Регистраторы нажатия клавиш. Политика групп.
Команда runas
К радости поклонников операционной системы UNIX в состав WIN 2000 включена собственная команда переключения привилегий пользователей runas (аналог su).
В соответствии с требованиями безопасности для выполнения задач пользователю желательно предоставлять минимально необходимые для этого привилегии. Исполняемые файлы, почтовые сообщения и удаленные Web-узлы, посещаемые через браузер, могут запускать команды с привилегиями текущего пользователя. Значит, чем выше привилегии этого пользователя, тем вероятнее опасность таких операций.
Многие из опасных атак могут происходить в процессе выполнения повседневных операций. Об этом особенно нужно помнить тем пользователям, которым для выполнения части задач приходится использовать привилегии администратора (к числу таких задач относятся добавление рабочей станции к домену, управление пользователями, аппаратными средствами и т.д.). Положа руку на сердце, можно сказать, что администраторы никогда не регистрируются как обычные пользователи, как того требуют правила безопасности. Это особенно опасно в современном мире тотального подключения к Internet. Если пользователь с правами администратора посетит хакер-ский Web-узел или прочтет сообщение в формате HTML с внедренным активным содержимым (см. главу 16), то он нанесет своей системе гораздо больше вреда, чем допустивший эту же ошибку обычный пользователь Вася Иванов.
Команда runas позволяет любому пользователю зарегистрироваться в системе с более низкими привилегиями и получать права администратора для выполнения конкретных задач. Например, предположим Вася Иванов зарегистрировался на контроллере домена через терминальный сервер как обычный пользователь, а затем ему срочно потребовалось изменить пароль одного из администраторов домена (скажем, потому, что этого администратора только что уволили и он в ярости грозится напомнить о себе). К сожалению, зарегистрировавшись как обычный пользователь, Вася не сможет даже запустить службу Active Directory Users and Computers, а не только изменить пароль администратора. Для этого Васе придется выполнить следующие действия.
- Выбрать команду Start › Run и ввести:
runas /user:mydomain\Administrator "mmc %windir%\system32\dsa.msc"
- Ввести пароль администратора.
- После запуска службы Active Directory Users and Computers (файл dsa.mmc) с привилегиями администратора домена изменить пароль администратора.
- Затем он завершит сеанс службы Active Directory Users and Computers и продолжит работу как обычный пользователь.
Таким образом, Вася избавит себя от необходимости завершения сеанса терминального сервера, регистрации с правами администратора и повторной перерегистрации с привилегиями обычного пользователя. Основным правилом должно стать использование минимального уровня привилегий.
Более наглядный пример осторожного использования утилиты runas – понижение привилегий для запуска Web-браузера или чтения почты. В конце марта 2000 года состоялась интересная дискуссия (http://www.ntbugtraq.com) о том, какие привилегии должны использоваться при вызове некоторого адреса URL в окне браузера, если в системе открыто несколько окон, в том числе некоторые с привилегиями администратора runas /u:Administrator. Один из подходов сводился к тому, чтобы ярлык браузера поместить в группу автозагрузки Startup и всегда запускать его с минимальными привилегиями. Последняя точка в этом споре относительно целесообразности использования runas так и не была поставлена.
Дело в том, что приложения, запускаемые в рамках динамического обмена данными DDE, типа IE, информацию о ключах защиты получают из порождающего их процесса. Следовательно, runas никогда не создает процессы IE, необходимые для обработки гиперссылок, внедренных документов и т.д. Создание порождающего процесса зависит от программы, поэтому очень сложно определить реального владельца этого процесса. Возможно, компания Microsoft когда-нибудь разъяснит, действительно ли runas обеспечивает большую безопасность, чем полное завершение работы всех программ, требующих привилегий администратора, перед использованием браузера.
Утилита runas – не панацея. По словам Джеффа Шмидта (Jeff Schmidt), устраняя некоторые угрозы, она открывает возможности для других. Поэтому ее следует использовать с осторожностью.
Команда Run as теперь доступна через контекстное меню.
Для ее запуска нужно щелкнуть правой кнопкой мыши на имени файла в окне проводника WIN 2000 при нажатой клавише SHIFT.