.
Давно известно, что повышение привилегий без реальной необходимости чревато неприятными последствиями. Не нужно регистрироваться с правами администратора, если вы собираетесь просматривать веб-страницы в Интернете и проверять электронную почту. А если уж вошли с правами администратора на сервер, не стоит выполнять эти вышеперечисленные действия. Организации не следует назначать слишком много администраторов корпоративных систем, доменов и серверов. Все это, казалось бы, очевидно.
Однако недавно я обнаружил, что у одного из наших крупных клиентов в Азиатско-Тихоокеанском регионе количество администраторов приложений исчисляется тысячами. Компания использует тысячи приложений, у многих из которых имеются сотни администраторов. У одного из таких приложений администратором был каждый пользователь. В большинстве подобных случаев речь идет об обычных пользовательских учетных записях (эти люди не имеют учетных записей администратора операционной системы или сетевого администратора) с повышенным уровнем привилегий по отношению к конкретному приложению.
У наиболее популярных приложений в этой компании насчитывалось несколько тысяч пользователей. Администраторами были не более 10% из них, что может показаться не слишком серьезным нарушением. Но пользователи всегда должны иметь минимальный уровень привилегий, и чрезмерное увеличение количества администраторов приложений так же плохо, как и слишком много администраторов ОС. Возможно, это даже хуже.
Назначение очередного дополнительного администратора приводит к росту рисков от линейного к экспоненциальному.
В случае компрометации администратора риски распространяются и на всех остальных.
Одна из серьезных проблем при наличии чрезмерного числа администраторов приложений заключается в том, что они редко принимают те меры предосторожности, к которым обычно прибегают администраторы ОС и сетей. Для выполнения административных функций сегодня все чаще используются специально приспособленные для этих целей компьютеры, находящиеся в безопасном месте. При этом администраторы хорошо знают, что после получения больших полномочий заходить на веб-сайты или отвечать на электронную почту уже нельзя. Им известно, как выявлять скомпрометированные компьютеры. Администраторы же приложений обычно об этом не задумываются.
У нашего клиента мы обнаружили, что компьютеры многих администраторов приложений за последний год были заражены вредоносными программами. Процентное соотношение скомпрометированных компьютеров администраторов не отличалось от доли зараженных машин обычных пользователей, и это вызывало серьезную тревогу. В последний год компания существенно сократила число администраторов ОС и сетевых администраторов, минимизировав количество членов привилегированных групп. Однако никому не пришло в голову проделать то же самое с администраторами приложений.
Большинство злоумышленников охотятся за системами и данными. Даже если они получат пароли всего домена и всех сетевых администраторов, им все равно придется повозиться еще и с серверами приложений, поэтому администраторы приложений становятся для них очень важной целью.
Как уменьшить риски
Во-первых, проведите аудит каждого приложения и определите общее число учетных записей пользователей (и сервисов), имеющих повышенные привилегии при работе с приложением. Проанализируйте, а нужно ли на самом деле столько привилегированных пользователей. Подумайте, сколько администраторов на самом деле требуется конкретному приложению (или дайте соответствующее поручение команде, которая с этим приложением работает). Отказ от всего лишнего только улучшит управление.
Если же приложению требуется целая куча администраторов, имеет смысл связаться с их разработчиками или поставщиками. Любому приличному приложению требуется всего несколько администраторов. Все остальные должны иметь права, позволяющие просматривать или редактировать данные в определенных информационных срезах.
Больше всего я люблю приложения, которые поддерживают ролевое управление доступом, когда администраторов в организации почти нет, но даже и они ограничены в своих правах.
В хорошей программе с ролевым доступом возможности каждого пользователя определяются его ролью и, как правило, охватывают достаточно узкий круг функций и задач. В процессе работы с приложением эти люди могут выполнять только указанные задачи и функции.
Небольшое пояснение: над большинством традиционных приложений, эксплуатируемых сегодня, администраторы приложений имеют полный контроль. Им разрешено делать все что угодно: менять любые настройки, устанавливать и сбрасывать флажки, добавлять и удалять пользователей, копировать по сети всю базу данных на съемный носитель. Во всем, что касается приложения, администратор — царь и бог.
А в приложениях с ролевым доступом богов нет. Никто не может копировать базу данных целиком, удалять ее или делать что-то подобное. Или другой вариант: администратор приложения с ролевым управлением доступом имеет право просматривать и изменять данные, но только внутри модуля приложения. После того как приложение закрыто, администратор программы с ролевым доступом не может обращаться ни к базе данных, ни к другим компонентам системы.
Злоумышленники же ищут возможности получения доступа к системе и базам данных. Вот почему компания должна управлять администраторами приложений и проводить их аудит точно так же, как она поступает с администраторами операционных систем и сетевыми администраторами. И помните, что учиться приемам работы в условиях новых рисков никогда не поздно.
Roger A. Grimes. Too many admins spoil your security. www.infoworld.com. 2013-05-07