På trods af sårbarhed: Derfor slipper KU aldrig helt af med administratorrettigheder

8. december 2020 kl. 03:4511
Jakob Dall / www.jakobdall.com
Illustration: Jakob Dall / www.jakobdall.com.
Efter to års arbejde er Københavns Universitet stadig ikke i mål med at fjerne medarbejdernes lokale administrationsrettigheder, som gør dem mere sårbare over for hackere.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Københavns Universitet (KU) gik i gang med en opgradering af it-sikkerheden, da man i 2018 begyndte at lukke for medarbejderes lokale administrationsrettigheder.

Samtidig begyndte man at udrulle et nyt system, som kan give medarbejdere rettighederne tilbage midlertidigt, hvis de for eksempel har brug for at installere et specifikt program.

Men efter to år er universitetet stadig ikke i mål med opgaven, og flere medarbejdere har stadig lokale administrationsrettigheder på computerne, der derfor er mindre beskyttet mod for eksempel hackerangreb.

Log ind og læs videre
Du kan læse indholdet og deltage i debatten ved at logge ind eller oprette dig som ny bruger, helt gratis.
11 kommentarer.  Hop til debatten
Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
11
3. august 2021 kl. 16:08

Jeg mindes det gode, gamle Windows XP (tror det var dér, Microsoft startede med 'Kør som admin'). Typisk krævede installation af AntiVirus-programmer, at man var lokal administrator - den slags problemer havde netinstallerede programmer slet ikke - en hjemmeside, et enkelt forkert klik og en ondsindet orm lå i maven på PC'en og kunne iøvrigt ikke fjernes, fordi man ikke havde administrator-privilegier.

Iøvrigt vil jeg til enhver tid argumentere for, at brugerne ikke skal låses til en bestemt leverandørs operativsystem! Hverken fra Apple, Microsoft eller Ubuntu! Med en mere divers tilgang til operativsystemer er der en chance for, at det ikke er hele virksomheden, der lægges ned i samme angreb.

10
13. december 2020 kl. 00:44

Kan nogen uddybe hvorfor administrator-adgang på min lokale maskine (eller serverne for den sags skyld) ville være så meget mere destruktiv end at tage kontrol over min lokale bruger?

Det eneste jeg lige umiddelbart kan komme på, er at man tænker alternativet til localadmin er en bruger der, er låst så meget ned, at du ikke kan køre arbitrære ting, du har downloadet – på den måde kan du slippe for en rimeligt stor klasse af malware... samtidig med at du dræber produktivitet for fx udviklere ;-)

Local admin burde ikke på nogen måde være forbundet med domain admin, og jeg er helt enig i dine øvrige betragtninger.

9
12. december 2020 kl. 22:16

Jeg er selv ansat på KU, og jeg er altid lidt forvirret over disse artikler. Mit indtryk er at der er meget stor forskel på administrative systemer, der typisk skal være koblet tæt sammen med centrale netværk, fildelingsservere, AD, osv. for at det administrativt kan fungere, og så forskningsmaskiner, der typisk ikke behøver det.

Min egen KU-bærbare er slet ikke forbundet til nogle KU-systemer, og når jeg skal interagere med KU-systemer foregår det gennem webapplikationer med deres egne (antageligvis sikre) loginmekanismer. De servere jeg har på KU er forbundet til KUs centrale AD-brugerdatabase via LDAP så jeg kan logge ind med mit KU-brugernavn, men jeg antager ikke at de har nogle særlige adgangsprivilegier. Jeg forventer også at de er på et andet netværk end KUs filservere, og kun kan kommunikere med dem gennem firewall-beskyttede routere, men det ved jeg faktisk ikke.

Kan nogen uddybe hvorfor administrator-adgang på min lokale maskine (eller serverne for den sags skyld) ville være så meget mere destruktiv end at tage kontrol over min lokale bruger? I begge tilfælde ville destruktiv kode kunne bevæge sig ud på netværket og begynde at prikke hul i de maskiner der kan findes derude (hvis min maskine er koblet direkte på internt netværk, hvilket jeg ikke tror den er). Hvis jeg arbejdede med personfølsomme oplysninger (hvilket jeg ikke gør), så ville jeg antageligvis også have adgang til disse med min almindelige bruger, hvorfor administratorprivilegier igen ikke gør den store forskel.

Jeg er med på hvorfor administratorprivilegier på et delt system er noget der skal vogtes over, men jeg forstår ikke hvorfor det er specielt følsomt på enkeltbruger-arbejdsmaskiner. Hvis man har administrator-rettigheder på en maskine der er koblet på AD, har man så automatisk administrator-rettigheder på alle de andre maskiner på netværket?

8
12. december 2020 kl. 15:48

Forsøger de i virkeligheden ikke at løse det forkerte problem?

Jeg ville være langt mere tryg, hvis man byggede det interne netværk op efter zero-trust principper, så man i princippet kunne give selv de administrative medarbejdere fulde localadmin rettigheder.

Crypto-lockers burde være irrelevante – data bør ikke gemmes på lokale maskiner, men i så stor udstrækning som muligt på servere med en højere sikkerhed en "delt filshare". I de tilfælde hvor der bruges applikationer der arbejder på lokale data, må man sørge for god backup, og i tilfælde hvor det er forsknings/forretningshemmiligheder eller persondata, overveje om lige netop de applikationer burde håndteres specielt (fx citrix setup, dedikerede maskiner, whatever).

7
9. december 2020 kl. 15:53

Som selvfølgelig er fyringsgrundlag at bruge på en arbejdsplads med følsome data. Ellers har de selv skabt og godkendt at data må flyde rundt som enhver ansat ønsker.

Det koncept virker fint med alm. medarbejdere som kan udskiftes nemt men lige så snart du har at gøre med højtuddannede specialister så virker det ikke. Virksomheden skal finde en løsning på problemet og løsningen er ikke at gøre sig af med manden som potentielt kan få en Nobelpris om et par år.

6
9. december 2020 kl. 12:05

".... min egen maskine....".

Som selvfølgelig er fyringsgrundlag at bruge på en arbejdsplads med følsome data. Ellers har de selv skabt og godkendt at data må flyde rundt som enhver ansat ønsker.

5
8. december 2020 kl. 12:32

Det lugter lidt af, at hvis man først har adgang til en maskine på det interne net, så har man adgang til alt. F.x. ved at alt er AD joined.

Det er givetvis smart i forhold til ufølsomme adgange, f.x. printere.

Men det er problematisk i forhold til følsom data. Der bør man nok ikke forlade sig på, at det interne net er sikkert nok. Man bør snarere behandle det interne net som lige så usikkert som resten af Internettet og kun give adgang til data via mere sikrede kanaler, beskyttet af minimum to-faktor.

Men det helt store problem er, at hvis man lægger for store begrænsninger på forskernes brug af deres maskiner, så vil deres valg nok være "Jeg kan ikke arbejde på min officielle maskine. Så jeg kopierer al data over på min egen maskine, som jeg har fuld kontrol over".

Så har man på papiret gjort alting mere sikkert (ingen har admin-adgang), men i praksis det modsatte (følsom data ligger på DropBox og det der er værre).

4
8. december 2020 kl. 10:00

Det er meget svært hvis det er tale om AD joined PC'ere.

Det viser vist mere problemet ved AD joinede PC'ere og hele konceptet - men hvis folk uden for IT skal være admins på maskinerne så bør de maskiner ikke være AD joinede for det er at bede om en katastrofe: i stedet for at miste 10 ~ 100 maskiner i isoleret net mister man 10000 i hele AD'et - godt tænkt bøv, det er Mærsk og Demant om igen.

Du kan evt. lave det som en forrest hvor de enkelte net er selvstændige domains under samme forrest og hvor man truster brugerne fra forresten - det vil så kræve en DC'er til hvert lukket net som kun lige authentificerer brugere og maskiner. Det er faktisk oplagt situation for konceptet - men det tager lige noget tid at etablere.

Du kan også køre med separate domains i forsk. afd. og vedligeholde brugere i der hvor der er behov for det - det virker fint i mindre organisationer men vil næppe virke godt på et større universitet.

2
8. december 2020 kl. 08:27

Isoler maskiner, som behøver admin rettigheder, i små net så evt. angreb på en maskine ikke kan sprede sig til all andre men kun indenfor det isolerede net. Maskinerne i et isoleret net kan så kun tilgås via RDP / ssh fra det lidt mere sikrede net (og kun fra sikret net til usikker net ikke omvendt).

1
8. december 2020 kl. 07:08

»Det er den maksimale sikkerhed, vi kan give, uden at brugerne bliver frataget muligheden for at kunne installere programmer,« fortæller Klaus Kvorning Hansen.

Et forslag fra mit til KU, selvbetjenings portal hvor forskere kan installere de mest gængse applikationen, det reducere behovet for adminstratorrettigheder endnu mere.