PBW(PowerBroker for Windows) 의 정의와 기능

BeyondTrust PBW

사용자의 생산성을 유지하나 물리적,가상서버나 사용자의 최소권한을 강화하는 솔루션이다.

사용자 개입 없이 프로그램 권한이 상승가능하며, 위험 인지를 위한 UI를 제공한다.

PBW의 동작방식

1. 사용자가 응용 프로그램 또는 프로세스를 시작합니다.

2. 이벤트, 세션, 파일에 대해 중앙 집중화된 사용자 작업 시행

3. 관리자가 데이터를 검토하고 승인된 사용자 작업을 기반으로 정책을 생성합니다.

4. Window로 규칙을 전송한다.

 

PBW기능

• 특허 받은 권한 상승 기술 : On-the-fly형식으로 사용자 정책에 따른 실행 프로세스의 보안토큰을 변경한다.
• Whitelisting 방식으로 랜섬웨어 및 멀웨어 실행 방지 
• 사용자 실행 프로그램 행위 파악 및 편의성 제공하며 AD/non-ad환경과 ItemLevelTargeting 방식이다.
• 이벤트 분석으로 다양한 보고서 작성을한다. 감사에 대비해서 정책 관리와 및 사용자 실행행위와 통계 정보 및 리포팅을 제공한다.

 

ItemLevelTargeting : OU 단위가 아닌 다양한 조건별(사용자, 그룹, 시간, 날짜, 특정 환경변수, LDAP Query, 사용자 단말, 언어 등) 권한 제어

 

 

기능에 대한 상세설명을 하겠다.

 

특허 받은 "권한 상승 통제" 기법

1. 유저가 속하는 그룹을 변경하는 것임으로 권한 상승을 해선 안된다.

2. 어느 한 순간이라도 유저가 Admin 속성을 지니는 그룹에 속해선 안되고, Process만 권한 상응이 되어야한다.

3. XP~2016까지 하나의 Agent에서 지원된다.

 

 

Rule 설정

• Publisher : 디지털 서명된 파일을 기반 룰 적용

• Path/Folder : 폴더/파일명 기반 룰 적용

• Hash : 파일의 Hash 값 기반 룰 적용

• MSI : .MSI 파일 기반 룰 적용

• ActiveX : ActiveX control 기반 룰 적용

• Shell : On Demand성 룰 적용

• UAC : UAC에 의해 구동되는 application 대상 룰 적용

• CD/DVD : CD 또는 DVD상의 application 대상 룰 적용

• File Integrity Rule : File 관련 룰 적용

 

Application Control

• Whitelisting과 Blacklisting 기법으로 프로그램 실행 제어
• 승인되지 않은 어플리케이션은 비허가
• 승인된 어플리케이션은 특정 위치에서 허가
• 여러가지 위의 기능에 의해 컨트롤

Item Level Targeting 

• Policy를 OU단위가 아닌 다양한 유형으로 적용한다.
• 해당 기능으로 다양한 조건별 (특정 사용자, 그룹, 시간, 단말 사용 언어) 권한 제어 가능