Перейти к содержанию
red17

А так ли хороша защита UAC

Recommended Posts

red17

Заметил интересную особенность, когда устанавливаешь программу, само сабой на изменения системных папок UAC задаёт вопрос, но когда уже установленная программа модифицирует себя(обновляется) при этом неизбежно внося изменения в системные папки, UAC молчит и это происходит как при работе от администратора так и под пользователем. Отсюда логичный вывод, что при наличии серьёзной уязвимости в установленной программе можно получить доступ к системным папкам в обход UAC/огр. учётки :unsure:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SDA
Заметил интересную особенность, когда устанавливаешь программу, само сабой на изменения системных папок UAC задаёт вопрос, но когда уже установленная программа модифицирует себя(обновляется) при этом неизбежно внося изменения в системные папки, UAC молчит и это происходит как при работе от администратора так и под пользователем. Отсюда логичный вывод, что при наличии серьёзной уязвимости в установленной программе можно получить доступ к системным папкам в обход UAC/огр. учётки :unsure:

:facepalm:

Админский профиль - максимальная настройка

windows7-uac-1.jpg

Всегда уведомлять – уведомление происходит всегда – как при попытках программ установить программное обеспечение или внести изменения, так и при изменении параметров Windows пользователем.

Запрос учетных данных отображается для обычных пользователей в том случае, когда они пытаются выполнить задачу, для которой необходим доступ администратора. Пользователь должен указать имя и пароль учетной записи, которая входит в группу локальных администраторов.

Настраивается при помощи оснастки локальной политики безопасности (Secpol.msc) или групповых политик.

uac3.png

Простой пример, обновление браузера или флеш, требует введения пользователем пароля, локальным админом подтверждения.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
red17
Простой пример, обновление браузера или флеш, требует введения пользователем пароля, локальным админом подтверждения.

Когда это браузер при обновлении требовал пароля? На флеш плеер запрос UAC/пароля идеть лишь потому, что при обновлении он качает весь инталятор и ставится заново, а вот Reder от той же фирмы Adobe обновится безовсяких запросов. Не серьёзно, UAC это защита только от действий пользователя что ли получается? От дыр в программах UAC это полный эпик фейл.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Celsus

Может вирус выдать себя за пользователя и выполнять настройку системы не как программа, а как пользователь?

Самый высокий параметр полезен, когда все настроено. Но после установки ОС постоянные диалоговые окна мешают. Наверное, потому по умолчанию стоит вторая настройка. Потом можно поднять на максимум (если времяпровождение за компьютером не связана с настройкой системных параметров).

Не серьёзно, UAC это защита только от действий пользователя что ли получается? От дыр в программах UAC это полный эпик фейл.

Нет. Если происходит попытка изменений системных настроек, то выводится сообщение. Как написал sda, самый высокий и и высокий уровни отличаются тем, что при высоком окно выскакивать не будет, если настройки производит Администратор, то есть сам пользователь. А если настройки меняет программа, то выскочит. Самый высокий уровень - окно выскочит в любом случае. Третий сверху уровень, как и второй сверху, только во время окна нет изолированного (виртуального) рабочего стола (затемнения жкрана). Он, как я понял, защищает диалоговое окно UAC.

Поэтому, чтобы защитить компьютер, достаточно работать с обычными правами, тогда неважно какой уровень выбирать - высокий или самый высокий, окно выскочит в любом случае. А под пользователем с администраторскими правами надо ставить самый высокий уровень (если деятельность не связана с настройкой системы - тогда постоянные окна могут сильно мешать).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
red17

Может я слишком много хочу от Microsoft или плохо понимаю их политику безопасности, где во главу угла ставятся задачи защитить ОС от пользователя.

P.S. Немного изучаю Linux :) заметил, что там права root требуются при любых попытках изменить системные файлы и решил, что и в Windows 7 также, а тут защита только от тебя, а не от хакера который будет ломать твой ПК. Грустно :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
red17

Может так понятнее: UAC не контролирует действия уже установленных программ в системе, а лишь новые инсталляции, через уязвимости в уже установленных программах можно обойти UAC модифицировав необходимые файлы и получить контроль над ПК. Отсюда становится понятным за какой надобностью было делать работу IE 8 и особенно IE 9 в песочнице который устанавливается только на ОС с UAC. Именно из-за такой работы UAC хакерам на pon2own не составляло труда сломать Windows Vista, а позднее и Windows 7.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Celsus
Может я слишком много хочу от Microsoft или плохо понимаю их политику безопасности, где во главу угла ставятся задачи защитить ОС от пользователя.

P.S. Немного изучаю Linux :) заметил, что там права root требуются при любых попытках изменить системные файлы и решил, что и в Windows 7 также, а тут защита только от тебя, а не от хакера который будет ломать твой ПК. Грустно :(

Как обычному пользователю, мне кажется, что при наименьших интеллектуальных и финансовых затратах Microsoft пытается найти золотую середину между безопасностью и удобством. В этом смысле Linux для обычного пользователя, не обладающего часто даже базовыми знаниями ПК, не удобен.

Думаю, в майкрософте проводили тесты и все взвешивали, прежде чем решить, какую "коробочную" настройку оставить. Их настройка Internet Explorer 9 на мой взгляд неплоха - нравится переключение уровней защиты и блокировки на сайтах.

В UAC, на мой взляд, оптимально выставлять максимальную настройку. При этом за день появляется очень мало окошек, при обычной работе за ПК - игры, редакторы текста, программы, которые правильно установлены, настроены и не лезут в системные настройки. Лично мне удалось настроить программы и среду так, чтобы UAC не надоедал. Но для этого надо уметь это делать. Большинство не умеет, потому ради того, чтобы у неподготовленного, незнаюющего пользователя не возникало резкой негативной реакции (а самообучаться многие не любят!), настройки по умолчанию не оптимальные в плане безопасности (ну вот обычным людям нужны ли удаленные подключения, сервера и рабочие станции?). Они базовые, для всех, их надо доводить до ума, в сооттвествии со своими нуждами.

Еще плюс - это выбор рекомендуемых настроек, которые более безопасны (но и их потом надо донастраивать).

Если создать учетную запись с ограниченным доступом, то изменить системные папки не удастся, что с UAC, что без него. Если есть подозрения, что компьютер под прицелом хакера, то наверное надо пользоваться услугами специалиста безопасности и не заморачиваться по поводу непонятных средств защиты.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
red17

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SDA
Вы случайно не в Microsoft работаете :facepalm:

Нет не работаю, но прежде чем писать, тестирую и читаю ту же мат.часть, чтобы не писать ......ю

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
red17
Нет не работаю, но прежде чем писать, тестирую и читаю ту же мат.часть, чтобы не писать ......ю

Я за Вас рад :)

Работа без прав root на Linux и работа на Windows с UAC две большие разницы, и если в первом случае это действительно часть безопасности, то во втором случае это лишь ”защита от дурака” поэтому лучше не обольщаться и поставить антивирус класса Internet Security, а UAC отключить чтобы не раздражал лишний раз. Хотя истинным ценителям и любетелям чтобы их переспрашивали UAC лучше оставить и выставить настройки на максимум, в особых случаях ещё и в локальных политиках поставить запрос учётных данных на безопасном рабочем столе ;) .

в особых случаях ещё и в локальных политиках поставить запрос учётных данных на безопасном рабочем столе.

P.S. Тут важно при этом ещё пароль позаковырестее поставить иначе дожного эффЭкта может невозыметь уровень защиты будет нетот.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Celsus
поэтому лучше не обольщаться и поставить антивирус класса Internet Security, а UAC отключить чтобы не раздражал лишний раз.

Стоит COMODO IS, его HIPS также выдает алерты, которые иногда дублирует UAC. При обычной работе обычного человека алертов CIS и UAC мало.

Если требуется защитить важные файлы от "дурака" и при этом сделать так, чтобы не было никаких оповещений, то в чем преимущество IS? Чем хуже выставление прав доступа на файлы, папки и ветки реестра (в данном случаче HKCU)? Оповещения все равно будут, как и с использованием IS. В данном случае имеется ввиду его HIPS. Но если будет запрет без оповещения, то пользователь будет думать, что удалил или изменил папку или параметр реестра, а этого не произойдет. Что в этом полезного?

Если сделать защиту файлов и настроек от программ и при этом убрать оповещения, то программы молча не будут работать или работать с ошибками - зачем это нужно?

Разве KIS не предупреждает о том, что какая-то программа пытается выполнить опасное дествие? Если выключить эти предупреждения, то рано или поздно программы, которые просят прав, перестанут работать.

Ни UAC, ни ISы не знаю намерений программ, они всего лишь детектируют действия, которые могут быть использованы как в пользу, так и вовред.

По поводу защиты компьютера от взлома хакера с помощью одного IS тоже не следует обольщаться. :D Речь идет о защите системных папок и папок, которым выставлены права администратора, или у которых нет полных прав обычного пользователя. Для защиты от кражи данных надо использовать firewall, тогда левая программа не сможет передать информацию в Интернет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
red17
По поводу защиты компьютера от взлома хакера

ИМХО

Обновления ОС и всего установленного софта- защита от известных уязвимостей.

FF+NS- защита от всех уязвимостей drive by использующих межсайтовый скриптинг XSS некоторые спецы говорят этого более чем достаточно от drive by.

IS комплексная защита, хороший HIPS способен защитить от всех угроз см. Comodo Фаервол входит в состав IS при правильной настройке способен защитить от всех нежелательных вторжений из сети

Для защиты от кражи данных надо использовать firewall, тогда левая программа не сможет передать информацию в Интернет.

Если зловред пропишется в ring0 фаервол его неувидит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SDA
Я за Вас рад :)

Работа без прав root на Linux и работа на Windows с UAC две большие разницы, и если в первом случае это действительно часть безопасности, то во втором случае это лишь ”защита от дурака” поэтому лучше не обольщаться и поставить антивирус класса Internet Security, а UAC отключить чтобы не раздражал лишний раз. Хотя истинным ценителям и любетелям чтобы их переспрашивали UAC лучше оставить и выставить настройки на максимум, в особых случаях ещё и в локальных политиках поставить запрос учётных данных на безопасном рабочем столе ;) .

P.S. Тут важно при этом ещё пароль позаковырестее поставить иначе дожного эффЭкта может невозыметь уровень защиты будет нетот.

Гениально, в мемор - "UAC защита от дурака", "UAC отключить чтобы не раздражал лишний раз" :facepalm:

Для информации: права root в Linux по дефолту не даются, а Windows 7 права root (суперадмин) по дефолту отключены. <_<

Ждем очередных откровений, особенно интересен опыт работы на осях Linux :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
red17
Если создать учетную запись с ограниченным доступом, то изменить системные папки не удастся, что с UAC, что без него.

Контроль UAC будет и под учетной записью с ограниченным доступом, просто в Виндовс администратор уже поумолчанию выключен, точнее ограничен UAC в одной учётнои записи тоже можно поставить UAC запрос с паролем, но начиная с про. версии.

Если есть подозрения, что компьютер под прицелом хакера, то наверное надо пользоваться услугами специалиста безопасности и не заморачиваться по поводу непонятных средств защиты.

Любой ПК потенциальная жертва хакера, но мы сейчас тут не об этом...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Celsus
ИМХО

Обновления ОС и всего установленного софта- защита от известных уязвимостей.

FF+NS- защита от всех уязвимостей drive by использующих межсайтовый скриптинг XSS некоторые спецы говорят этого более чем достаточно от drive by.

IS комплексная защита, хороший HIPS способен защитить от всех угроз см. Comodo Фаервол входит в состав IS при правильной настройке способен защитить от всех нежелательных вторжений из сети

Если зловред пропишется в ring0 фаервол его неувидит.

Согласен, что при HIPS UAC лишний, ведь 1 у него ограниченная задача защиты и (надо проверить) обычно настроенный HIPS дублирует UAC. Но остается задача виртуализации - кому-то может пригодиться. UAC - обязательная базовая защита для обычного пользователя, который до сайта скачивания IS или торрента с IS идет через vkontakte, prono, еще кучу сайтов. Это в случаяе, когда у человека защита не на 1 месте в списке приоритетов. Сужу по недавнему себе и некоторым знакомым. В идеале сначала надо обновляться, затем думать о настройке фаервола, IS, при этом при отключенной сети UAC наверно на самый высокий уровень ставить бессмысленно, он будет ужасно мешать, но и отключать не стоит до тех пор, пока не заработает IS. Это то, что я понял, читая форумы, возможно, слишком просто или даже неверно.

Хорошо бы разобраться в тонкостях темы у специалистов - например, в ситуации, когда у неопытного человека на установленной только что ОС работает по умолчанию брандмауэр, что там с защитником Windows - непонятно, ведь его надо обновить, прежде чем он заработает, как и саму ОС. И что там человек, в три часа ночи установив ОС и думая уже о том, как побыстрее выключить компютер, выбрал - "рекомендуемые параметры" или "отложить вопрос до утра", какие настройки безопасности система выставила во втором случае (настройка IE8, через который будет первый выход в Интернет, настройка Сети и т.д.).

У профессионалов другие последовательсности действий - не знаю, например, выключить сеть (сеть работает сразу - в зависисомсти от провайдера и типа соединения). Чтобы отключить UAC под Администратором, надо точно знать, что программы надежные, а не вчера скаченные. Слишком много неизвестных условий.

По поводу Drive-by оффтоп, но ужасно интересно, как от них защититься. Прочитал статью Райан Нарейн. Drive-by загрузки. Интернет в осаде - многое узнал. Удивило отсутствие рекомендаций по настройке браузера, отключении того функционала, через который Drive-by работает (JS, iframe, flash, плагины realplayer, QT и др.). О лизензионных ОС и установке ISов автор сказать не поленился :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
red17
Для информации: права root в Linux по дефолту не даются, а Windows 7 права root (суперадмин) по дефолту отключены. <_<

Я очень рад, что хоть это Вы поняли, правда есть и исключения такие, как Android. Осталось понять разницу между ограничением прав root в Linux и неудачной копией в Windows.

Согласен, что при HIPS UAC лишний,

UAC лишний для любого нормального пользователя с головой, а возможно ещё и вредный так как создаёт иллюзию защиты.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Celsus
Согласен, что при HIPS UAC лишний

Но все равно не выключаю, так как сообщения UAC редки, то смысла в отключении лично для себя не вижу.)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Celsus
UAC лишний для любого нормального пользователя с головой, а возможно ещё и вредный так как создаёт иллюзию защиты.

О какой именно защите идет речь?

UAC защищает системные папки и настройки от изменений программ и пользователей, у которых нет прав? Да. Примечание: если только поставлен самый высокий уровень (для случайного изменения настроек пользователем) и если уже работающая программа не запущена с правами Администратора. Чтобы запустить программу от имени Администратора, нужно опять-таки пройти через защиту UAC. Запустить с правами может Планировщик, но чтобы в него войти обычно требуется согласие UAC/ Где в этом случае иллюзия? Вопрос: как из-под Администратора или даже обычного пользователя обойти UAC - другой. Интересно бы найти ответ на него. Будь обход защиты UAC или прав таким доступным, все вирусописатели, кому не лень, им бы пользовались. Тогда, наверное, появилась бы масса тем с названием "UAC не помог!". Хотя, честно, не искал, может, такие темы есть в большом количестве.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SDA
Я очень рад, что хоть это Вы поняли, правда есть и исключения такие, как Android. Осталось понять разницу между ограничением прав root в Linux и неудачной копией в Windows.

UAC лишний для любого нормального пользователя с головой, а возможно ещё и вредный так как создаёт иллюзию защиты.

Еще один фейк :facepalm:

Android — операционная система основанная на ядре Linux, т.е. Root права на androidе тоже нужно получать ;)

Если не хотите читать матчасть хоть для начала погуглили что ли :facepalm:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
red17
О какой именно защите идет речь?

Будь обход защиты UAC или прав таким доступным, все вирусописатели, кому не лень, им бы пользовались. Тогда, наверное, появилась бы масса тем с названием "UAC не помог!". Хотя, честно, не искал, может, такие темы есть в большом количестве.

Заражённых ПК С Windows 7 и Vista хватает и не все их пользователи "жмут ДА" и я нигде не сказал, что UAC очень легко обойти, но от уязвимостей число которых растет с установкой нового софта Windows не защищает в отличии от Linux.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SDA
О какой именно защите идет речь?

UAC защищает системные папки и настройки от изменений программ и пользователей, у которых нет прав? Да. Примечание: если только поставлен самый высокий уровень (для случайного изменения настроек пользователем) и если уже работающая программа не запущена с правами Администратора. Чтобы запустить программу от имени Администратора, нужно опять-таки пройти через защиту UAC. Запустить с правами может Планировщик, но чтобы в него войти обычно требуется согласие UAC/ Где в этом случае иллюзия? Вопрос: как из-под Администратора или даже обычного пользователя обойти UAC - другой. Интересно бы найти ответ на него. Будь обход защиты UAC или прав таким доступным, все вирусописатели, кому не лень, им бы пользовались. Тогда, наверное, появилась бы масса тем с названием "UAC не помог!". Хотя, честно, не искал, может, такие темы есть в большом количестве.

Контроль учетных прав можно обойти, об этом писали и сами представители Мелкософта. Нет 100% защиты. Но пока ни в Винде, ни в Линуксе, ни в Макоси ничего лучше не придумано и позволяет в 99% опытных пользователей обходиться без дополнительной защиты.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
red17
Еще один фейк :facepalm:

Android — операционная система основанная на ядре Linux, т.е. Root права на androidе тоже нужно получать ;)

Вот дела держу в руках смар на Android и ненужно там никаких прав root

Может стоит к прочтению мат. части добавить немного практики ;)

Но пока ни в Винде, ни в Линуксе

Вот только ненадо обобщать.

и позволяет в 99% опытных пользователей обходиться без дополнительной защиты.

Опытные пользователи прекрасно обходятся и без UAC.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
      Домашние антивирусы для macOS были обновлены до версии 7.4.1200. В числе прочего добавлена поддержка macOS Sonoma (версия 14).
    • Ego Dekker
      Домашние антивирусы для Windows были обновлены до версии 16.2.15.
    • PR55.RP55
      Желательно чтобы uVS проверял записи защитника и помечал все файлы в исключениях как подозрительные. Если есть информация почему она не используется? https://forum.kasperskyclub.ru/uploads/monthly_2020_12/1607963082071-1990362701.thumb.jpg.fce65d13df469559a736960ab2de447a.jpg    
    • AM_Bot
      В обновлённом релизе корпоративного менеджера паролей «Пассворк 6.0» представлен ряд улучшений для более гибкой и комфортной совместной работы с паролями, оптимизированы пользовательский интерфейс и раздел настроек, усилена безопасность.      ВведениеКогда будет полезен менеджер паролей «Пассворк»Функциональные возможности «Пассворк»3.1. Сейфы и папки3.2. Работа с паролями3.3. Управление пользователями и безопасность3.4. Прочие возможности и особенностиНовые возможности «Пассворк 6.0»4.1. Ярлыки4.2. Безопасная отправка паролей4.3. Оптимизация работы с LDAP4.4. Управление настройками4.5. Прочие улучшенияВыводыВведениеЦифровизация жизни современного человека привносит в повседневность удобство и комфорт, экономит время. Множество различных веб-сервисов и приложений для работы, спорта, здоровья, шопинга и т. п. рано или поздно накапливаются у каждого пользователя, и наступает момент упорядочить хаос доступов в удобную структуру. А если речь заходит о бизнесе или госсекторе, то важнейшими атрибутами становятся безопасность и возможность коллективной работы с конфиденциальными данными.Настанет день, когда придётся задаться простым вопросом: где хранить сотни корпоративных паролей и как ими делиться с коллегами?Единственным на данный момент продуктом подобного типа, внесённым в реестр Минцифры России, является корпоративный менеджер паролей «Пассворк», который начал свой путь ещё в 2014 году и за прошедшее время завоевал симпатии сотен компаний.«Пассворк» упрощает совместную работу с доступами к корпоративным сервисам и обеспечивает при этом необходимую безопасность.Парольные данные в «Пассворк» зашифрованы, хранятся строго на серверах клиента, не выгружаются в облако и не передаются наружу. Отдел ИБ управляет правами пользователей, контролирует все действия с паролями и проводит аудит безопасности.Необходимые доступы к корпоративным ресурсам всегда находятся у сотрудника под рукой: «Пассворк» представлен не только в виде удобной веб-платформы, но и в качестве мобильного приложения (Android, iOS), а также расширения для браузера (поддерживаются Chrome, Firefox, Edge, Safari).Когда будет полезен менеджер паролей «Пассворк»Допустим, компанию покинул работник — службе безопасности необходимо знать, какие пароли к каким сервисам необходимо изменить. Если, наоборот, в компанию поступил новый человек, то необходимо оперативно выдать доступ к ресурсам с учётом рисков испытательного срока. Менеджер паролей для бизнеса «Пассворк» позволяет экономить время в рутинных делах, удобно организовывая безопасную работу с паролями в компании.Зачастую доступ к самым ценным данным есть у ограниченного круга сотрудников. В случае когда важный работник отдела не на связи, а логин и пароль к нужному ресурсу по той или иной причине находятся только у него, корпоративные данные рискуют оказаться заблокированными. «Пассворк» позволяет организовать контролируемый доступ к важным данным компании без задержек для бизнеса, при этом снижая риски в информационной безопасности.В случае роста компании и увеличения штата администраторов в «Пассворк» безопасно устроена совместная работа с базой паролей, что усиливает киберзащиту, исключая утечки данных из внешних облачных хранилищ.Рабочих сценариев, когда «Пассворк» экономит время и оказывается полезным, множество. Помимо корпоративной безопасности парольный менеджер ориентирован на удобство в рутинных задачах, что делает его важным инструментом сотрудников на каждый день.Предлагаем рассмотреть возможности и взглянуть на интересные решения актуальной на этот момент версии корпоративного менеджера паролей «Пассворк» — 6.0.Функциональные возможности «Пассворк»Сейфы и папкиИспользуя принцип защищённых контейнеров (сейфов), «Пассворк» хранит пароли в зашифрованном виде на сервере организации. Рисунок 1. Зашифрованное хранилище паролей (сейф) Сейф может содержать как пароли, так и вложенные папки. Папка тоже является контейнером и позволяет структурировать пароли в рамках сейфа, объединяя тематически схожие кодовые слова в удобные иерархические структуры.«Пассворк» поддерживает два типа сейфов: доступ в личный сейф есть только у его владельца, доступ к сейфам организации определяется политикой доступа.256-битный мастер-пароль ограничивает доступ к каждому сейфу и автоматически генерируется случайным образом при создании хранилища. Криптографический алгоритм (ГОСТ или AES-256, на выбор администратора) отвечает всем современным требованиям по безопасности. Рисунок 2. Импорт данных в сейф «Пассворк» Поддерживается возможность импортировать пароли в сейф из файлов CSV, JSON или в формате KeePass XML.Администратор может создать, переименовать, удалить сейф или просмотреть историю действий с ним, а также добавить или удалить пользователя, просмотреть права доступа к сейфу. Рисунок 3. Добавление пользователя в папку Ролевая модель позволяет удобно разграничить права доступа работников компании к сейфам на этапе добавления пользователя.Работа с паролямиПароли можно редактировать, копировать в буфер или отправлять другому пользователю системы. Есть история действий с паролями для отслеживания всех редакций. Рисунок 4. Добавление нового пароля в «Пассворк» При добавлении новых реквизитов доступа необходимо заполнить ряд стандартных полей, а также активировать дополнительные опции, если нужно — например, добавить поле для секрета двухфакторной аутентификации или указать тег для дополнительной категоризации.Нельзя не отметить, что разработчики удобно внедрили опцию генерации паролей в одноимённое поле. По щелчку можно быстро сгенерировать пароль с учётом всех требований по сложности и безопасности.История изменений пароля отображается на вкладке «История действий», рядом на вкладке «Редакции» можно откатиться к предыдущим версиям пароля.Поле «Поиск» позволит найти строки во всей базе с учётом прав доступа. Рисунок 5. Поиск по базе доступов в «Пассворк» Здесь же можно быстро отфильтровать данные по цветовым меткам или тегам.«Пассворк» позволяет безопасно поделиться паролем с конкретным сотрудником напрямую, отправив пароль в личные сообщения. Рисунок 6. Личные доступы в «Пассворк» У владельца сохраняется контроль над паролем, все изменения будут отображаться у всех сотрудников, с кем пользователь поделился данными.Также возможно безопасно передать пароль в виде URL любому человеку за пределы «Пассворк» (но в пределах периметра сети компании), создав одноразовую ссылку или ссылку со сроком жизни.Управление пользователями и безопасностьКак мы отметили выше, в «Пассворк» реализована гибкая ролевая модель: каждому пользователю назначаются определённые уровни доступа к паролям. Рисунок 7. Управление пользователями в «Пассворк» По каждому пользователю представлено своего рода досье: роль, сейфы, активные доступы, статус, настройки, последние действия. Здесь же можно деактивировать, отредактировать и удалить учётную запись, сбросить её пароль, настроить права и применить роль. В один щелчок деактивированный пользователь лишается доступа ко всем паролям организации.Для регистрации нового пользователя в системе администратор в ручном режиме создаёт новый аккаунт или генерирует ссылку-приглашение для самостоятельной регистрации, после которой потребуется подтверждение от администратора (лично или через специальный код). Рисунок 8. Панель безопасности в «Пассворк» В сводной панели администраторы могут обзорно оценить текущее состояние системы. «Пассворк» собирает все события и метаданные, которые связываются с паролями, и на базе анализа даёт заключения и рекомендации.Панель интерактивна, можно по наведению курсора получить подсказку о рисках и статусе, быстро внести необходимые изменения, по щелчку переходя в соответствующий раздел. Рисунок 9. История действий в «Пассворк» Полезная функция для проведения аудита безопасности или расследований — запись всех действий пользователей и администраторов в системе. История действий может быть экспортирована по протоколу Syslog в комплексы управления событиями (SIEM).Прочие возможности и особенностиОбзорно отметим наиболее важные особенности «Пассворк»:Устанавливается на локальные серверы, все данные шифруются, доступ и контроль осуществляет только заказчик.Гибкое управление пользователями и правами.Поддержка Active Directory / LDAP позволяет проводить авторизацию в среде «Пассворк» по соответствующему протоколу.Поддержка прикладного интерфейса (API) для более богатого обмена данными с инфраструктурой компании.Поддержка сквозного входа (SAML SSO) и двухфакторной аутентификации благоприятна для безопасности и экономит время.Открытый исходный код позволяет провести аудит на предмет уязвимостей или нелегитимных функций.Полностью российский продукт, входит в единый реестр российского ПО.Поддерживает кластеризацию и позволяет организовать отказоустойчивую инфраструктуру.Гибкое лицензирование удовлетворит потребности компании на любом этапе роста.Сертифицированный партнёр Astra Linux и «РЕД СОФТ».Простой интерфейс и быстрая интеграция в любую ИТ-инфраструктуру.Поддержка алгоритмов шифрования ГОСТ открывает возможности для внедрения «Пассворк» в государственном секторе и отвечает политике импортозамещения.Качественный портал с документацией и оперативная техподдержка.Расширение «Пассворк» для браузера является полноценным приложением для работы с паролями, которое включает в себя следующие функции: доступ ко всем паролям, автоматическое сохранение данных и заполнение форм аутентификации, добавление и редактирование паролей, поиск, генератор паролей, блокировка расширения ПИН-кодом. Рисунок 10. Вид мобильной версии менеджера паролей «Пассворк» Мобильная редакция «Пассворк» поддерживает все ключевые возможности настольной версии и гарантирует, что важные данные компании защищены и находятся всегда под рукой у сотрудника.Новые возможности «Пассворк 6.0»В «Пассворк 6.0» расширены возможности совместной работы с паролями, усилена безопасность действий администраторов, улучшено управление LDAP, добавлены новые уведомления и в целом оптимизирован интерфейс, что делает взаимодействие с программным комплексом ещё более удобным в повседневной корпоративной рутине.ЯрлыкиЕщё один способ быстро предоставить дополнительный доступ к паролю — создать ярлык. Теперь нет необходимости дублировать пароли в разных сейфах, достаточно создать несколько ярлыков в нужных директориях, и команда получит доступ к паролю. Рисунок 11. Дополнительный доступ к паролю через ярлык в «Пассворк» В случае смены пароля коллеги будут в курсе всех изменений: в зависимости от настроек ролевой модели пользователи имеют возможность просматривать или редактировать данные через ярлык.Безопасная отправка паролейТеперь, когда администратор выдаёт доступ к паролю (через «Входящие» или ярлык), пользователю предоставляется доступ непосредственно к кодовому слову без выдачи «частичного доступа» в сейф. Рисунок 12. Отправка пароля сотруднику в «Пассворк» Такой подход повышает общую безопасность системы и усиливает контроль доступа как к сейфам, так и к определённым паролям.Оптимизация работы с LDAPРазработчики изменили интерфейс раздела LDAP в «Пассворк» и переосмыслили логику управления пользователями: добавлять новые учётные записи посредством протокола LDAP стало проще и безопаснее, особенно если активировано клиентское шифрование.Теперь при первом входе в систему работник самостоятельно устанавливает мастер-пароль и после этого администратор подтверждает добавление нового пользователя. Рисунок 13. Добавление нового пользователя из LDAP в «Пассворк» Добавление новых пользователей из AD происходит через отдельное модальное окно, а зарегистрированные ранее представлены на вкладке «Пользователи». Все данные обновляются в фоновом режиме.Важно отметить, что «Пассворк 6.0» отображает больше данных о группах безопасности: те, которые связаны с ролями или не подгрузились после обновления, помечаются соответствующими тегами. Так администратор видит, что необходимо изменить настройки поиска или удалить группу из списка, плюс это даёт информацию о том, какие именно пользователи входят в состав каждой группы безопасности.Управление настройкамиВендор доработал раздел настроек: переосмыслил логику и привёл всё к единому визуальному стилю. Рисунок 14. Оптимизированные системные настройки в «Пассворк» В настройках системы на вкладке «Глобальные» все, у кого есть соответствующий уровень доступа к сейфу (права на редактирование и выше), могут создавать ссылки на пароли и отправлять их другим пользователям «Пассворк».В «Пассворк 6.0» любые изменения в настройках необходимо подтверждать для устранения рисков от случайных действий; для этого добавлены кнопки «Сохранить» и «Отменить изменения» в системных настройках.Также сотрудники теперь могут самостоятельно настроить индивидуальный тайм-аут для выхода из системы; администраторы задают только максимальную длительность сеанса при неактивности.Администраторы могут разрешить пользователям самостоятельно выбирать язык интерфейса.Прочие улучшенияВ контексте оптимизации интерфейса в «Пассворк 6.0» доработали перетаскивание: теперь система предлагает действия на выбор (переместить, копировать или создать ярлык). Рисунок 15. Улучшенный интерфейс при перетаскивании Также выделим из улучшений:Отдельные окна для доступа в сейф и дополнительного доступа. Информация о доступе теперь отображается в двух окнах: в одном — пользователи и роли, у которых есть доступ в сейф, в другом — доступ к паролям из сейфа через ярлыки, ссылки или отправленные пароли.Кнопки действий с паролем. Для оптимизации работы с паролем добавлена кнопка «Редактировать», а для дополнительного доступа к паролю — кнопки для ярлыка, ссылки или отправки лично пользователю.Дополнительные поля при импорте и экспорте паролей. «Пассворк 6.0» позволяет перенести не только логин и пароль, но и дополнительную информацию, которая хранится внутри карточки пароля.Новые уведомления. Администраторы теперь получают уведомления о новых неподтверждённых пользователях, а сотрудники — о новых паролях во «Входящих».Более полная информация о «Пассворк 6.0» представлена на официальном ресурсе вендора.Разработчик отмечает, что для обновления до версии 6.0 необходимо выполнить несколько шагов по инструкции: сначала обновиться до версии 5.4, пройти миграцию данных и подтвердить это на клиентском портале «Пассворк».ВыводыКорпоративный менеджер паролей «Пассворк» — программный комплекс от российского разработчика, минималистичный удобный продукт для безопасной совместной работы с паролями в компании.«Пассворк» функционирует на базе защищённых хранилищ (сейфы), которые могут содержать парольные данные от любых систем (веб-ресурс, сервер, приложение, накопитель и т. д.), файлы ключей или сертификатов.Браузерное расширение и мобильное приложение, удобная иерархическая структура, полная интеграция с Active Directory / LDAP, авторизация с помощью SSO и 2FA, собственный API, ролевая модель доступа и отслеживание действий сотрудников обеспечивают безопасность, гибкость и комфорт в рутинных процессах организации каждый день.Программный комплекс разворачивается на мощностях компании-заказчика, данные хранятся в зашифрованном виде согласно требованиям регуляторов (ГОСТ или AES-256), что в контексте импортозамещения последних лет добавляет платформе веса. Кроме того, «Пассворк» поставляется с открытым исходным кодом, зарегистрирован в реестре отечественного ПО, имеет гибкую схему лицензирования, которая подойдёт как крупной состоявшейся корпорации, так и начинающей свой путь компании.«Пассворк» востребован на рынке РФ, ему доверяет множество организаций с 2014 года, продукт постоянно развивается и растёт. В свежем релизе «Пассворк 6.0» оптимизирован интерфейс, совместная работа стала ещё более гибкой и удобной, переработаны и расширены настройки, усилены безопасность и контроль за действиями пользователей, что увеличивает возможности специалистов по безопасности при расследовании инцидентов и предотвращении утечек конфиденциальных данных. Всё это делает «Пассворк» важным инструментом в корпоративном арсенале для продуктивной и безопасной совместной работы с данными доступа.Читать далее
    • Ego Dekker
      Домашние антивирусы для macOS были обновлены до версии 6.11.414. Добавлена поддержка macOS Sonoma (версия 14).
×