała lista to praktyka określania zatwierdzonych aplikacji, które mogą być zainstalowane i uruchamiane w systemie operacyjnym. Celem umieszczania programów na białej liście jest ochrona komputerów i sieci przed potencjalnie szkodliwymi aplikacjami.

Wydajne systemy EPM/PEDM za pomocą ogólnych reguł bazujących na łatwych do zdefiniowania kryteriach, są w stanie automatycznie zatrzymać uruchamianie niezatwierdzonych aplikacji i tym samym znacząco zredukować ryzyko wynikające z uruchamiania programów i aplikacji niezgodnych ze standardami bezpieczeństwa w organizacji.