Rapport: Fratag brugerne admin-rettigheder og luk 81 procent af kritiske Microsoft-sikkerhedshuller

Illustration: Bigstock
81 procent af kritiske sikkerhedshuller, som er blevet rapporteret sidste år i Microsoft-produkter, kan afbødes ved at fratage brugerne administratorrettigheder, viser en rapport fra sikkerhedsvirksomheden Beyond Trust

81 procent af de kritiske sikkerhedshuller, som Microsoft rapporterede i 2018, ville kunne afbødes ved at fratage brugerne deres administratorrettigheder.

Det skriver sikkerhedsvirksomheden Beyond Trust i deres Microsoft sårbarhedsrapport for 2019.

Der blev fundet 700 kritiske sårbarheder i løbet af året. Det er færre end i sidste års rapport, men til gengæld er andelen af sårbarheder, som gør brug af administratorrettigheder på brugerkontoen, steget.

Det gælder samtlige kritiske sårbarheder i Office og 92 procent af de kritiske sårbarheder i Microsofts browsere Edge og Internet Explorer.

Sænk privilegierne for bedre sikkerhed

Beyond Trust anbefaler i rapporten, at man gør brug af det såkaldte least privileged access-paradigme for at beskytte sig mod de mange sårbarheder, som udnytter administratorrettigheder på lokalbrugeren.

Med least privileged access har brugere kun de rettigheder, de skal bruge til at udføre en given opgave. For eksempel skal slutbrugere ikke kunne installere software eller foretage ændringer i sikkerhedsindstillinger på en maskine, undtagen i bestemte sammenhænge.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (17)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Maciej Szeliga

...det har været det samme siden WfW 3.11!
Det som har været svært var at mange applikationer ikke virkede når man så gjorde det fordi de ikke var skrevet til en låst virkelighed og så selvf. at vi først for alvor fik muligheden efter NT kom på desktoppen, hverken WfW 3.11, 95, 97 eller ME kunne låses.
Derefter var Adobe en rigtig plage i lang tid.

Ingen brugere hos os havde Administratorrettigheder siden 1999 hvor jeg kom til og lagde NT på maskinerne.

  • 1
  • 0
Jan Gundtofte-Bruun

Jeg må sige, at det ville "skade min entusiasme" hvis min arbejdsgiver fratog mig admin til mig egen workstation -- jeg har været på arbejdspladser hvor folk hverken kunne stille uret eller skifte tapetet, for slet ikke at tale om at installere "uha uha farlige" apps.

Men det behøver jo ikke at være sådan. Man kan jo gøre som i nix-land og give folk en least privileged access OG en separat admin-bruger, og så opdrage(!) folk til at vide hvornår de skal bruge hvilken. Men det er jo sikkert mindst lige så "uha uha farligt"...

  • 5
  • 8
Hans Nielsen

Så ALLE bruger altid kun arbejde i supperbruger mode.

Så kan man også stille uret. og nej det er ikke bare for at gøre det besvæligt, at man ikke må stille uret.
Hvis vi taler server, så kan du jo gøre log vanskeligt at læse. Du kan stoppe service som skal køre på en bestemt tid. Eller stoppe service som basere sig på cefiticater, ved at sætte en tid hvor de er ugyldige.

ALT admin arbejde skulle så kun startes ved at der aktiv blev valgt, kør som admin. Software som ikke kunne lide, ikke at have adgang til alt, blev så nok rettet, og programeret ordenligt, hvis det holdt op med at virke. Og der kun var begrænsetbesværlige muligheder for at give retigheder, så det kunne det.

supperbruger mode burde være nok det meste af tiden, også til installation af bruger software. Alt andet er bare sløseri.

  • 1
  • 3
René Nielsen

I Windows er der den dag i dag, to konceptuelle ting galt. Det ene er bagudkompatibiliteten og det andet er, at Windows grundlæggende er et en-brugersystem.

Ulemperne ved at en alm. bruger kan installere software er velkendte og mange af de sikkerhedsbrister som afdækkes af sikkerhedsvirksomheden Beyond Trus, er jo rettighedseskalering.

Det system som ikke kan hackes, er endnu ikke opfundet, men det hjælper betydeligt hvis en alm bruger ikke kan udføre adminopgaver og en admin bruger ikke kan arbejde med f.eks. Office pakken.

For nu bliver det en hel sværere at hacke og især hvis bagudkompatibiliteten droppes, for dermed droppes også kompatibilitet med uopdagede sikkerhedshuller som er/var rettet imod de ”gamle udgaver” af Windows.

Problemet er, hvis Microsoft dropper bagudkompatibiliteten, så skal meget software skrives om og det tror jeg er med til at forhindre at Microsoft gør det.

For nu skal brugerne ud og købe softwaren igen og det kunne betyde at de så fravalgte Windows …..

  • 3
  • 2
Denny Christensen

OK - fratag admin rettigheder for alle, lad også administratorer arbejde med egen bruger id og kun logge på med admin rettighed når det er nødvendigt.

Log det og lav gennemgang af log mindst 1 gang ugentligt.

Bøvlet? Bestemt, men det er nødvendigt.

Stille ur? Hvis ikke dem der styrer maskiner kan sikre at uret går korrekt skal de udskiftes.

Tapet? Siden hvornår er en arbejdspc privat? Smid en firma baggrund på med passende design og lad det være godt med det.

Sur gammel mand ved tastaturet? Sikkert :-) men som ansat skal man passe de opgaver man har og ikke spilde tid med at sætte sin pc op ud fra en personlig præference, det kan man gøre med sin egen maskinpark.

  • 11
  • 0
Tajs Nielsen

"Jeg må sige, at det ville "skade min entusiasme" hvis min arbejdsgiver fratog mig admin til mig egen workstation -- jeg har været på arbejdspladser hvor folk hverken kunne stille uret eller skifte tapetet, for slet ikke at tale om at installere "uha uha farlige" apps.

Men det behøver jo ikke at være sådan. Man kan jo gøre som i nix-land og give folk en least privileged access OG en separat admin-bruger, og så opdrage(!) folk til at vide hvornår de skal bruge hvilken. Men det er jo sikkert mindst lige så "uha uha farligt"..."


Vi kører med meget skærpet sikkerhed på vores workstations på mit arbejde. Brugerne kan godt selv justere uret og ændre baggrundsbillede osv. Men de får ikke lov til at installere noget som helst uden vores indblanding..

Det nytter ikke at prøve at opdrage brugerne.. De gider ikke lære det, og så er det kun til besvær..

  • 4
  • 0
Torben Mogensen Blogger

En del sikkerhedshuller kunne undgås, hvis programmer kun havde adgang til det filkatalog i hvilket de er installeret, og dettes underkataloger. Brugere kan så installere software i en lokal folder og dermed undgå, at programmerne kan påvirke andet. F.eks. kan spil installeres i en spilfolder, og dermed ikke kunne lave snavns i eller se andre kataloger. Hvis man er usikker på et program, opretter man en ny folder og installerer programmet der. Så kan man kopiere data til dette katalog, hvis programmet skal bruge det. En brower kan f.eks. også have en folder for sig selv, hvor "downloads" er en underfolder, og hvor cookies og lignende også ligger i en underfolder. Det giver dog den ulempe, at hvis man vil uploade en fil, så skal den først kopieres til browserkataloget.

  • 2
  • 0
Christian Münster

Vi bruge App V - brugerne har ingen rettigheder, de må ikke engang skrive til C:

  • App V skaber et virtuelt miljø i en seperat folder, inkl afhængigheder.
  • Ved afslutning bliver alt slettet.
  • Man kan ikke se det pågældende software har været i nærheden af computeren, for det er aldrig rigtigt installeret!
  • Det løser også problemer med gammel legacy software fra tidligere windows XP, Me, 98 afhængigheder.

Og selvfølgelig er al brugerdata under c:\Users delegeret over til netdrev, hvor windows aner ikke forskellen :)

  • 0
  • 0
Markus Hornum-Stenz

det hjælper betydeligt hvis en alm bruger ikke kan udføre adminopgaver og en admin bruger ikke kan arbejde med f.eks. Office pakken.

På min tidligere arbejdsplads havde man nogenlunde den løsning (en alm konto og en lokaladmin konto til dem som havde brug for det).

Det skabte tidligere nogle problemer med rettigheder i brugerkontekst, men det kan Windows 7 og frem ofte godt håndtere med elevation-funktionen.

Til gengæld er nogle af de automatiserede "midlertidige administrative rettigheder til enkeltbrugere"-løsninger, jeg har set, urimeligt bureaukratiske og potentielt en fejlkilde i sig selv.

Adskillige af mine grå hår skyldes at jeg har skullet slås for at få adgang til at løse brugerproblemer med sikkerhedsansvarlige, som har mere tillid til deres eksterne sikkerhedskonsulenters principielle holdninger og "GDPR-fear", end til deres egne betroede IT-driftsmedarbejderes evne til at arbejde på en ansvarlig måde.

Man bliver nemt fristet til bare at sige "det har jeg ikke rettigheder til, spørg sikkerhedsfunktionen hvordan vi kommer videre" - efter et stykke tid kommer de gerne på bedre tanker :-)

  • 1
  • 0
Povl H. Pedersen

En admin bruger uden Internet Adgang er et skridt på vejen. Så kan de meste malware ikke få sin stage 2 ned, eller ikke kommunikere med C&C servere.

Men, hvem har ansvaret for at opgradere den installerede software hvis brugerne selv installerer ? Skal der været et patch ansvar som juridisk er placeret på brugeren med admin rettigheder ? Er brugeren juridisk for software han installerer uden lovlig licens ? Eksempelvis freeware der ikke må benyttes af virksomheder.

Selvfølge kan man lave Manage your own device, og holde den ude af virksomhedens netværk, pånær få kritiske ressourcer man tilgår som bruger. Kun adgang til ting som IP telefoni, Fil&Print, Intranet, mail. Og resten via terminal server/Citrix.

For virksomheden kan ikke påtage sig ansvaret. Og der er medarbejdere nok der ikke tænker sig om.

  • 0
  • 0
Anne Jacobsen

Vi havde en kunde, hvor alle admin-rettigheder var fjernet per firmapolitik. Det betød imidlertid, at en stor afdeling med udviklere ikke kunne udføre deres arbejde. Da de så fik BeyondTrusts løsning kunne de arbejde igen. Programmet giver brugerne lov til at køre alle de værktøjer, de har brug for, og resten lukkes ned. Hvis de så sidenhen får brug for at køre noget nyt, installere en printerdriver mv. så kan de i realtime kommunikere til IT om det og få adgangen til det også. En del malware vil også have adminrettigheder for at kunne eksekvere, med den her løsning forhindres det.

  • 0
  • 0
Thomas Marcussen

Vi bruger Access Director Enterprise (iøvrigt gratis til private) fra Basic Bytes.

For os har det givet mulighed for holde styr på hvad administarorerne rent faktisk fortager sig med den centrale rapportering, og de kan få tildelt adgang efter behov.

Det fungere rigtig godt specielt til udviklere, eller bare brugere som rent faktisk har behov for administrative rettigheder, men kun i et begrænset omfang eller lejlighedsvis.

Der er en fin online video her: https://www.youtube.com/watch?v=7820TV0S918

Produktet er iøvrigt dansk udviklet https://basic-bytes-com & https://ctglobalservices.com/access-director-enterprise/

  • 0
  • 0
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize