Benutzergesteuerte Software-Installation mit Avecto Privilege Guard (Teil 2)
Genauso wie es möglich ist, temporär Benutzerrechte für bestimmte Installationspakete zu erhöhen, lassen sich umgekehrt auch Regeln erstellen, die eine Installation unerwünschter Software grundsätzlich unterbinden. Hintergrund ist, dass Benutzer manche Softwareprogramme unerkannt auch ohne Administratorstatus installieren können. Läuft das der Unternehmens-Policy zuwider, können Administratoren hier einen Riegel vorschieben.
Für die Anwendergruppe mit flexiblen Anforderungen wiederum kann auch eine On-Demand-Policy eingerichtet werden, die es dem Sachverstand der zugeordneten User überlässt, welche Software-Installationen sie initiieren. In jedem Fall empfiehlt sich dabei der Einsatz benutzerspezifischer Nachrichten, die vor fragwürdigen Programminstallationen warnt und eine Überprüfung der angegeben Gründe erlaubt. Optional ist es auch möglich, eine erneute Authentifizierung des Benutzers einzufordern, um vor Installationsbeginn sicherzustellen, dass auch wirklich nur der begrenzte Anwenderkreis spezifische Programme ausführen kann.
Darüber hinaus lässt sich im Rahmen der On-Demand-Policy auch weiterhin die Installation ganz bestimmter Softwarepakete stoppen. Durch die Einrichtung eines höhergestellten Policy-Regelwerks wird dabei die Installation nicht autorisierter Anwendungen blockiert. Alternativ besteht auch die Möglichkeit, die bedarfsgesteuerte Installation bestimmter Software an eine kompetente Mitarbeitergruppe oder Abteilungsleiter zu delegieren, die eine Autorisierung der benötigten Anwendungen stellvertretend für den Benutzer vornehmen.
Avecto Privilege Guard kommt auch mit der Installation von ActiveX-Komponenten zurecht. ActiveX steuert unter anderem Zugriffe auf Datenbanken, wobei per Aufruf einer URL-Seite auch weitere ActiveX-Komponenten gestartet werden können. Für alle aktiven Inhalte ist es deshalb ratsam, den Zugriff auf ActiveX-Softwearekomponenten zu unterbinden, die nicht explizit per Policy freigegeben sind. Sollte die Installation von ActiveX-Komponenten trotzdem notwendig sein, können User per Messaging-Dienst alle notwendigen Informationen erhalten, wie sie die benötigten Freigaben erhalten.
Eine einfache Bedienung genießt natürlich immer höchste Priorität, wenn man Selbstbedienungs-Services für die Installation von Softwareprogrammen offeriert. Warnhinweise auf möglicherweise prekäre Aktivitäten oder Meldungen über gescheiterte, bzw. blockierte Software-Installationsversuche versorgen Benutzer mit wertvollen Informationen und klären über die richtige Vorgehensweise auf. Schon mit kleinen Maßnahmen, wie der Nutzung unternehmensspezifischer Branding-Designs für Messaging-Dienste zum Beispiel, lässt sich die Aufmerksamkeit der Anwender im Vergleich zu herkömmlichen Windows-Standardnachrichten erhöhen. Über Avecto Privilege Guard lassen sich beliebige Endanwender-Nachrichten im gewünschten Design erstellen, mehrsprachig konfigurieren und für die unterschiedlichsten Anwendungsfälle erstellen, egal ob es sich um erneute Authentifizierungen oder Rückmeldungen handelt. Es ist immer besser, eine Nachricht an die jeweilige Situation des Users anzupassen, als mit dem immer gleichen Standardtext zu antworten. Nur so lässt sich das Benutzererlebnis steigern, was sich dann auch in sinkenden Helpdesk-Anfragen auszahlt.
Benutzergesteuerte Software-Installation mit Avecto Privilege Guard (Teil 1)
Mit Avecto Privilege Guard lassen sich Applikationen mit passenden Benutzerrechten und administrativen Vorgaben zentral ausrollen — Benutzer können die Installation benötigter Software aber auch selbsttätig starten, nachdem sie von der IT grundsätzlich freigegeben wurde. Zwar haben viele Unternehmen bereits eine Lösung zur zentralen Software-Verteilung im Einsatz, aber die Paketierung für die Bereitstellung ist nicht immer wirtschaftlich und zuweilen ein unnötiger Arbeitsschritt. Avecto Privilege Guard ergänzt die bestehende Software-Bereitstellungslösung, indem zentral autorisierte Software-Programme von den Anwendern per Selbstbedienung installiert werden. Auf diese Weise verfügen sie über eine höhere Freiheit und Produktivität, wobei sich alle Aktivitäten protokollieren lassen.
Einzelne Software-Pakete sind jederzeit über Avecto Privilege Guard autorisierbar, aber zumeist ist es sinnvoller, einer ganzen Gruppe an Usern die Software-Installation von einer gemeinsam genutzten Netzwerkquelle zu überlassen. Einrichtung und Wartung ist in diesem Fall deutlich weniger aufwendig. Benutzer erhalten dabei lediglich Lese- und Zugriffsrechte auf dem Laufwerk, damit sie jedes Software-Paket starten können, das von der IT-Abteilung explizit freigegeben wurde. Außerdem lassen sich gesondert die Benutzerrechte erhöhen, um im Netzwerkordner hinterlegte EXE-Dateien oder Installationspakete automatisch ausführen zu können.
Dieses Prinzip lässt sich bei Bedarf granular erweitern, indem beispielsweise mehrere Netzwerkordner zur Verfügung stehen, die den unterschiedlichen Benutzerrolle zugeordnete Dateien enthalten. Das stellt sicher, dass Software-Installationspakete mit entsprechend erhöhten Benutzerrechten nur von den richtigen Anwendern genutzt und ausgeführt werden können.
An dieser Stelle lässt sich auch eine zusätzliche Sicherheitsmaßnahme einfügen, indem die entsprechenden Software-Installationspakete generell für alle Anwender geblockt werden, die über keine Autorisierung dafür verfügen. Dafür muss lediglich eine zusätzliche Policy eingerichtet werden, die alle Installationsversuche über den Netzwerkordner für den nicht autorisierten Personenkreis unterbindet. Darüber hinaus kann der Benutzer auch direkt per Nachricht informiert werden, auf welche Weise und über welche Stelle die benötigten Zugriffsrechte für eine bestimmte Software beantragt werden können. Als Reaktion auf die Sofortnachricht können Benutzer beispielsweise eine E-Mail-Anfrage für eine bestimmte Applikation per Mausklick starten oder aber über einen Hyper-Link direkt auf die richtige Webseite (Helpdesk-Portal) weitergeleitet werden.
Gesetzt den Fall, dass bei einzelnen Benutzern eine freigegebene Software direkt über das Internet installiert werden muss, hilft Avecto Privilege Guard ebenfalls weiter. Für diesen Fall müssen lediglich entsprechende Policy-Regeln eingerichtet werden, am besten unter Nutzung der Publisher-Regeln, die dann nach Bedarf mit anderen Produktregeln kombiniert werden können. So könnte Anwendern beispielsweise erlaubt werden, die Software mit einer spezifischen Anbietersignatur zu installieren. Diese Regel ließe sich auf eine bestimmte Lösung auf Basis von Produktname oder Produktbeschreibung übertragen. Optional wäre es auch möglich, auf ganz bestimmte Produktversionen zu überprüfen.
Wie hältst du es mit der Benutzerkontensteuerung?
Wie im letzten Blogeintrag ja bereits angemerkt, kommen die 64-Bit-Versionen von Windows 7 deutlich besser weg als 32-Bit-Windows, wenn es um Kernel-Schutz geht. Mit Kernel Patch Protection wollen sich 64-Bit-Windows-Betriebssysteme vor Manipulation durch Schadcode schützen und verhindern, dass Trojaner und Rootkits tief im System eine dauerhafte Bleibe finden. Im Vergleich zu Vorgängerversionen ist Windows 7 zudem durch User Account Control (UAC) besser geschützt. Die Sicherheitstechnologien erleichtern eine Arbeit mit Windows 7, wenn Benutzer nur über Standardrechte verfügen. Alle Aktivitäten, die Stabilität und Sicherheit des Betriebssystems betreffen, müssen durch Freigabe des Administrators autorisiert werden (Protected Administrator).
Technik- und Sicherheitsexperten monieren aber, dass normale Anwender die Benutzerkontensteuerung ausschalten können. Zwar laufen dann einige Arbeitsprozesse auf dem Rechner schneller, weil automatisiert ab, aber der Zugewinn an „Komfort“ geht eindeutig zu Lasten der Sicherheit. Ohne aktivierte UAC-Technik nisten sich auch unerwünschte Schadprogramme schneller ein. Per Gruppenrichtlinie lässt sich die individuelle Deaktivierung der Benutzerkontensteuerung im Unternehmensnetz erschweren ganz verhindern lässt sie sich nicht, wenn Mitarbeiter mit Administratorrechten arbeiten dürfen.
UAC-geschützt Benutzer-Accounts mit Administratorrechten bieten also eine größere Flexibilität, aber nur einen begrenzten Zugewinn an Sicherheit. Und andersherum? Verfügen alle Endanwender allein über Standardbenutzerrechte unter Windows 7, lassen sich die Zugriffsrechte nicht eigenhändig erhöhen. Alle zu erledigenden Aufgaben, vorhersehbar oder nicht, müssen allerdings auch mit eingeschränkten Benutzerrechten ausführbar sind – ansonsten muss die IT-Abteilung jedes Mal selber eingreifen und die benötigten Administratorrechte zuteilen.
Niemand kann in die Zukunft sehen und die IT-Systeme zukunftssicher für alle Anforderungen auf Anwenderseite auf alle Fälle vorbereiten. Wie aber lassen sich sinkende Produktivität und Arbeitsverzögerungen vermeiden, die durch eingeschränkte Benutzerrechte verursacht werden? Eine Möglichkeit ist es, die bestehenden UAC-Vorkehrungen unverändert zu lassen. Eine andere Möglichkeit ist, die Enterprise-Management-Lösung Avecto Privilege Guard einzusetzen, die Benutzerrechte bedarfsgerecht und temporär zuteilen kann, um so Sicherheits- und Produktivitätskriterien gleichermaßen zu erfüllen.
Mit Avectos Software lassen sich Benutzerrechte für bestimmte Applikationen und Tasks bereitstellen, damit User für jeden IT-Prozess auf Administratorrechte zugreifen können, wenn das erforderlich ist. UAC-Abfragen können durch unternehmensspezifische Dialogfelder ersetzt werden, um auch eine situationsbedingte Erhöhung des Benutzerstatus einzufordern. Administratoren können diese Vorgänge protokollieren, um den Einsatz von Benutzerrechten zu analysieren. Avecto Privilege Guard unterstützt Unternehmen dabei, die richtige Balance zwischen der benutzergesteuerten Flexibilität durch User Account Control und einer Policy-basierten Kontrolle durch die IT-Abteilung zu finden. Auf diese Weise wird Windows 7 sicherer und unnötige Risiken lassen sich vermeiden.
Avecto und McAfee mit Schutz gegen Kernel-Rootkits
Kernel-Rootkits installieren sich tief im Betriebssystem. Oft nutzen sie Verschleierungstechniken, um ihre Aktivitäten zu verbergen. Durch Einführung des Kernel-Patch-Schutzmechanismus in 64-Bit-Windowssystemen ist es schwieriger geworden, dass Kernel-Rootkits einen Rechner infizieren, aber komplett gelöst ist das Problem nicht und die ersten Rootkits haben auch schon unter 64-Bit-Windows zugeschlagen.
Mit stets aktualisierter Antiviren-Software und durch Installation aller Windows- und Software-Updates inklusive aller Sicherheits-Patches lassen sich Infektionen von den bekanntesten Malware-Bedrohungen unterbinden. Die Gefahr ist dann am größten, wenn Kernel-Rootkits eine Zero-Day-Schwachstelle ausnutzen. Gelingt einem Zero-Day-Rootkit die Infektion, ist die Erkennung und Entfernung durch Sicherheits-Software in der Folge besonders schwierig, wenn die Malware-Attacke überhaupt erkannt wird. Gerade deswegen ist es auch besonders kompliziert, das wahre Ausmaß der Bedrohung durch Kernel-Rootkits einzuschätzen.
Wählen sich Mitarbeiter nur mit Standardbenutzerrechten auf ihren Rechnern ein, hat man bereits eine der wichtigsten Maßnahmen gegen Zero-Day-Rootkits umgesetzt. Die meisten Kernel-Rootkits können schlicht und elementar nicht installiert werden, wenn der Benutzer nicht mit Admin-Rechten arbeitet. Für eine abgeschlossene Rootkit-Installation sind Schreibrechte auf den HKLM-Hauptschlüssel der Windows-Registrierungsdatenbank.
Die Enterprise-Lösung Avecto Privilege Guard befähigt IT-Abteilungen dazu, Windows-Benutzerrechte für bestimmte Applikationen und Aufgaben zuzuteilen, ohne ihnen grundsätzlich Administratorrechte vergeben zu müssen. Mitarbeiter arbeiten mit den minimal benötigten Rechten, die sie für den Betrieb von Applikationen und zur Erfüllung ihrer Aufgaben benötigen.
Über sein optionales Erweiterungspaket „McAfee ePO Integration Pack“ für Avecto Privilege Guard 3.0 stellen beide Hersteller eine Komplettlösung zur Benutzerrechteverwaltung zur Verfügung, die eine zuverlässige Absicherung der Benutzerendgeräte sowie die produktive Steuerung über eine zentrale Administrationskonsole ermöglicht. Avecto Privilege Guard integriert die Managementplattform McAfee ePolicy Orchestrator, damit gemeinsame Kunden Windows-Benutzerrechte bedarfsgerecht zuteilen, Sicherheits-Policies bearbeiten und eine lückenlose Desktop-Sicherheitsstrategie durchsetzen können.
Gibt es etwas zu berichten?
Die neueste Version von Avecto Privilege Guard 3.0 wird mit einem optional installierbaren Erweiterungspaket ausgeliefert. Das „Enterprise Reporting Pack“ umfasst Reporting-Funktionen für bewährte und skalierbare Microsoft-Technologien wie Microsoft SQL Server, Windows Remote Management (WinRM) und SQL Server Reporting Services.
Zuverlässige Auditierung ist ein wesentlicher Bestandteil von Privilege-Management-Lösungen, um Compliance-Reports zu generieren und die Sicherheits-Policies nachjustieren zu können. Avecto Privilege Guard zeichnet unterschiedlichste Events (wie zum Beispiel applikationsbezogene Ereignisse) auf Endpunktebene auf. Über Microsoft Event Forwarding lassen sich die Events zentral speichern.
Event Forwarding verwendet Windows Remote Management (WinRM) und sammelt auch Daten von Rechnern, die sich per Remote-Verbindung einwählen. Die Architektur ist extrem skalierbar — ein Grund, warum das Reporting-Erweiterungspaket von Avecto Privilege Guard auf dieser Technologie basiert. Nach Installation der neuen Event-Logging-Software auf einem oder mehreren Servern werden Privilege-Guard-Ereignisse automatisch protokolliert und auf einen SQL-Server hochgeladen.
Auch eine große Auswahl vorkonfigurierter Dashboards und Reports für ausgeführte, erkannte und blockierte Applikationen mit erweiterter Berechtigung stehen zur Verfügung. So sind alle Applikationen der IT-Umgebung auf einen Blick erkennbar — aufgelistet danach, ob sie Admin-Rechte benötigen oder auch mit einfachen Standardrechten betrieben werden können. Alle Dashboards und Berichte nutzen SQL Reporting Services, so dass die Berichte per Webbrowser angesehen werden können.
Jedes Dashboard listet Informationen wie die zehn wichtigsten Applikationen auf und stellt die eingesetzten Anwendungen nach Hersteller und Benutzeraktivitäten dar. Der Zeitraum der erfassten Daten lässt sich beliebig nach Intervallen von 24 Stunden, 7 Tagen, 30 Tagen oder 12 Monaten justieren, um tagesaktuelle Analysen durchzuführen oder langfristige Trends erkennen zu können. Die graphisch aufbereiteten Ergebnisse der Dashboards lassen sich bei Bedarf noch detaillierter darstellen. Reports können nach Kategorien wie Ereignistyp, Benutzer, Computer oder Applikation gefiltert werden.
Das schwächste Glied in der Kette
Bekanntlich nützen selbst stärkste Verankerungen wenig, wenn die Verbindungsstücke brüchig sind. Das schwächste Glied in IT-Netzen sind in der Regel Windows-PCs — und an genau dieser Bruchstelle drohen viele Sicherheitskonzepte zu scheitern.
Wechselwirkungen zwischen weniger wichtigen und sicherheitskritischen Systemen sind innerhalb einer Active-Directory-Domain zwangsläufig. Eine Kettenreaktion droht für den Fall, dass ein Mitarbeiter auf seinem PC (versehentlich) eine ausführbare Datei anklickt, die eine nicht gepatchte Programmlücke ausnutzt. Als Folge kann eingeschleuster Viren-Code nach dem Einzel-PC weitere Rechner oder sogar Server-Systeme beschädigen.
Der Trojaner DNS-Changer beispielsweise versuchte zunächst die DNS-Einstellungen einen einzelnen PC zu ändern und so den Datenverkehr auf manipulierte Webseiten umzuleiten. Einige Varianten des Schädlings infizierten nicht nur den lokalen Rechner, sondern auch den NAT-Router. Ist die DNS-Konfiguration des NAT-Routers erst einmal manipuliert, sind auf einen Schlag gleich mehrere Rechner betroffen.
Die Änderung der DNS-Konfiguration unter Windows erfordert indes Adminrechte. Läuft der Netzwerk-PC also nur mit minimalen Standardrechten, laufen die DNS-Manipulationsangriffe ins Leere. Durch Nutzung von Avectos Whitelisting-Technologie für Applikationen lässt sich der Trojaner DNS-Changer mitsamt aller Scanversuche außerdem grundsätzlich aus dem Firmennetz verbannen.
Auf dem Höhepunkt der Trojaner-Infektionswelle veröffentlichte das SANS Internet Storm Center einen Workaround, wie sich Traffic auf IP-Adressen nachweislich manipulierter DNS-Server unterbinden lässt. Trotzdem wäre natürlich eine proaktive, schnellere Gegenmaßnahme sinnvoller, um PC-Infektionen von vorneherein auszuschließen. So sollten beispielsweise Antivirenprogramme in der Lage sein, die Einschleusung des Trojaners DNS-Changer zu unterbinden. Die Malware-Programme verändern sich aber situationsgesteuert, um den Erkennungstechnologien durchs Netz zu gehen.
Viele User gehen irrigerweise von der Annahme aus, dass ihre vernetzten Rechner nicht die Sicherheit anderer Systeme gefährden, geschweige denn sicherheitskritische Server oder Netzwerk-Hardware. Negativen Dominoeffekten lässt sich wirksam begegnen, indem man Firmenrechner nicht grundsätzlich mit höchsten Adminrechten ausstattet. Durch Avecto Privilege Guard lassen sich die Benutzerrechte bedarfsgerecht zuteilen und die IT-Infrastruktur durch Schutzmaßnahmen wie Applikations-Whitelisting absichern.
Policy-Filter für Rechner und Remote Clients
Wie sieht die richtige Balance zwischen Benutzerautonomie und zentraler Steuerung aus? Auf diese Frage gibt es wohl keine allgemeingültige Antwort, sondern das Policy-Management muss sich vielmehr nach den jeweiligen Anforderungen im Unternehmen richten. So sieht das jedenfalls Avecto und integriert in der aktuellen Software-Version deshalb neue Funktionen, die für mehr Flexibilität sorgen sollen.
Die neuen Features vereinfachen die Umsetzung einer Policy-basierten Sicherheitsarchitektur, wenn Benutzerrechte im Geschäftsumfeld verwaltet werden. So ist es jetzt möglich, zusätzliche Filter zu erstellen, mit denen Administratoren über neue Möglichkeiten zur gezielten Anwendung von Policies verfügen.
Der neue „Computer-Filter“ zum Beispiel ermöglicht es, Privilege-Guard-Policies anhand des Hostnamen oder der IP-Adresse auf Endpunktseite auszurichten. Nach erfolgreicher Konfiguration kann der Filter entweder die bisherige Gruppen-Policy komplett ersetzen oder auch punktuell ergänzen, falls das besser passt. Die Hostnamen sind dabei als eigene Liste innerhalb der Computer-Policy oder als Wildcards für eine größere Anzahl an Rechnern definierbar. Bei einer Filterung anhand von IP-Adressen sind alle Konfigurationsschritte übrigens identisch, so dass man sich schnell zurechtfindet.
Die Anforderungen für lokale Einzelrechner unterscheiden sich natürlich elementar von denen mobiler Endgeräte, die extern auf Geschäftsdaten zugreifen. Privilege-Guard-Policies können daher Benutzerrechte speziell für Remote-Clients festlegen, die sich über Remote Desktop Services einwählen. Je nach aktuellen Standort eines Users erhält er dann die notwendigen Benutzerrechte – oder eben nicht.
In der Praxis sieht das dann so aus: Benutzer erhalten Admin-Rechte, wenn eine bestimmte Applikation, ein spezielles Skript oder ein spezifischer Task ausgeführt wird, solange der Zugriff innerhalb des Firmennetzes erfolgt. Wird anhand der IP-Adresse festgestellt, dass eine Anfrage über einen VPN-Tunnel kommt, werden die Admin-Rechte entzogen.
In Kombination mit applikationsbasiertem Whitelisting kann der Computer-Filter auch anders eingesetzt werden. Auf diese Weise lässt sich beispielsweise der Zugriff auf Firmensoftware anhand von Lizenzierungskriterien steuern. Die Geltung von Policies ist zudem auf bestimmte Tage oder Zeiten reduzierbar. Ohnehin lässt sich jeder Policy-Filter mit Ablaufdatum versehen.
