Avecto Privilege Guard 2.6 упрощает администраторам обслуживание тех ПК с Windows, функциональность которых сознательно ограничена. Это избавляет пользователей от необходимости иметь права локального администратора и одновременно от неудобств, связанных с работой программы контроля учетных записей (User Account Control, UAC), чьи предупреждения часто им досаждают.
В 2006 г. я впервые познакомился с решениями для управления полномочиями пользователей Windows — Winternals Protection Manager, которое впоследствии купила Microsoft, и Desktop Standard PolicyMaker Application Security, предшественником конкурирующего решения BeyondTrust. Оба продукта были в значительной мере ориентированы на то, чтобы позволить пользователям с ограниченными локальными правами запускать на ПК под управлением Windows XP приложения, написанные без соблюдения мер безопасности.
Хотя и в 2011 г. можно воспользоваться такой возможностью применительно к любому обладающему изъянами приложению, есть более современные продукты вроде Avecto Privilege Guard и переработанного BeyondTrust PowerBroker Desktops в сочетании с нынешними операционными системами. Они упрощают работу в качестве стандартного пользователя, не вызывая при повседневных операциях шквала предупреждений о возможных последствиях для безопасности и предложений зарегистрироваться.
Главное преимущество этих продуктов, которые временно расширяют полномочия перечисленных в политике процессов и приложений, заключается в подавлении предупреждений и приглашений UAC, выдаваемых стандартному пользователю компьютеров с Windows 7 или Windows Vista. В результате автоматического предоставления временно и целенаправленно более широких полномочий пользователям с ограниченными правами последние получают возможность запускать приложения, для чего в ином случае им были бы необходимы права администратора.
Таким образом, ИТ-специалисты могут применять эти продукты, чтобы настроить UAC на максимальную безопасность, обеспечивающую более полную защиту от случайного или злонамеренного внесения изменений в системные файлы, скрывая этот факт от пользователей.
Новые особенности
Avecto Privilege Guard 2.6 обладает функциями, которых не было у его предшественников. Например, обеспечивает более тонкое управление, которое позволяет администраторам уточнить применяемые в политиках наборы правил. Политики же определяют, каким процессам и приложениям предоставляются расширенные полномочия. Кроме того, в новой версии появились управление сроком, на который предоставляются расширенные полномочия, и настраиваемый обмен сообщениями, с его помощью администраторы могут персонализировать сообщения, выдаваемые пользователям при предоставлении расширенных полномочий.
Версия 2.6 стоит 30 долл. на рабочую станцию. В прошлом году компания Avecto анонсировала также новый вид технической поддержки 24/7, которая предоставляется за дополнительную плату.
Privilege Guard состоит из двух элементов. Privilege Guard Client устанавливается на клиентской машине под управлением Windows 7, Vista или XP (для первых двух имеются 32- и 64-разрядные версии). Privilege Guard Console представляет собой управляющий элемент, интегрируемый в Group Policy Management Console или Group Policy Editor, которые необходимо установить на рабочих станциях, используемых для создания и редактирования политик Avecto.
Хотя пользователи, безусловно, будут применять Group Policy на базе Active Directory для создания и применения политик Avecto в корпоративной среде, я проводил тестирование в основном с использованием Local Policy на единственной виртуальной машине под управлением Windows 7.
Я пришел к выводу, что новый набор правил для приложений весьма полезен. Если прежние версии Privilege Guard позволяли администраторам создавать правила расширения полномочий для сочетания имени файла, его хеш-кода, командной строки и публикатора, то версия 2.6 обеспечивает повышенную гибкость. Теперь я мог создавать более изощренные политики, учитывающие название продукта, его описание, версии файла или продукта и владельца файла, а также правила для определенных моделей, применяемые к сходным приложениям.
Мне понравился и тот факт, что Privilege Guard пресекает широко известные попытки расширить полномочия обходным путем. Например, я мог блокировать привилегированный доступ к функциям Windows Explorer через имеющийся в приложениях управляемый диалог Файл — Сохранить. Это позволило лишить пользователей возможности сохранять файлы в не предназначенные для этого каталоги или удалять файлы, которые им удалять не следует.
Новые возможности обмена сообщениями позволяют администраторам настраивать любые сообщения, получаемые пользователями в случае расширения полномочий. С помощью такого специального текста я мог идентифицировать точки соприкосновения, чтобы устранять проблемы или изменять политики. Я мог также в явном виде формулировать корпоративные правила, регулирующие потребности в расширении полномочий.
Также у меня появилась возможность включить корпоративный логотип в диалоговые окна. Правда, изображения плохо масштабируются. В получившихся у меня всплывающих сообщениях небольшие изображения занимали непропорционально много места. Было бы весьма желательно, чтобы в дальнейшем интерфейс для создания сообщений в Privilege Guard позволял видеть сведения об их размерах.
Я отметил также, что настроенные сообщения иногда замедляют работу интерфейса пользователя. В подобных случаях, работая в качестве стандартного пользователя, я порой вынужден был 20—30 с ждать появления сообщения на обычно затемненном и недоступном фоне. Я не сталкивался с подобной задержкой в тех случаях, когда расширение полномочий происходило скрытно, без выдачи сообщений.
Весьма полезны также шаблоны для определения окончания срока действия политик. Они позволили мне задать время и день недели, когда должны вступать в силу правила расширения полномочий. Администраторы могут легко указать нужное время в интерфейсе Console, выбрав либо часовой пояс, в котором находится пользователь, либо всеобщее скоординированное время (Universal Time Coordinated, UTC).