Skip to main content

Az EPM/PEDM osztályú szoftverek (Endpoint Privilege Management / Privilege Elevation and Delegation Management) olyan megoldások, amelyek összekapcsolják a két alapvető elemet – az alkalmazások indításának ellenőrzését és a rendszerjogosultságok kezelését a rendszer szintjén. Ezeknek a két funkciónak a kombinációja lehetővé teszi a mechanizmusok bevezetését, amelyek csak megbízható alkalmazások indítását engedélyezik a felhasználók számítógépein, miközben minimalizálják a felhasználói fiókok jogosultságait. Az engedélykezelő rendszerek (EPM/PEDM rendszerek) segítségével egyszerűen megszüntethető a szükség a privilegizált fiókok használatára, például helyi adminisztrátori fiókokra, miközben minimális hatást gyakorolnak a dolgozók teljesítményére és felhasználói élményére a rendszerrel való munkavégzés során.

Az IT erőforrások kezelésének kulcsfontosságú aspektusa a számítógépes hardver biztonságának és védelmének biztosítása, és az EPM osztályú rendszerek a biztonság egyik alapvető elemei, alapvető technológiát nyújtva a végfelhasználók számára a minimális jogosultságok politikájának végrehajtásában.

  • Az EPM rendszerek implementációja sablonokra vagy készítőkre épül, amelyek megkönnyítik a megfelelő biztonsági politikák létrehozását, jelentősen egyszerűsítve és felgyorsítva a bevezetés folyamatát. Ajánlott a minimális jogosultságok politikájának bevezetése minden felhasználótípusra, de a gyakorlatban különös figyelmet fordítanak a fejlett felhasználói csoportokra (fejlesztők, alvállalkozók, adminisztrátorok), akiknek az adminisztrátori jogosultságok elvétele anélkül, hogy az EPM rendszert használnák, megakadályozná őket a mindennapi feladatok elvégzésében.
  • Nagyon fontos a jogosultságemelés szelektív módon, alkalmazásonként történő végrehajtása. A felhasználók a standard felhasználói fiókkal képesek megnyitni meghatározott alkalmazásokat, mintha az adminisztrátori csoportban lennének. Az EPM rendszerek képesek megakadályozni a veszélyes Ransomware & Malware típusú programok végrehajtását (a támadási felület csökkentése azáltal, hogy emelt jogosultságokat csak jóváhagyott alkalmazásoknak, szkripteknek, feladatoknak vagy parancsoknak adunk, amelyek valóban szükségük van rá).
  • Az alkalmazások futtatásának ellenőrzése azáltal, hogy blokkolja a meghatározott alkalmazások futtatását, még a normál körülmények között a standard felhasználói fiókokon is.
  • Az EPM rendszerek rendelkeznek riportmodulokkal, amelyek segítségével a biztonsági osztály részletes információkat szerezhet minden ismeretlen / nem jóváhagyott alkalmazásról, amelyet a felhasználók futtattak.

A biztonsági rés kockázatának minimalizálása

Az „Malware Threat Report 2021” dokumentumból érdekes adatokat lehet szerezni a Microsoft rendszerek biztonságával kapcsolatban. A nem javított sebezhetőségek az IT biztonsági incidensek mintegy 30%-áért felelősek. Például a Microsoft termékeknél tapasztalt sebezhetőségek száma 2019 és 2020 között 48%-kal nőtt, míg 2019-ben 858 sebezhetőséget regisztráltak, addig 2020-ban ez a szám 1268-ra emelkedett. A kritikus jelentőségű sebezhetőségek esetében 2020-ban az esetek 56%-a nem jelentett volna veszélyt, ha megszüntetik az adminisztrátori jogosultságokat. A Windows 10 rendszer esetében az összes 2020-ban észlelt biztonsági rést 132-et tekintették kritikusnak. Az adminisztrátori jogosultságok eltávolítása megakadályozná ezeknek a sebezhetőségeknek a 70%-ának kihasználását.

A következtetés évek óta változatlan. Az esetek jelentős részét könnyen csökkenthetjük, megszüntetve az adminisztratív jogosultságokat a végponti eszközökön, ami szakértők által ajánlott iparági gyakorlat.

Legkisebb jogosultságok stratégiája

Az engedélykezelő rendszerek (EPM/PEDM rendszerek) szorosan összekapcsolódnak az IT-biztonság alapelveinek egyikével, ami a legkisebb jogosultság elve (least privilege). A helyi adminisztrátori jogok birtoklása azt jelenti, hogy a felhasználónak gyakorlatilag minden funkcióhoz hozzáférése van a számítógépen a rendszerben. Ezek a jogosultságok magukban foglalhatják olyan feladatok végrehajtását, mint a szoftverek és hardverillesztők telepítése, a rendszerbeállítások módosítása. Továbbá képesek új felhasználói fiókokat létrehozni és jelszavakat módosítani az összes fiókon. Néha helyi adminisztrátori jogosultságokat adnak ki az IT-támogatás igényének csökkentése érdekében, miközben magas biztonsági kockázatnak vannak kitéve. Az ügyprivilegizált felhasználói fiókok kezelésének gyakori megközelítése a legkisebb jogosultságok modellje, amely azt jelenti, hogy a felhasználóknak és programoknak csak a szükséges minimális jogosultságokat rendelik hozzá a meghatározott feladatok végrehajtásához. A legkisebb jogosultság elve leginkább hatékonyan működik a whitelist-koncepcióval kombinálva. A whitelist gyakorlata a jóváhagyott alkalmazások meghatározása, amelyek telepíthetők és futtathatók a rendszerben. A whitelistre való helyezés célja a számítógépek és hálózatok védelme a potenciálisan káros alkalmazásoktól.

Az EPM/PEDM rendszerek hatékonyan képesek megállítani a nem jóváhagyott alkalmazások futtatását azáltal, hogy általános szabályokat alkalmaznak könnyen meghatározható kritériumok alapján.