Rapport: Fratag brugerne admin-rettigheder og luk 81 procent af kritiske Microsoft-sikkerhedshuller

...det har været det samme siden WfW 3.11! Det som har været svært var at mange applikationer ikke virkede når man så gjorde det fordi de ikke var skrevet til en låst virkelighed og så selvf. at vi først for alvor fik muligheden efter NT kom på desktoppen, hverken WfW 3.11, 95, 97 eller ME kunne låses. Derefter var Adobe en rigtig plage i lang tid.

Ingen brugere hos os havde Administratorrettigheder siden 1999 hvor jeg kom til og lagde NT på maskinerne.

Jeg må sige, at det ville "skade min entusiasme" hvis min arbejdsgiver fratog mig admin til mig egen workstation -- jeg har været på arbejdspladser hvor folk hverken kunne stille uret eller skifte tapetet, for slet ikke at tale om at installere "uha uha farlige" apps.

Men det behøver jo ikke at være sådan. Man kan jo gøre som i nix-land og give folk en least privileged access OG en separat admin-bruger, og så opdrage(!) folk til at vide hvornår de skal bruge hvilken. Men det er jo sikkert mindst lige så "uha uha farligt"...

Så ALLE bruger altid kun arbejde i supperbruger mode.

Så kan man også stille uret. og nej det er ikke bare for at gøre det besvæligt, at man ikke må stille uret. Hvis vi taler server, så kan du jo gøre log vanskeligt at læse. Du kan stoppe service som skal køre på en bestemt tid. Eller stoppe service som basere sig på cefiticater, ved at sætte en tid hvor de er ugyldige.

ALT admin arbejde skulle så kun startes ved at der aktiv blev valgt, kør som admin. Software som ikke kunne lide, ikke at have adgang til alt, blev så nok rettet, og programeret ordenligt, hvis det holdt op med at virke. Og der kun var begrænsetbesværlige muligheder for at give retigheder, så det kunne det.

supperbruger mode burde være nok det meste af tiden, også til installation af bruger software. Alt andet er bare sløseri.

I Windows er der den dag i dag, to konceptuelle ting galt. Det ene er bagudkompatibiliteten og det andet er, at Windows grundlæggende er et en-brugersystem.

Ulemperne ved at en alm. bruger kan installere software er velkendte og mange af de sikkerhedsbrister som afdækkes af sikkerhedsvirksomheden Beyond Trus, er jo rettighedseskalering.

Det system som ikke kan hackes, er endnu ikke opfundet, men det hjælper betydeligt hvis en alm bruger ikke kan udføre adminopgaver og en admin bruger ikke kan arbejde med f.eks. Office pakken.

For nu bliver det en hel sværere at hacke og især hvis bagudkompatibiliteten droppes, for dermed droppes også kompatibilitet med uopdagede sikkerhedshuller som er/var rettet imod de ”gamle udgaver” af Windows.

Problemet er, hvis Microsoft dropper bagudkompatibiliteten, så skal meget software skrives om og det tror jeg er med til at forhindre at Microsoft gør det.

For nu skal brugerne ud og købe softwaren igen og det kunne betyde at de så fravalgte Windows …..

Jeg ved godt jeg får en masse downvotes, med hvem sagde vi skulle opdrage vores brugere som løsning på det her?

HAHHAHAHHAHAHHAH!!11

• Bedste vittighed i længere tid, som om de gider.

"100 procent af de kritiske sikkerhedshuller, som Microsoft rapporterede i 2018, ville kunne afbødes ved at fratage brugerne retten til at betjene en computer." Fixed that for you! ;-)

OK - fratag admin rettigheder for alle, lad også administratorer arbejde med egen bruger id og kun logge på med admin rettighed når det er nødvendigt.

Log det og lav gennemgang af log mindst 1 gang ugentligt.

Bøvlet? Bestemt, men det er nødvendigt.

Stille ur? Hvis ikke dem der styrer maskiner kan sikre at uret går korrekt skal de udskiftes.

Tapet? Siden hvornår er en arbejdspc privat? Smid en firma baggrund på med passende design og lad det være godt med det.

Sur gammel mand ved tastaturet? Sikkert :-) men som ansat skal man passe de opgaver man har og ikke spilde tid med at sætte sin pc op ud fra en personlig præference, det kan man gøre med sin egen maskinpark.

"Jeg må sige, at det ville "skade min entusiasme" hvis min arbejdsgiver fratog mig admin til mig egen workstation -- jeg har været på arbejdspladser hvor folk hverken kunne stille uret eller skifte tapetet, for slet ikke at tale om at installere "uha uha farlige" apps.

Men det behøver jo ikke at være sådan. Man kan jo gøre som i nix-land og give folk en least privileged access OG en separat admin-bruger, og så opdrage(!) folk til at vide hvornår de skal bruge hvilken. Men det er jo sikkert mindst lige så "uha uha farligt"..."

Vi kører med meget skærpet sikkerhed på vores workstations på mit arbejde. Brugerne kan godt selv justere uret og ændre baggrundsbillede osv. Men de får ikke lov til at installere noget som helst uden vores indblanding..

Det nytter ikke at prøve at opdrage brugerne.. De gider ikke lære det, og så er det kun til besvær..

Det er også klart min opfattelse atstørstedelen af brugerne ikke vil lære at bruge en computer. i så fald har de ikke brug for admin rettigheder alligevel.

En del sikkerhedshuller kunne undgås, hvis programmer kun havde adgang til det filkatalog i hvilket de er installeret, og dettes underkataloger. Brugere kan så installere software i en lokal folder og dermed undgå, at programmerne kan påvirke andet. F.eks. kan spil installeres i en spilfolder, og dermed ikke kunne lave snavns i eller se andre kataloger. Hvis man er usikker på et program, opretter man en ny folder og installerer programmet der. Så kan man kopiere data til dette katalog, hvis programmet skal bruge det. En brower kan f.eks. også have en folder for sig selv, hvor "downloads" er en underfolder, og hvor cookies og lignende også ligger i en underfolder. Det giver dog den ulempe, at hvis man vil uploade en fil, så skal den først kopieres til browserkataloget.

Vi bruge App V - brugerne har ingen rettigheder, de må ikke engang skrive til C:

• App V skaber et virtuelt miljø i en seperat folder, inkl afhængigheder.
• Ved afslutning bliver alt slettet.
• Man kan ikke se det pågældende software har været i nærheden af computeren, for det er aldrig rigtigt installeret!
• Det løser også problemer med gammel legacy software fra tidligere windows XP, Me, 98 afhængigheder.

Og selvfølgelig er al brugerdata under c:\Users delegeret over til netdrev, hvor windows aner ikke forskellen :)

det hjælper betydeligt hvis en alm bruger ikke kan udføre adminopgaver og en admin bruger ikke kan arbejde med f.eks. Office pakken.

På min tidligere arbejdsplads havde man nogenlunde den løsning (en alm konto og en lokaladmin konto til dem som havde brug for det).

Det skabte tidligere nogle problemer med rettigheder i brugerkontekst, men det kan Windows 7 og frem ofte godt håndtere med elevation-funktionen.

Til gengæld er nogle af de automatiserede "midlertidige administrative rettigheder til enkeltbrugere"-løsninger, jeg har set, urimeligt bureaukratiske og potentielt en fejlkilde i sig selv.

Adskillige af mine grå hår skyldes at jeg har skullet slås for at få adgang til at løse brugerproblemer med sikkerhedsansvarlige, som har mere tillid til deres eksterne sikkerhedskonsulenters principielle holdninger og "GDPR-fear", end til deres egne betroede IT-driftsmedarbejderes evne til at arbejde på en ansvarlig måde.

Man bliver nemt fristet til bare at sige "det har jeg ikke rettigheder til, spørg sikkerhedsfunktionen hvordan vi kommer videre" - efter et stykke tid kommer de gerne på bedre tanker :-)

Det nytter ikke at prøve at opdrage brugerne.. De gider ikke lære det, og så er det kun til besvær..

Så skal man bare have adgang til administratorer, som kan løse problemet indenfor en rimelig tidshorisont. Man må betale det som sikkerheden koster.

En admin bruger uden Internet Adgang er et skridt på vejen. Så kan de meste malware ikke få sin stage 2 ned, eller ikke kommunikere med C&C servere.

Men, hvem har ansvaret for at opgradere den installerede software hvis brugerne selv installerer ? Skal der været et patch ansvar som juridisk er placeret på brugeren med admin rettigheder ? Er brugeren juridisk for software han installerer uden lovlig licens ? Eksempelvis freeware der ikke må benyttes af virksomheder.

Selvfølge kan man lave Manage your own device, og holde den ude af virksomhedens netværk, pånær få kritiske ressourcer man tilgår som bruger. Kun adgang til ting som IP telefoni, Fil&Print, Intranet, mail. Og resten via terminal server/Citrix.

For virksomheden kan ikke påtage sig ansvaret. Og der er medarbejdere nok der ikke tænker sig om.

Vi havde en kunde, hvor alle admin-rettigheder var fjernet per firmapolitik. Det betød imidlertid, at en stor afdeling med udviklere ikke kunne udføre deres arbejde. Da de så fik BeyondTrusts løsning kunne de arbejde igen. Programmet giver brugerne lov til at køre alle de værktøjer, de har brug for, og resten lukkes ned. Hvis de så sidenhen får brug for at køre noget nyt, installere en printerdriver mv. så kan de i realtime kommunikere til IT om det og få adgangen til det også. En del malware vil også have adminrettigheder for at kunne eksekvere, med den her løsning forhindres det.

Vi bruger Access Director Enterprise (iøvrigt gratis til private) fra Basic Bytes.

For os har det givet mulighed for holde styr på hvad administarorerne rent faktisk fortager sig med den centrale rapportering, og de kan få tildelt adgang efter behov.

Det fungere rigtig godt specielt til udviklere, eller bare brugere som rent faktisk har behov for administrative rettigheder, men kun i et begrænset omfang eller lejlighedsvis.

Der er en fin online video her: https://www.youtube.com/watch?v=7820TV0S918

Produktet er iøvrigt dansk udviklet https://basic-bytes-com & https://ctglobalservices.com/access-director-enterprise/

Applikationer skal fremover distribueres via docker. Det vil begrænse behovet for administrator adgang drastisk. Foruden at det vil gøre det enormt lettere at holde software opdateret.