PowerBroker Desktops, Windows Edition

Эрик Ракс (ebrux@mvps.org) — старший администратор сети Windows в крупной консалтинговой компании

Похоже, что в последнее время проблема пользователей, выступающих в роли локальных администраторов, беспокоит многих представителей отрасли. Поскольку антивирусные и противошпионские решения сплошь и рядом обеспечивают довольно слабую защиту и приходят на помощь слишком поздно, администраторы изыскивают пути более эффективной защиты компьютеров пользователей. Разработанное специалистами BeyondTrust решение PowerBroker Desktops, Windows Edition дает администраторам возможность вновь оказаться у руля и вернуть пользователей туда, где им и положено находиться, — на место локальных пользователей, но не администраторов.

Установка и настройка продукта

В состав пакета PowerBroker входят два базовых компонента: оснастка Group Policy Management Console (GPMC), показанная на приведенном экране, и клиентский агент, устанавливаемый на каждом клиенте Windows 7, Windows Vista и Windows XP. Оба они выпускаются как в 32-разрядной, так и в 64-разрядной версиях. Оснастку GPMC можно устанавливать на системах, которые функционируют под управлением Windows Server 2003 SP1 и более новых версий, а также на компьютерах с Windows XP SP2 и более новых версий.

Экран. Оснастка GPMC пакета PowerBroker

Я установил эту оснастку на контроллере домена (domain controller, DC), управляющем работой моего тестового домена. Единственный программный компонент, необходимый для функционирования продукта, — пакет Microsoft.NET Framework 4.0; его следует устанавливать отдельно. Дважды щелкните на файле pbwdsnap32/64.msi, и на экране появится мастер; следуя его инструкциям, вы сможете быстро установить приложение. В моем случае операция заняла меньше минуты.

Я решил устанавливать клиентский агент с помощью групповой политики. Этот способ дает следующее преимущество: теперь всякий раз, когда я буду добавлять к домену новый компьютер Windows 7, Windows Vista или Windows XP и помещать его в соответствующую организационную единицу (organizational unit, OU), этот агент будет устанавливаться автоматически без какого-либо вмешательства со стороны пользователей либо администраторов. Работа с лицензиями осуществляется с помощью XML-файла лицензий, который импортируется в приложение с помощью оснастки GPMC.

Установка и настройка дополнительного средства подготовки отчетов

На отдельном сервере вы можете установить дополнительную среду для подготовки отчетов. Чтобы обеспечить функционирование пакета PowerBroker Desktops Auditing and Reporting, необходимо иметь экземпляр Microsoft SQL Server либо SQL Server Express. Средство для подготовки отчетов осуществляет с помощью службы Microsoft Event Forwarding сбор информации обо всех используемых в данный момент приложениях, а также об объеме прав, которые им могут понадобиться. Средство позиционируется как факультативное, но вы скоро поймете, что на самом деле оно представляет собой сердцевину приложения; чуть ниже я еще вернусь к этому.

На установку модуля PowerBroker Desktops Auditing and Reporting у меня ушло гораздо больше времени, чем на установку оснастки GPMC и клиентского агента. В руководстве по установке четко описаны все этапы подготовки продукта к работе, но надо отметить, что число настроек, с которыми вам придется иметь дело, довольно велико.

Последний этап процедуры состоит в настройке службы дистанционного управления Windows Remote Management (WinRM) и средств переадресации событий Event Forwarding на каждой системе Windows 7, Windows Vista и Windows XP. Эта задача выполняется средствами Group Policy. В целом можно сказать, что установка пакета PowerBroker Desktops Auditing and Reporting трудности не представляет. С другой стороны, эта процедура отнимает много времени и может завершиться сбоем, стоит вам допустить ошибку либо пропустить тот или иной этап настройки.

Использование продукта

Чтобы создать новое правило, санкционирующее работу пользователей с тем или иным программным пакетом, достаточно щелкнуть правой кнопкой мыши и выполнить короткую серию инструкций мастера. На формирование правила, которое предоставляет не относящимся к категории администраторов пользователям возможность работать с программой для дефрагментации диска, у меня ушло меньше минуты. И если раньше пользователи, не наделенные правами администраторов, в случае попытки осуществить дефрагментацию получали стандартное приглашение службы управления учетными записями пользователей Windows 7 User Account Control (UAC), то теперь они могут с легкостью запускать соответствующее инструментальное средство.

Вы можете создавать как самые простые, так и сложные правила по своему усмотрению. Приведу такой пример. Когда я формулировал правило, регулирующее работу с программой дефрагментации дисков, при первой попытке результат оказался неудовлетворительным. Дело в том, что правилу нужно было отыскать уникальный программный компонент — файл lhdfrgui.exe версии 6.0.6001.18000, размещенный в системе Windows Server 2008, где и было создано правило. Это правило оказалось неприменимым к моему тестовому клиенту Windows 7, поскольку в данной системе упомянутый файл имеет версию 6.1.7601.17514. Поэтому вместо того чтобы указывать в правиле необходимую версию файла, я уникально идентифицировал ее посредством указания имени файла и издателя (O=Microsoft Corporation, L=Redmond, S=Washington, C=US). После этого правило функционировало безукоризненно.

Если такими критериями, как имя файла и издатель, нельзя ограничиваться по соображениям безопасности, можете воспользоваться дополнительными функциями пакета PowerBroker. Он позволяет уникально идентифицировать ту или иную программу по ее пути, по хэшу, по пути к Windows Installer или по компоненту ActiveX. Можно использовать и другие критерии, такие, как местонахождение интересующего вас файла на компакт-диске или DVD, заданное на основе серийного номера диска.

Наконец, если вам требуется механизм для еще более строгого ограничения круга лиц, наделенных привилегией запускать упомянутое в правиле приложение, можете воспользоваться фильтрами инструментария управления Windows Management Instrumentation (WMI). Всего имеется 26 фильтров, применяющих такие критерии, как наличие провайдера, ресурсы дискового пространства, памяти, а также группа безопасности Active Directory (AD).

Когда пользователи пытаются обратиться к приложению (и располагают для этого необходимыми полномочиями), по умолчанию система дает санкцию на запуск программы. Но эту реакцию можно изменить — скажем, сделать так, чтобы система предлагала пользователям обосновывать попытку работать с программой.

Использование средства для подготовки отчетов

Если у вас есть основания полагать, что пользователям понадобятся разрешения на работу с теми или иными приложениями, можете заранее предоставить им такие разрешения. Это будет полезно, но в реальных условиях эксплуатации все не так просто. Как только вы передадите систему в руки пользователя, последнему несомненно потребуется право на запуск приложения, о котором вы и не думали. Вот здесь-то вам и пригодятся функциональные возможности дополнительного средства для подготовки отчетов.

К этому приложению (файл PBReports.exe) можно обратиться через оснастку GPMC или с помощью ярлыка, активирующего упомянутый файл. Если вы получите от пользователя, которому нужно поработать с тем или иным приложением, соответствующий запрос, запустите средство для подготовки отчетов и создайте правило, которое даст пользователю возможность обращаться к нужному приложению.

Рассмотрим такой пример. Допустим, некий пользователь желает выполнить приложение MyProgram.exe. Первым делом вам нужно активировать функции запросов средства подготовки отчетов с тем, чтобы сократить список Windows Events до одного события — того, которое вам нужно. Вы узнаете, что добрались до нужного события в тот момент, когда в списке, отображаемом в столбце отчета Application, появится имя MyProgram.exe. Далее правой кнопкой мыши вы щелкаете на файле MyProgram.exe и выбираете категорию создаваемого правила — на базе издателя, на базе пути или на базе хэша. Тем самым вы получаете возможность скопировать данные в формате XML в буфер обмена. Далее эти данные будут скопированы непосредственно в раздел PowerBroker оснастки GPMC. Итак, для автоматического создания нового правила нужно всего-навсего выполнить операцию копирования и вставки, но все же этот процесс кажется несколько громоздким, если сравнить его с тем, как решают аналогичную задачу другие представленные на рынке продукты.

Самый простой способ защиты компьютеров

PowerBroker взваливает на свои плечи наиболее тяжелую работу. Этот пакет не ослабляет требований к безопасности для каждого приложения, заложенных в файловой системе NTFS и в реестре; как правило, модифицировать подобные требования может только сотрудник с правами администратора. И PowerBroker расширяет права пользователя, но лишь применительно к одному указанному вами приложению. Интеграция GPMC обеспечивает потрясающее удобство эксплуатации, однако настройка средства для подготовки отчетов может оказаться весьма непростой задачей, если вы не выполните хотя бы один из множества этапов настройки. По этой причине я даю PowerBroker четыре балла из пяти.