11 април 2010 г.

Бизнес Навигатор и потребител с (много) ограничени права

Бизнес Навигатор е софтуерен продукт на Комерс Финанс. При инсталация по подразбиране единствено потребител с пълни права (администратор) може да работи с него. Това в много случаи е неприемливо и създава ненужни рискове. По информация на BeyondTrust избягването да се ползва Windows ежедневно с права на локален администратор елиминира голяма част от опасностите и проблемите със сигурността:

90% от критичните уязвимости общо
100% от уязвимостите в Microsoft Office съобщени през 2009 година
94% от уязвимостите в Internet Explorer и 100% от Internet Explorer 8 съобщени през 2009 година
64% от всички уязвимости съобщени през 2009

Източник: http://www.beyondtrust.com/company/pr/2010/2010_03_29_Windows_7_Vulnerabilities_Mitigated_by_Eliminating_Admin_Rights.asp

Забележка:
Промените описани в тази статия заобикалят проблема, но нарушават препоръчителните настройки за сигурност. Това може да създаде потенциални входни точки за пробив в сигурността на работната станция.

За да работи Бизнес Навигатор от името на потребител с ограничени права трябва да се направят следните промени:

1. Бизнес Навигатор се стартира и лицензира веднъж от потребител с пълни права (администратор).

2. Ограниченият потребител трябва да се включи с права за запис и четене в настройките за сигурност (Security) на следните файлове:
- Всички файлове, папки и подпаки в C:\Nav
- Всички файлове, папки и подпаки в C:\NavZapl (за модул Заплати)
- C:\WINDOWS\NAV.INI
- C:\WINDOWS\NavZapl.INI
- C:\WINDOWS\MKDEMSG.LOG
- C:\WINDOWS\MKDEWE.TRN
- C:\WINDOWS\navdrvme.INI
- C:\WINDOWS\FRB_NLS.INI

3. Ограниченият потребител трябва да се включи с права за запис и четене на следните ключове (и техните подключове) в регистрите:
- HKEY_LOCAL_MACHINE\SOFTWARE\Btrieve Technologies

След тези промени потребителят с ограничени права може да работи безпроблемно с Бизнес Навигатор.

Драйверът за защита (navdrvme.exe) трябва да се стартира ежедневно за да имате право да ползвате Бизнес Навигатор. Той също не може безпроблемно да работи от потребител с ограничени права, защото създава (и обновява) файлове, подобни на:

C:\WINDOWS\Lfnpack.dat
C:\WINDOWS\Lfmpack.dat
C:\WINDOWS\System32\mcrworp.drv
C:\WINDOWS\System32\mcxworp.drv

Даването на права върху тези файлове не решава проблема и програмата дава грешка при стартиране. Проблемът може да се заобиколи по следния начин:

1. Създава се нов потребител, който да е локален администратор за работната станция (например navadmin).

2. От потребител с права на локален администратор се създава Scheduled Task с име navdrvbn (повече информация - http://support.microsoft.com/kb/308569). В тази задача се избира да се стартира файл C:\Nav\navdrvme.exe и да се стартира от името на локалния администратор, създаден в т.1 (navadmin).

3. Променят се правата (Security) на задачата така, че потребителя с ограничени права да има права да я стартира и променя.

4. От профила на ограничения потребител се създава файл startbndriver.cmd, който има следното съдържание:

schtasks /run /tn navdrvbn
exit

Този файл (или път към него) се слага в StartUp папката на потребителя (C:\Documents and Settings\<име на потребителя>\Start Menu\Programs\Startup). По този начин при всяко влизане в профила на ограничения потребител той ще стартира задачата (а с нея и драйвера за защита) от името на локалния администратор, без да се налага да знае неговата парола.

Няма коментари:

Публикуване на коментар