Objavljeno: 29.6.2010 | Avtor: Matic Zupančič | Monitor Junij 2010

Prednost omejenih pravic

Kaj uporabnik sme in ne sme početi z računalnikom v krajevnem omrežju, v medmrežju, so stalnica ne prav strpnih polemik med jeznimi in frustriranimi uporabniki na eni ter mnogokrat preveč togimi sistemskimi upravitelji na drugi strani.

Dejstvo je, da je treba najti neko zdravo mejo med neusahljivimi željami uporabnikov in včasih tudi paranojo vodstva oziroma sistemskih upraviteljev.

Pravilo najmanjših pravic

Med strokovnjaki, ki se spoznajo na informacijsko varnost, se je v zadnjih letih izoblikovalo pravilo najmanjših pravic. To pravi, da imajo uporabniki (tudi naprave in procesi) dodeljene minimalne pravice, ki jim še zadostujejo, da lahko nemoteno opravljajo naloge in zadolžitve, ki so jim bile naložene. Za ponazoritev: ko ustvarimo novega uporabnika v domeni, ima ta zelo omejene pravice za dostop do virov (morda samo dostop do spleta), ko pa dobi zadolžitve, mu dodamo članstvo v skupinah in s tem pridobiva pravice na datotečnih in drugih virih podjetja. Tako v podjetju (razen ozke skupine okrog vodstva, na primer) nihče nima dostopa do vseh datotek, zbirk podatkov ... S tem rešimo marsikateri problem, ki lahko nastane ob uporabi malce manj restriktivne politike, pri kateri imajo vsi dostop do (skoraj) vsega, omejujemo pa le nekatere vire  (npr. zgolj enemu človeku omogočimo dostop do aplikacije za obračun plač). Po pomoti pobrisane mape, po nesreči premaknjene datoteke, odtekanje informacij, namerno ali nenamerno spreminjanje vsebine datotek je le nekaj teh nevšečnosti, do katerih pri uveljavljenju pravila najmanjših pravic težko pride. Če pravilo najmanjših pravic ponazorimo s primerom iz življenja korporacij, bi lahko pisali o npr. delavcu v prodaji nekega podjetja. Ta lahko pride v prostore družbe le s službeno kartico, ki mu omogoča, da se prosto giblje po poslopju, vendar le po prostorih, ki mu omogočajo, da lahko dela. Ni potrebe, da bi imel prost dostop do prostorov članov uprave, do strežniške sobe ali morda do kurilnice.

Uporabnikom sproti dodajajmo pravice.

Viri podatkov podjetja so le del zgodbe. Uporabniki bi seveda na svoje računalnike radi nameščali programe, ki jim olajšajo delo ali pa jim rabijo za lajšanje stresa pri delu. Če bi sistemski upravitelj v to prosto privolil, bi samemu sebi zakuhal najmanj dva velika problema. Prvi je izguba nadzora nad tem, kaj se dogaja na računalnikih v podjetju, in to predstavlja veliko varnostno tveganje, saj kljub antivirusnim in drugim varnostnim orodjem ne moremo zagotovo preprečiti namestitve škodljive kode. Če podjetje torej pristane, da imajo delavci na krajevnem računalniku administratorske pravice, se morajo vse zavedati, da so si naredili precej veliko razpoko v varnostnem sistemu.  Velja namreč, da (vsaj v Windows XP, ki je še vedno najbolj uporabljan operacijski sistem) vsi programi, ki tečejo v kontekstu administratorskih pravic, dostopajo do vseh virov v računalniku (sistemske datoteke, ipd.), z uporabo omejenih pravic pa tudi programi ne morejo dostopati do sistemskih nastavitev. To prav tako velja za viruse, trojanske konje in podobno škodljivo golazen. Črv, ki ga bo pognal uporabnik z administratorskimi pravicami, bo imel neomejene možnosti za šarjenje po sistemu. Črv, ki ga požene omejen uporabnik, pa bo lahko naredil bore malo škode, ker v kontekstu omejenih pravic ne bo mogel dostopati do sistemskih datotek.

Druga težava, ki je tudi ne moremo zanemariti, pa je izguba pregleda nad legalnostjo nameščene programske opreme. Uporabniki večinoma ne poznajo brezplačnih alternativ programov, ki jih uporabljajo doma, zato želijo tudi v službi uporabljati npr. Winzip, ki je plačljiv program.
Tudi administratorji bi morali dosledno uporabljati običajne uporabniške pravice. Če vas obišče tržni inšpektor, boste v škripcih, ker mu ne boste mogli priskrbeti dokumentov, ki bi dokazovali nakup programov, za katere sploh niste vedeli, da so nameščeni. Ko je inšpekcijski postopek končan, pa mora, če izdelovalec programske opreme (oziroma njegov zastopnik; svoje člane pri nas zastopa združenje BSA) to želi, inšpektorat odstopiti podatke o kršiteljih tudi njim. Ti večinoma sprožijo civilnopravni odškodninski postopek, ki lahko pripelje tudi do silno visokih odškodnin.

Praksa ni nujno različna od teorije

Dosledna uveljavitev pravila najmanjših pravic je v praksi najbrž zelo težko uresničljiva, lahko pa se mu precej približamo. To seveda pomeni, da bomo imeli sistemski upravitelji nekaj več dela v začetku, a precej manj potem, ob podpori uporabnikom, saj se ob takem režimu dela le težko zgodi, da bi uporabnik po nevednosti ali namerno kaj pokvaril, saj enostavno nima pravic, da bi to lahko storil.

Večina sodobnih aplikacij za svoje delovanje ne potrebuje povišanih pravic, zagotovo pa se predvsem v podjetjih uporablja kak kos lastno razvite kode ali pa kak bolj obskuren program, ki se ga nujno potrebuje za to, da delavci dobijo plače. Sistemski administrator ima v tem primeru pravzaprav dve možnosti. Lahko vrže puško v koruzo in v minuti ali dveh uporabniku določi administratorske pravice, lahko pa si vzame nekaj časa in skuša ugotoviti, kje program potrebuje fino nastavljanje sistema.

Navadno je kleč v pomanjkljivih pravicah za pisanje v ini datoteke, ki jih nekateri programi postavijo v mapo windows, kamor pa navadni uporabnik ne bi smel imeti vpogleda, ali pa v tem, da program nima pravice do pisanja v katero izmed vej registra računalnika. A da lahko ustrezno popravimo pravice na vseh mestih, kjer je treba, bomo najprej sploh morali vedeti, kaj vse določen program počne oziroma kakšne zahteve ima. Brez ustreznih orodij ne bo šlo. Med nepogrešljivimi za tovrstna opravila je Procmon, ki je del zbirke Sysinternals PS Tools. Ta beleži prav se operacije dostopanja do datotečnega sistema in registra. Videli bomo, da se kar precej dogaja, zato bo treba uporabiti tudi filtre, ki bodo prečistili izpis in nam izpostavili le to, kar nas zanima. Sprožimo beleženje v Procmon, poženemo program, ki nam dela preglavice, in opazujemo, kaj vse nam bo navrženo. Zanimajo nas predvsem vpisi "access denied", ki jih potem lahko ročno odpravljamo z modificiranjem pravic na datotekah oziroma vejah registra. Avtor tega članka še ni naletel na program, ki se ga s pravkar opisanimi koraki ne bi dalo prepričati, da se zažene v kontekstu običajnih uporabniških pravic. Zakaj le bi pustili programu, da dostopa do vsega, če mu lahko selektivno določimo, da dostopa le do tistega, kar potrebuje. Lahko bi rekli, da tudi za programe velja pravilo najmanjših pravic, ki smo ga malo prej opisali. Garažnim programerjem gre torej svetovati, da svoj program, preden ga prodajo, temeljito preizkusijo tudi z vidika običajnega uporabnika. Programerji si zaradi lažjega dela običajno nastavijo čim višje pravice v sistemu, ki ga uporabljajo za razvoj, prepogosto pa pozabijo, da nekatera podjetja zelo resno jemljejo varnost informacijskega sistema v celoti.

Zatemnjevanje zaslona v sistemu UAC ni zaradi lepšega. Tako se uporabnik osredotoči na pogovorno okno, hkrati pa so tudi druge aplikacije, ki bi lahko preslepile uporabnika, onemogočene.

V svetu sistemov Linux in Unix že od vekomaj velja, da se uporabniški račun root, ki je primerljiv z administratorjem iz okolja Windows, uporablja le izjemoma, oziroma se za primere, ko je potrebno določenemu programu zvišati pravice dostopanja do sistemskih virov, uporablja ukaz su (sudo), s katerim le začasno uporabimo višje pravice, da pač opravimo, kar moramo.  V okolju Windows so šele s prihodom nesrečne Viste skušali doseči nekaj podobnega s sistemom UAC (user access control), ki pa ga uporabniki niso sprejeli in so ga kljub drugačnim priporočilom množično izklapljali; to je povzročilo, da smo z vidika varnosti spet padli na nemogočo prakso iz okolja Windows xp. Windows 7 je prinesel nekaj več nadzora nad obnašanjem UAC. Naše priporočilo je, da UAC pustimo čim bolj pri miru, kajti kljub temu, da imamo vse pravice, vzpostavi nekaj zaščite. Programi v Windows se torej že privzeto poganjajo z zmanjšanimi pravicami, čeprav jih poganja upravitelj. Šele ko program zahteva nekaj, za kar je treba več pravic, se sproži UAC in od uporabnika zahteva potrditev. Če pa je UAC povsem izklopljen, programi ne bodo več spraševali, marveč bodo vzeli, kar mislijo, da jim pripada. Če med njimi ne bi bili tudi razni črvi in podobna škodljiva koda, bi še šlo, a v resnici smo sistem spravili v nevarnost. Pravšnja nastavitev UAC je predvsem kompromis med nerviranjem uporabnika in varnostjo. Če bo rigorozno nastavljen, bo kar naprej želel potrditve, in uporabnik sploh ne bo več razmišljal in bo samo še avtomatično potrjeval zahteve programov, tega pa ne želimo.

Če smo do zdaj pisali le o "službenem" vidiku zgodbe s pravicami, bi lahko zelo podobne stvari zapisali tudi za domače uporabnike. Bolj ali manj vsi velikokrat delamo napako, ko ob nakupu računalnika pustimo računalnik tak, kot smo ga dobili. Po vsej verjetnosti to pomeni, da uporabnik, s katerim dostopamo do namizja, sploh nima določenega gesla. Kot smo že pisali v prejšnjih številkah, je uporabniški račun brez gesla boljša alternativa kot slabo geslo. Operacijski sistem Windows že nekaj časa (od servisnega popravka 2 za windows xp) privzeto zavrača povezovanje na daljavo z uporabniškim imenom, ki nima določenega gesla. A pustimo zdaj gesla ob strani. Doma smo malce razvajeni in če nas že v službi omejujejo, si skušamo vsaj doma privoščiti ... in naredimo napako. Tudi doma bi morali za vsakdanje delo uporabljati uporabniški profil s čim manj pravicami. S tem se izognemo različnim nevšečnostim, ki jih prinaša izpostavljenost škodljivcem, ki jih lahko sproti nabiramo v spletu. Ker pa smo seveda gospodarji svojega računalnika, bomo kljub temu hoteli prosto nameščati programe in imeti nadzor nad vsem računalnikom. Izdelajmo si poseben profil z vsemi pravicami, ki ga bomo uporabljali izključno takrat, ko bomo takšne pravice potrebovali.

Načelo najmanjših pravic pa seveda ni uporabno samo v operacijskem sistemu, marveč tudi povsod drugod, kjer se srečujemo z določanjem pravic uporabnikom. Tudi sistemi za upravljanje z vsebino spletnih strani (CMS) so lahko problematični. Menimo, da ni prav nobene potrebe, da bi imel avtor, ki prispeva besedila za spletno stran, kaj več pravic kot "author" ali "contributor", še posebej pa ne potrebuje pravic urednika. Tudi urednik ne potrebuje pravic dostopanja do zbirke podatkov spletne strani.

Tolikokrat omenjeno pravilo najmanjših pravic je torej način razmišljanja in posledično ukrepanja (nastavljanja sistemov). Uporabniki se morajo pač zavedati, da sistemski upravitelji vsega zgoraj naštetega ne počnemo zato, da bi grenili življenje uporabnikov, marveč da omogočimo vsem udeleženim čim bolj varno delo, predvsem pa, da poskrbimo, da so jim vsi sistemi na voljo čim več časa. Tega pa ob abotnih problemih z različnimi nadležnimi okužbami sistemov ali pa zaradi nerodnosti uporabnikov ne bi mogli zagotavljati brez ustreznih omejitev.

Naroči se na redna tedenska ali mesečna obvestila o novih prispevkih na naši spletni strani!

Komentirajo lahko le prijavljeni uporabniki

Monitor na Facebooku

Monitor TV na YouTube

WgtTlaQnT-o

  • Polja označena z * je potrebno obvezno izpolniti
  • Pošlji