На протяжении последних лет я выступаю за то, чтобы Windows-компьютеры работали в режиме минимальных прав пользовательского доступа. Нельзя предоставлять всем привилегии администратора (или опытного пользователя), если вы не хотите увидеть на своих машинах несанкционированные приложения, а то и вообще нежелательные программы. Вот только проводить такую политику в масштабе всей компании — задача далеко не простая. Многие приложения все еще не могут нормально работать без административных привилегий, и волей-неволей приходится разрешать опытным сотрудникам то, что недопустимо для других. Вот только результат вполне может оказаться непредсказуемым.
Для решения этой проблемы фирма BeyondTrust несколько лет назад предложила приложение Privilege Manager (ранее известное как PolicyMaker Application Security фирмы DesktopStandard), с помощью которого администраторы могут централизованно изменять уровень привилегий на основе правил. Благодаря этому у пользователя с ограниченными правами появляется возможность работать с отдельными программами, которые требуют административных привилегий. По отношению же к остальным его права по-прежнему остаются весьма скромными.
За прошедшие с тех пор годы BeyondTrust столкнулась и со второй проблемой. Проведенные фирмой опросы показали, что две трети ее клиентов хотели бы лишить административных привилегий от 90 до 100% своих сотрудников. Однако оставшаяся треть респондентов пожаловалась, что без таких прав целый ряд специалистов (особенно системные администраторы, разработчики, пользователи ноутбуков и т. д.) буквально засыпают запросами службу технической поддержки. В результате эти организации выступают против всеобщего перехода на минимальный набор привилегий. Ответом на сложившуюся ситуацию стала последняя версия Privilege Manager 4.0, способная учитывать подобные особые случаи. Она пополнилась рядом новых функций, призванных упростить администрирование даже в самых непредсказуемых условиях.
Прежде всего здесь появилась возможность изменять уровень разрешений сразу для нескольких приложений одного производителя. Администратор теперь может предоставлять расширенные привилегии тем приложениям и установочным пакетам, код которых подтверждается предварительно одобренными сертификатами. Ему, скажем, нетрудно повысить уровень привилегий сразу для всех приложений Microsoft с электронной подписью.
Кроме того, Privilege Manager 4.0 позволяет предоставлять дополнительные права для программ на CD или DVD с определенными серийными номерами. Благодаря этому администратор получает возможность контролировать установку нового ПО на удаленных машинах, пересылая туда диски с новыми или обновленными приложениями.
Но самая яркая особенность четвертой версии состоит в том, что некоторым пользователям теперь можно предоставить право менять уровень своих привилегий, что называется, на лету. В контекстном меню, которое выводится на экран после щелчка правой кнопкой на приложении или инсталляционном пакете, появился новый пункт, разрешающий изменить права пользователя. Правда, доступна такая опция не всем. Чтобы сделать это, сотрудник должен либо ввести пароль, либо послать администратору запрос с пояснением, для чего это ему нужно.
Предусмотрена в Privilege Manager 4.0 и коррекция некоторых функций Windows Vista. Еще в версии 3.5 своего пакета BeyondTrust несколько умерила чрезмерную “болтливость” модуля UAC (User Account Control — контроль над доступом пользователей), а теперь еще и распространила функции безопасности интеграционного уровня Vista на приложения (за исключением Internet Explorer).