НЕ ПРОПУСТИТЬ ИНТЕРЕСНОЕ

Свежие обсуждения

Sorry. No data so far.

Наглядно об опасности использования учетной записи с правами администратора

Здравствуйте уважаемые читатели блога www.ithabits.ru. В одной из предыдущих статей, которая была посвящена особенностям работы Windows с большой оперативной памятью, мы вынужденно коснулись темы компьютерной безопасности в Windows XP.

В этой связи я обещал рассказать о том, как мне удалось избежать серьезных проблем с компьютерной безопасностью в Windows XP для большого количества корпоративных компьютеров, которые я в тот момент администрировал. Выполняю свое обещание.

Решение безопасности, которое позволило достичь таких хороших результатов и о котором я сейчас собираюсь поведать, на самом деле предельно банально. До такой степени, что я даже рискую быть немедленно освистан. Кто-то из читателей наверняка воскликнет: «Подумаешь невидаль. У нас в каждой деревне так…».

Однако, не смотря на то, что за прошедшее время появились новые более устойчивые версии Windows, и многие проблемы компьютерной безопасности были так или иначе решены, могу смело заверить — простейшее решение безопасности, о котором мы будем говорить, не перестало быть действенным и актуальным и сегодня. И не только для тех, кто продолжает пользоваться XP (а таковых, если верить статистике, осталось около 10%, то есть совсем не мало).

Итак, речь пойдет о повышенных правах учетной записи пользователя.

users_rights

А само «золотое» правило звучит так: «Не позволять пользователю работать на компьютере в учетной записи с правами администратора». Ничего революционного тут, конечно, нет. Об этом же говорит и Microsoft, правда в рекомендательном плане. Однако далеко не все следуют этой рекомендации, иногда по доброй воле, иногда в силу сложившихся обстоятельств.

Начнем с описания двух реальных «страшилок» того периода, приключившихся как раз из-за несоблюдения этого правила.

Заражение компьютера через вложение в сообщение электронной почты

Первый случай произошел с компьютером главного бухгалтера. На тот момент на этом компьютере, помимо всего прочего, была установлена программа «Банк-клиент». Это потом мы стали выделять для банкинга отдельные компьютеры, которые не использовались ни в каких других целях. Вот эта программа и явилась первопричиной произошедших неприятностей.

Этот «шедевр» программистского творчества желал работать исключительно в сеансе пользователя с учетной записью, входящей в группу «Администраторы».

Вообще-то, по-хорошему, за такое разработчиков надо было сажать в тюрьму. “Банк-клиент”, Windows XP плюс права администратора – “замечательное” сочетание!

В должности главного бухгалтера в то время работала молодая и очень интересная женщина, которая не смогла не прореагировать на пришедшее ей по e-mail письмо с очень заманчивым заголовком. Как впоследствии выяснилось, в этом письме было что-то наподобие знаменитого вируса «I Love You» (точно не сам «I Love You», потому как события происходили много позднее 2000 года). Письмо она открыла, что произошло дальше, понятно – «зловредина» благополучно запустилась, установилась на этот компьютер и тут же начала в бешеном темпе рассылать сама себя.

Наверное, сейчас можно найти целый ряд ошибок в организации безопасности в результате которых произошло заражение компьютера. Но должен сказать, что корпоративный антивирус от Symantec с регулярно обновляемой базой уже был. И на внутреннем почтовом сервере стоял антивирусный модуль. Но вот как-то они взяли и благополучно этого зловреда пропустили. Я потом смотрел по логам – в Symantec описание этого вируса появилось буквально через несколько часов (срочных внеплановых обновлений тогда, по-моему, предусмотрено еще не было).

А вообще, со всех конференций по компьютерной безопасности, на которых мне удается побывать, я всегда ухожу с отнюдь не радужным настроением. Происходит это из-за того, что, в том или ином виде, в выступлениях докладчиков неизменно присутствует тезис о том, что защититься от уязвимости нулевого дня (0day) очень и очень сложно. Связано это с тем, что о 0day на момент атаки ничего не известно, и среагировать на него может только проактивное антивирусное ПО, да и то только в том случае, когда известна хотя бы примерная модель поведения.

Результатом той неприятности стало нарушение работы электронной почты – внешний IP-адрес внутреннего почтового сервера был быстренько добавлен в публичный черный список (black lists). Не помню уже, за какой надобностью, но для этого компьютера были разрешены исходящие smtp порты (!). Восстановить работу почты удалось быстро путем перенастройки сервера на отправку писем через интернет-провайдера. А вот для того, чтобы исключить внешний адрес из черных списков и вернуть все к нормальному состоянию, пришлось повозиться.

Ничего этого могло бы не быть, если бы учетная запись пользователь не имела прав администратора. Многие сотрудники получили тогда аналогичные письма, но с их компьютерами ничего подобного не произошло.

Заражение компьютера через игровую программу на нелицензионном CD-диске

Второй случай был совсем уж неприятный, я бы даже сказал, диковатый. Дело в том, что виновником серьезного инцидента компьютерной безопасности стал сотрудник ИТ-подразделения. Опять сработал “человеческий фактор”.

В техподдержке руководимого мной ИТ-отдела работал тогда один молодой сотрудник.

Поначалу все было хорошо – умный, исполнительный, вежливый, кое-что умел. Потом он увлекся компьютерными играми и все стало плохо. Так как геймерские баталии происходили по ночам, то днем, то есть в рабочее время, парнишка стал совсем никакой – присядет где-нибудь, заснет, говоришь ему что-то, а он глазами хлопает и не понимает. Вот эта страсть до беды и довела.

В один прекрасный день по дороге на работу он купил в переходе cd-диск с компьютерными играми. Не думая о возможных последствиях, он вставил его в только что проинсталлированный им же новый компьютер и запустил. Учетная запись у этого сотрудника на этом компьютере, понятное дело, была с правами администратора, а компьютер к этому моменту был еще окончательно не готов. В частности, на нем не стоял антивирус. Бог бы с ним с самим этим компьютером, но он был уже в локальной сети (!).

Диск, как не трудно догадаться, оказался с вирусом. Вирус беспрепятственно запустился, установился и пошел бодро сканировать и заражать файлы во всех сетевых папках к которым этот сотрудник имел доступ на запись. А было их, как оказалось, не мало.

В силу того, что файлы модифицировались вирусом по сети, серверный Symantec хоть и реагировал на них, но уже после заражения. Во время этого «веселого» процесса, который начался в самый разгар рабочего дня, файловый сервер практически “умер” и перестал обслуживать клиентов – не работала файловая «1С», не открывались или не сохранялись документы и электронные таблицы и т.д. В общем, весело получилось поиграть в игрушку.

Лечение зараженных файлов оказалось невозможным и все их пришлось заменять копиями из последнего бекапа. В силу того, что «побиты» они были выборочно, процесс оказался крайне трудоемким и не скорым. Еще сложнее было вразумительно объяснить руководству причину инцидента.

Подчиненный мой от игромании так и не вылечился и его пришлось в конце концов уволить. Не последнюю роль в этом сыграл и произошедший по его вине описанный выше инцидент. Но речь, собственно, не о нем, а о вреде повышенных прав при работе на компьютере. Думаю, что я всех в этом убедил.

В следующей статье поговорим о том, как разумно и безболезненно организовать «отъем» у пользователей прав администратора.

Написать комментарий

Subscribe without commenting