jekob heidelberg bloghoved

Smid nu de lokale administratorer på porten!

Lad mig sige det som det er: lokale administratorer er sendt fra de mørkeste afkroge af Helvede. De er IT-afdelingens værste mareridt og blandt virksomhedens største IT risici. Virksomhedens klienter og brugere er ekstremt sårbare og typisk voldsomt eksponerede elementer. Tildeles de administrative privilegier, så er der ikke langt til total kompromittering af miljøet (herunder Active Directory), hvis man altså ikke har taget sine forholdsregler.

Er man IT-ansvarlig i en organisation, hvor brugerne er lokale administratorer, altså brugere der til daglig er logget på med administrative privilegier på den lokale maskine, så vil jeg håbe, at man allerede har udvist rettidig omhu ved at meddele den øverste ledelse, at IT-afdelingen på ingen måde kan garantere, at involverede maskiner er sikre, pålidelige og brugbare. Hvis ledelsen mener, at virksomheden kan leve med en sådan risiko, jamen så er det jo fint, bevares – bare få det på skrift og tag det op igen med jævne mellemrum!

En del IT-afdelinger har efterhånden fået rettet organisationen ind, ofte trods intens modstand fra ledelse og brugere, men alt for mange halter fortsat bagud. Nogle organisationer har sågar stadig brugere, der logger på deres arbejdsstation med Domain Admin rettigheder, mens de surfer Internettet og behandler e-mail. En absolut uansvarlig praksis i disse tider!

Jeg har hørt rigtig mange argumenter for hvorfor, man stadig har lokale administratorer. I tidligere udgaver af Windows var der da også gode argumenter for en sådan praksis. De fleste af disse argumenter er bare ikke holdbare længere. Nu om dage findes der en række teknologier og løsninger til at undgå disse lokale "eneherskere".

Det skal i denne forbindelse bemærkes, at User Account Control (UAC) IKKE er løsningen. Fast User Switching er en bedre option, idet der her oprettes helt separate user sessioner - én til normal bruger aktivitet, og én til administrative opgaver. To forskellige brugerkonti.

Typiske undskyldninger

  • "Jamen, vi har antivirus på alle maskiner!"
    Desværre kan man ikke regne med, at ens antivirus/-malware tager sig af skraldet. Brian Dye fra Symantec udtalte for nyligt, at antivirus er “død”, og estimerede, at antivirus kun fanger omkring 45% af malware angreb. Det er relativ nemt at omgå AV signaturer og generere obfuskeret kode. Hermed ikke sagt, at man skal droppe dette lag af beskyttelse.

  • "Jamen, vi har udviklere der skal kunne X, Y eller Z!"
    Udviklere hører som udgangspunkt til i separate udviklingsmiljøer. På produktionsmiljøet er de ikke "udviklere", men blot almindelige brugere. I en tid med virtuelle maskiner, herunder flere gratis muligheder så som VMware Player, Hyper-V, VirtualBox m.v., kan de hygge sig i isolerede test-miljøer, indtil deres kode er klar til signering og udrulning i produktion.

  • "Jamen, vi har en applikationer der kræver at brugerne er lokale administratorer!"
    Dér har I så jeres problem: applikationerne. Invester i mere tidssvarende applikationer, udviklet af organisationer med forstand på sikker softwareudvikling. Dertil kan man se på eksempelvis Citrix eller Microsoft RemoteApp funktionalitet, virtualisering af software, samt Application Compatibility Toolkit.

  • "Jamen, vi har begrænset hvad de lokale administrator brugere kan!"
    Nej, det kan ikke lade sig gøre. En lokal administrator kan omgå enhver begrænsning på den lokale maskine: Group Policy indstillinger, AppLocker, NTFS-rettigheder osv. Forsøg på at begrænse en lokal administrators muligheder på en lokal Windows maskine er en kamp, der ikke kan vindes.

  • ”Jamen, direktøren vil være administrator!”
    Jo mere følsom information en person har adgang til, jo strammere bør sikkerheden være omkring denne persons brugerkonti og udstyr – for jo bedre et mål er man for en angriber (f.eks. spearfishing angreb). Det er derfor direkte uforsvarligt af en direktør (eller anden VIP'er) at kræve, at han eller hun bliver administrator på egen PC. Risikoens omfang bør i al fald beskrives klart og leveres på skrift til virksomhedens ledelse.

Hvad kan en lokal administrator egentlig på Windows?

Det er væsentligt at forstå, at en lokal administrator stort set ingen begrænsninger har på den lokale maskine, slet ikke kombineret med fysisk adgang. I administrativ brugerkontekst kan man bl.a.:

  • Installere og afinstallere software (væk med antivirus og ind med yndlingsbrowser X og software Y som i øvrigt ikke patches af IT)
  • Installere og afinstallere hardware og drivere (indsæt 4G modem, installer driver og surf uden om den centrale proxy filtrering)
  • Starte, stoppe, installere og afinstallere services (stop antivirus, HIDS og diverse overvågningsagenter)
  • Eksekvere enhver kode efter eget ønske (kør keyloggere, scripts, netværksscannere og hacker værktøjer)
  • Ændre enhver konfiguration af systemet (deaktiver/modificer firewall, AppLocker, sikkerhedspolitikker, registreringsdatabaseindstillinger, filsystem m.v.)
  • Ændre hvem der kan hvad på PC'en (lokale brugere og grupper, sikkerhedspolitikker, registreringsdatabaserettigheder m.v.)
  • Udtrække produktnøgler på installeret software (så kan virksomhedens software installeres på andre PC'er også)
  • Overtage data fra andre brugere på PC'en (overtag ejerskabet af filer på disken eller data i hukommelsen)
  • Udtrække certifikater med private nøgler (personlige, PC'en selv (System) og andre brugere - og så kan man importere på sit private udstyr)
  • Slette, ændre og tilføje log-hændelser (ødelægge sporbarhed og obstruere efterforskning)
  • Trække password hash værdier og process tokens ud af maskinens lager og hukommelse, og anvende dem til andre formål (identitetstyveri, Pass-the-Hash, Pass-the-Ticket og adgang til følsom data)
  • Sikre sig fremtidig kontrol over systemet (oprette snedige bagdøre og installere software til fjernovertagelse)

Med andre ord: kun fantasien sætter grænser - og det er ikke helt unikt for Windows. De fleste operativsystemer er bygget til at adlyde deres administrator(er).

Andre brugere, herunder i særdeleshed Domain Admins, bør under ingen omstændigheder logge på en maskine, som er under en anden brugers fulde kontrol. Ikke at denne bruger nødvendigvis er teknisk kompetent og ondsindet, men vedkommende kan være angrebet af malware, som har udnyttet de mange rettigheder til at overtage systemet, oprette fjernstyringsmuligheder og bagveje for fremmede entiteter. Blindt at tiltro et potentielt kompromitteret system ens brugernavn og adgangskode (credentials) er direkte skødesløst. Disse dage må udgangspunktet desværre være, at ens klienter er kompromitterede. Så undgå at logge på med priviligerede konti.

Statistisk set

En interessant og meget relevant rapport fra Avecto udkom februar i år (2014). Her konkluderes det, at man kan eliminere hele 92% af de kritiske sårbarheder rapporteret af Microsoft ved at fjerne brugernes lokale administratorrettigheder. Det må siges at være en yderst effektiv metode til at minimere sine risici.

Nedenstående illustration fra forsiden er en rimelig opsummering:

Illustration: Privatfoto

PC'en er et værktøj, ikke et stykke legetøj

Virksomheden bør opfatte enhver PC som et præcisionsværktøj, der er begrænset til at udfylde klart afdækkede og definerede behov for virksomheden, selvfølgelig set i lyset af brugerens konkrete rolle. Det er ikke en ubegrænset platform til fri leg blandt IT-verdenens forunderlige vidundere under Internettets betagende himmelhvælving. De fleste har egne PC'er og/eller tablet derhjemme nu om dage. Lad dem lege og boltre sig der.

Den tid hvor brugerne skal have lov til at installere og eksekvere lige hvad de har lyst til, er forbi. Teknologier som AppLocker i whitelisting mode og EMET i stram konfiguration, bør være standard på Windows klienter og servere.

At brugerne er en signifikant risiko er ingen nyhed. De lokkes relativt nemt til at klikke på links i fishing mails og på sociale netværkssider. De accepterer blindt advarselsmeddelelser om ugyldige certifikater og utroværdige software kilder. De kan snydes med simple Social Engineering tricks over telefonen. De kan også gå hen og blive utilfredse og ondsindede. Så tag konsekvensen af det og minimer risikoen for kompromittering:

  • Uddan brugerne i nutidige hacker-metoder og IT-risici
  • Fratag brugerne deres lokale administratorrettigheder
  • Tænk grundigt over hvor du efterlader dine priviligerede credentials

Dét er effektivt forsvar!

Eksterne kilder

Kommentarer (46)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Maciej Szeliga

...det var et problem fra før 2010.
Vi afskaffede lokale admins før 2000 når vi gik fra Win95/98 til NT4, der var lidt modstand men kun lidt.
Dette problem er i øvrigt værst når man har en hjemmeudråbt admin i direktionen, det havde vi ikke så det var nemt at gennemføre.

I øvrigt så er her en rigtig god ide til mange problemer som ikke kommer fra IT-afd.: IT-revisionen er ikke IT-afdelingens fjende, det er en allieret som kan udrydde alle den slags problemer.

  • 0
  • 0
Jakob H. Heidelberg

Hvis det blot var "et problem fra før 2010", så ville vi ikke se så mange pwnage scenarier på grund af netop dette. Det er fortsat et enormt problem og på enhver liste over top 3 ting, som man bør få styr på i sit IT-miljø. Nogen har selvfølgelig allerede styr på det (måske bortset fra en række undtagelser fra reglen), godt for dem, men lad os få alle med.

  • 0
  • 0
Brian Hansen

Du må leve i en ekseptionel steril osteklokke hvis du helt kan slippe afsted med lokal admin problemet
Jeg arbejder i en produktions virksomhed der som så mange er afhængige af elendigt skrevet software fra mange af de store, tunge drenge i branchen (Siemens, bare for at nævne nogen i flæng).
Bedste bud pt. er at kode krypterede scripts der starter softwaren op med en anden bruger, der har de fornødne rettigheder.
Derudover har du helt ret mht. til tilbøjeligheden for dem med domain admin rettigheder til at være logget på permanent og surfe på nettet, den har jeg set alt for mange gange :)
Personligt har jeg som domain admin ingen specielle beføjelser, på den bruger jeg arbejder på i det daglige. Alt andet er direkte idioti.

  • 6
  • 0
Peter Mogensen

Jeg kan ikke undgå at bemærke de mange henvisninger til "tid" i din artikel:

"så vil jeg håbe, at man allerede har udvist rettidig omhu"

"En absolut uansvarlig praksis i disse tider!"

"Den tid hvor brugerne skal have lov til at installere og eksekvere lige hvad de har lyst til, er forbi."

Og navnlig:
"I tidligere udgaver af Windows var der da også gode argumenter for en sådan praksis."

Man kunne spørge sig selv: Har der nogensinde været gode argumenter for at indrette systemet sådan? Blev man ikke advaret for mange år siden?

For mig lyder alt det du beskriver meget som en diskussion tilbage fra starten af 90'erne. Dem der bekymrede sig om sikkerheden gik så en vej - og dem, der ikke gjorde, gik en anden og står nu med det morads du beskriver.

  • 1
  • 0
Troels Henriksen

Der er en ting jeg er usikker på - hvilken rolle spiller mine lokale rettigheder for rettighederne på netværket? Jeg kan godt se, at det fra et vedligeholdelsessynspunkt måske er nemmere for it-afdelingen, at brugerne har begrænsede muligheder for at ødelægge deres systemer, men jeg er ikke sikker på at jeg forstår sikkerhedsperspektiverne.

  • 4
  • 1
Jakob H. Heidelberg

Hej Brian
Jeg er klar over, at der findes uansvarlige software leverandører, som ikke går efter "Least Privilege" princippet i deres udvikling. Der findes også uansvarlige software indkøbere, som ikke stiller tilstrækkelige krav til leverandørerne i indkøbsfasen. En kravspecifikation bør indeholde krav til minimum privilegier, løbende patchning, support for nye OS versioner osv.

Bedste bud pt. er at kode krypterede scripts der starter softwaren op med en anden bruger, der har de fornødne rettigheder.

Jeg har aldrig set en sikker måde at gøre det på. Applikationen eksekveres oftest i brugerens eksisterende session, hvilket gør, at processerne kan overtages/injectes etc. af malware, ligesom krypteringsnøgle eller adgangskode oftest ligger i klartekst, enten på disk eller i hukommelse.

  • 0
  • 0
Jakob H. Heidelberg

Der er en ting jeg er usikker på - hvilken rolle spiller mine lokale rettigheder for rettighederne på netværket? Jeg kan godt se, at det fra et vedligeholdelsessynspunkt måske er nemmere for it-afdelingen, at brugerne har begrænsede muligheder for at ødelægge deres systemer, men jeg er ikke sikker på at jeg forstår sikkerhedsperspektiverne.

Det fremgår vist også kun implicit af mit indlæg. Dels kan du jo installere og eksekvere hvad du har lyst til, inkl. angrebsværktøjer og netværksscannere. Det typiske angrebsscenarie er dog, at en administrator på netværket logger på for at supportere et eller andet (din mus driller og du ringer til helpdesk) - fra det øjeblik ejer du (eller en malware der kører uden dit vidende) admin credentials til netværket.

  • 0
  • 0
Jakob H. Heidelberg

Man kunne spørge sig selv: Har der nogensinde været gode argumenter for at indrette systemet sådan? Blev man ikke advaret for mange år siden?

For mig lyder alt det du beskriver meget som en diskussion tilbage fra starten af 90'erne. Dem der bekymrede sig om sikkerheden gik så en vej - og dem, der ikke gjorde, gik en anden og står nu med det morads du beskriver.

Tja, det har da også irriteret mig længe. Jeg påstår ikke det er nyt. Det er bare stadig et ufattelig aktuelt problem og det er på tide at få ryddet op! Som du er inde på, så handler det om ledelsesmæssige beslutninger og administrative principper, de er altså bare ikke på plads endnu alle steder - vi er langt fra!

  • 0
  • 0
Peter Mogensen

Den forstår jeg ikke helt ...?

Du adminstrerer ikke de enheder. Hvad du ikke kontrollere er at betragte med ligeså stor mistro som det store Internet.

Så hvis du tillader at folk (eller deres gadget-leverandør!!) kan have nogen som helst form for administrator-rettigheder på udstyr de har med, eller tilslutter VPN, så er det fordi du har taget en eksplicit beslutning om at du stoler 100% på deres evner og vilje som administratorer.
Ellers må du nøjes med at give dem de samme muligheder som du ville have gjort, hvis de sad på en vilkårlig maskine på et net du havde lige så lidt tiltro til som Internettet som helhed.

Der er ingen middelvej.

Du kan ikke bare lade en tilfældig bruger på dit netværk være admin på nogle systemer og stadig betragte vedkommende som en alm. bruger.

Nu er der selvfølgelig forskel på hvad du ønsker at beskytte dit netværk imod. Nogle af de eksempler der er givet ovenfor er jo ikke så relevante for BYOD. F.eks. er det meningløst at forsøge at kontrollere hvilken software, der er installeret på det folk bringer med. Hvis det man ønsker er at kontrollere samtlig software på samtlige maskiner tilsluttet netværket, så er BYOD jo per definition udelukket.

Men for andre ting (som adgang til data), så må det være sådan at ud over at intet selvfølgelig må være baseret på at maskinen blot er på den rigtige side af firewall'en, så må man være klar over at folks credentials til adgang på maskiner de selv administrerer og som man ikke stoler på at de faktisk kan administrere principielt er kompromiterede.
Så hvis du ikke stoler på at de kan administrere maskinerne, så lad være med at lade dem tilslutte maskinerne til et netværk hvor det gør en forskel og lad være med at give dem adgang fra disse maskiner til services hvor det gør en forskel.

  • 2
  • 0
Peter Mogensen

Det typiske angrebsscenarie er dog, at en administrator på netværket logger på for at supportere et eller andet (din mus driller og du ringer til helpdesk) - fra det øjeblik ejer du (eller en malware der kører uden dit vidende) admin credentials til netværket.

Vedkommende administrator skulle have spurgt sig selv om han ville have logget ind på en tilfældig maskine ude på Internettet.
Det er sådanset lidt analog til BYOD spørgsmålet ... hvis man ikke stoler 100% på at den maskine man har med at gøre er administreret korrekt, så skal den i alle henseender betragtes som "fjentlig".

Bevarres... der er mange steder hvor der faktisk er selv-administrerede workstations tilsluttet netværket. Men så bør man også tage en eksplicit beslutning om hvad de folk, der bruger dem kan betros at administrere på netværket som helhed og ikke bare på den enkelte maskine.

  • 0
  • 0
Anders Collstrup
  • 0
  • 0
Jakob H. Heidelberg

Men hvis brugeren er lokal administrator er der vel ingen grund til at logge på med egne credentials i en support situation. Så overtager man vel bare brugerens session.
I et BYOD miljø har du sandsynligvis slet ikke mulighed for andet.

Jeg har ikke været inde på BYOD - og jeg er bestemt ikke tilhænger af BYOD, set fra et sikkerhedsmæssigt perspektiv. Hvordan kan man sikre noget, som man ikke ejer og kan administrere? Man kan forsøge at sikre data, men det er en usikker vej. Men lad mig se bort fra BYOD her.

Der mange andre situationer hvor en admin logger på - eller lokkes til at logge på - en brugers PC. Det nævnte er blot et eksempel - det kan jo være brugere er gået til frokost og administratoren fjernovertager med RDP, PsExec (afhængig af anvendelse) eller whatever - eller at maskinen indleveres fysisk til helpdesk etc. Der er masser af scenarier, hvor man skal passe på adminitrative credentials. Bestemt enig i, at fjernovertagelse med SCCM eller fjerstyringsassisten og lignende teknologier, som blot overfører skærm, tastatur og mus, altså uden interaktiv logon session, er én vej at gå. Der er bare flere fare-situationer at tage højde for.

  • 0
  • 0
Jakob H. Heidelberg

Principielt bør man vel administrere sit netværk ud fra den antagelse at alle arbejdsstationer kan være kompromitteret. Uanset om folk har lokale admin rettigheder eller ej.

Jeg er enig. Det handler om såkaldt "credential hygiene" - at sikre sig at ens priviligerede fodaftryk (eg. domain admin credentials) ikke spredes rundt i netværket. Det er god praksis uanset hvad. Men for at minimere chancen for kompromittering af klienten, herunder den potentielt ondsindede bruger, så bør man minimere deres rettigheder OG implementering application whitelisting.

  • 0
  • 0
Peter Mogensen

I den perfekte verden ville det flagerne ligegyldigt om jeg havde root kodeordet på min Linux arbejdsstation eller ej.
Driftfolkene burde kunne serverne fri fra vira og malware.

Men hvis du fra din arbejds-station har adgang til administration af "serverne" (som mange administratorere jo har), så er det pludselig ikke lige meget.

Hvis du ikke kan betros at administrere din arbejdsstation korrekt, så kan du heller ikke betros at bruge credentials på den, der giver adgang til at administrere noget på resten af netværket.

  • 0
  • 0
Nikolaj Brinch Jørgensen

Og så er der skismet, der handler om at det også skal virke i den virkelige verden, som ikke kun er en teoretisk virkerlighed hvor sikkerhedsafdelingen bestemmer.

Virksomheden skal også tjene penge ved effektivt at bedrive forretning, og det skal helst være kerneforretningen i virksomheden. Dvs. sikkedheds-/IT-afdelingen skal spænde så lidt ben som muligt.

Her er der nødt til at findes et kompromis og en pragmatisk vej, således at virksomheden stadigt giver overskud.

Det hjælper intet at hegne virksomheden helt inde så ingen kan komme ind eller ud, for så dør viksomheden en lille smule hver dag, indtil den er stendød.

Det kunne være rart at denne sang som er blevet spillet 200 gange før om lokale admins, og forestillingen om at computere i virksomheder kun skal benytte Office pakken, tog højde for at man stort set aldrig kan lave den 100% "vandtætte" løsning, men derimod beskæftigede sig med det bedste kompromis der kan laves og tager højde for divergerende interesser i virksomheden.
100% sikkerhed i IT infrastrukturen biddrager stort set aldrig til virksomhedens strategiske mål, så hvis man gerne vil derhen, så skal man synliggøre hvordan man ved at bruge en masse penge på sikkerhed, og på at gøre det sværere for brugeren at lave deres arbejde, kan spare virksomheden for udgifter på den lange bane.
Det er nok her det halter bare en kende for diverse sikkerhedsrådgivningsfirmaer (de eneste for hvem sikkerhed i IT infrastruktur er en del af de strategiske mål, og at aflæse på bundlinjen).

Det hjælper heller ikke med brugerhostile løsninger som dem VMWare, CIsco og Citrix hælder ud.

PS: Local admin var faktisk en nødvendighed på Windows XP for overhovedet at kunne bruge maskinen til udvikling for de fleste. Jeg ved ikke hvordan det er fremadrettet, da jeg har droppet Windows fuldstaændigt. Sikkerhedsmæssigt ville det nok være en kæmpe fordel at droppe Windows fukdstændigt, er det overvejet?.

  • 2
  • 0
Jakob H. Heidelberg

Kommentartråden synliggør nu 2 modpoler, som udelukker hinanden gensidigt. Dem som siger, at det stadig ikke kan lade sig gøre at undgå lokale administratorer, og dem som siger, at de har gjort det siden ruder kongen var knægt :)

Sikkerhed og brugervenlighed behøver i øvrigt slet ikke udelukke hinanden. Du får det til at lyde som om, at vi "sikkerhedsrådgivere" aldrig kommer i "rigtige" miljøer. Det er faktisk lige det vi gør - og vi ser både gode og dårlige eksempler på hvordan tingene bør administreres. Jeg har personligt været med til at fjerne lokale administratorrettigheder i mere end 20 virksomheder, uden at brugerne blev hindret i at udføre det arbejde, som de var ansat til.

Jeg har ligeledes implementeret application whitelisting i flere miljøer, også på klienter, så jeg ved positivt, at det kan lade sig gøre. Det er ikke altid lige nemt, men det forhøjer sikkerhedsniveauet langt mere end de dyre overvågnings-, IDS/IPS-, webfilter-, antivirus- og firewallsystemer som IT-afdelingerne ofte spenderer deres penge på først (ikke at disse systemer nødvendigvis er unødvendige, jeg adresserer alene timingen).

Når det så er sagt, så kan man da være uheldig og stå i et miljø, hvor en eller flere applikationer gør sagen "umulig" at gennemføre i praksis. Så er det bare et spørgsmål om hvad man gør ved det: 1) for at minimere risikoen med andre midler/teknologier og 2) for at presse på så man hurtigst muligt kan få lukket klienterne forsvarligt ned. En tendens jeg ofte støder på er den, at man opgav sagen for "nogle år tilbage"... Hermed en lejlighed til at tage sagen op igen.

  • 1
  • 1
Nikolaj Brinch Jørgensen

Kommentartråden synliggør nu 2 modpoler, som udelukker hinanden gensidigt. Dem som siger, at det stadig ikke kan lade sig gøre at undgå lokale administratorer, og dem som siger, at de har gjort det siden ruder kongen var knægt :)


Og så er der dem, som du udelader, som siger at der er en vej midt imellem yderpunkterne (som der er med alt muligt andet), og det oftest er det at finde den som er vigtigt. Det handler ikke om, hvem af de 2 modpoler der får ret, det handler om at få dem til at mødes.

Det handler om at finde den bedste løsning i den konkrete situation og ikke en one size fits all for alle IT installationer i universet.
Det er alt for oversimplificeret og giver sjældent nogen værdi. Til gengæld kan man sælge store standardløsninger på den bekostning til intetanende virksomheder.

RDBMS er heller ikke den bedste løsning for at opbevare data for alle virksomheder, (eller alle data i en enkelt virksomhed). Men hvis du spørger Oracle eller en af Oracles partnere, så er det ganske sikkert det svar du vil få.

Jeg ser blot for ofte virksomheder der har sikkerhedsimplementeringer der vidner om sikkerhedsguruen fra elfenbenstårnet, der har fået sin vilje, og hele virksomheden er nu underlagt et sikkerhedsregime der er direkte produktionshæmmende, og dermed enormt omkostningspådragende.
Det andet jeg ser er den fuldstændigt modsatte situation, hvor der ikke er styr på noget som helst.
Begge dele er meget ringe - den ene er dog langt dyrere end den anden.

  • 4
  • 0
Jakob H. Heidelberg

Nikolaj, jeg tror egentlig, at vi er meget enige, når alt kommer til alt, bortset fra det med at droppe Windows fuldstændig ;-) Det mener jeg ikke er nødvendigt.

Skal man være ekstra ubehagelig, så kan man jo se på hvad folk gør på deres private Windows maskiner. Det er i princippet ikke meget anderledes, vi skal vende os til at køre med så få privilegier som muligt (herunder applikations whitelisting) - og det behager os ikke rigtig. Det kan lade sig gøre og det er faktisk ikke så slemt længere. Med Fast User Switching klares "root" opgaverne nemt - folk bruger det bare sjældent...

  • 0
  • 0
Troels Henriksen

Hvilken fordel har det som bruger, at køre programmer uden root-rettigheder? Jeg mener, på min egen maskine er det min lokale bruger der ejer alt hvad jeg sætter pris på (filer med fortrolig data, processer der behandler dem), hvor root ejer alt det system-snask, som jeg alligevel blot kan geninstallere. En kompromittering af min bruger er således præcist lige så destruktiv som en kompromittering af root-brugeren.

  • 5
  • 0
Gert Madsen

Sikkerhed og brugervenlighed behøver i øvrigt slet ikke udelukke hinanden.


Optimalt ville IT/sikkerhedsfolk levere en sikker måde at udføre en opgave på.

Desværre så ser man at der bare blokeres for det, man nu har hørt om på den seneste sikkerhedskonference.
Herefter er brugeren på den, og skal forsøge at navigere rundt om blokeringen.

Dette ender så ofte med at brugeren bliver lokaladministrator, og IT/Sikkerhedsafdelingen får sit røvdækkerpapir.
Altså dårlig sammenhæng mellem forretning og IT.

Gad vide om man kan måle et firmas sundhed på antallet af lokaladministratorer ;-)

  • 0
  • 0
Jakob H. Heidelberg

Hvilken fordel har det som bruger, at køre programmer uden root-rettigheder? Jeg mener, på min egen maskine er det min lokale bruger der ejer alt hvad jeg sætter pris på (filer med fortrolig data, processer der behandler dem), hvor root ejer alt det system-snask, som jeg alligevel blot kan geninstallere. En kompromittering af min bruger er således præcist lige så destruktiv som en kompromittering af root-brugeren.

Dette indlæg adresserer ikke Linux som sådan, men Least Privilege princippet gælder for så vidt også andre operativsystemer end Windows. Jeg har en teori om, at du misforstod min seneste kommentar til Nikolaj, hvor jeg kækt skrev "root" opgavene - her mente jeg administrative opgaver på Windows, prøvede bare at være *nix-smart.

Hvis du mener, at data alligevel er tabte når din almindelige bruger rammes af malware, så "måske ja", men pointen er, at kun en lille procentdel af malware har success såfremt brugere ikke er admin (jf. rapporten jeg linker til f.eks.). Hvis whitelisting er med, så er der endnu mindre chance for kompromittering af data. Dertil har selve systemet/klienten måske flere brugere der logger på, så én kompromitteret Windows maskine (SYSTEM) er værre end én kompromitteret (almindelig) Windows bruger. Malware i SYSTEM kontekst kan også have snedige bagdøre og sniffe/scanne netværk over længere tid etc.

Et klassisk eksempel er, at SYSTEM kan læse hash værdier for den lokale administrator konto. Denne værdi er IKKE hash'et på Windows (fyyy ha Microsoft). Devs. en angriber nu kan angribe de øvrige Windows systemer i miljøet (inkl. servere), så fremt disse anvender samme administrator password og at den lokale administrator konto er aktiveret (og så fremt man ikke har ageret på nyhederne i hhv. KB2871997 og WIndows 8.1).

  • 1
  • 0
Nikolaj Brinch Jørgensen

Hvilken fordel har det som bruger, at køre programmer uden root-rettigheder? Jeg mener, på min egen maskine er det min lokale bruger der ejer alt hvad jeg sætter pris på (filer med fortrolig data, processer der behandler dem), hvor root ejer alt det system-snask, som jeg alligevel blot kan geninstallere. En kompromittering af min bruger er således præcist lige så destruktiv som en kompromittering af root-brugeren.

En kompromittering af din bruger giver adgang til alle de fortrolige oplysninger du måtte have på din computer.

For det meste skal du kompromittere "root" for at installere et værktøj der, med en kompromitteret bruger, kan give dig adgang til brugerens informationer i en netværkskontekst - derfor er begge dele ret alvorligt.

En kompromittering af root, giver muligvis adgang til information om opsætning, som kan lede til at man kan få adgang til det du som bruger har adgang til i en netværkskontekst. Men det kan der også være adgang til alligevel blot ved kompromittering af dig som bruger, uden der er kompromittering af root.

  • 0
  • 0
Joe Sørensen

Der er blevet snakket lidt om white listing, men ingen har skrevet om grey listing.

Med gray listing mener jeg, at et værktøj vil undersøge at noget software er på en godkendt liste. Ligesom ved white listing. Forskellen er, at brugeren ikke bliver forhindret i at anvende programmet, men bliver informeret om at programmet ikke er godkendt.

Samtidig så vil it administrationen kunne se hvilke programmer der anvendes, og af hvem og hvor ofte. Og hvis programmet er kendt af gray listing værktøjet, så kan den også kunne vise hvilken version og om der er opdateringer som brugeren har glemt at installere.

Efter min mening vil gray listen være den rigtige løsning i virksomheder, hvor flere ansatte har flair for computere og derfor kan hjælpe hinanden ved at vedligeholde deres udstyr. Og derfor ikke behøver it afdelingens hjælp. Pointen er at en kundekonsulent kan løse sit it problem ude hos kunden, uden at skulle ringe til it afdelingen.

Det var så min mening, men jeg har ikke meget at have den i. Jeg bruger ikke Windows til dagligt.

Er der nogen der kan anbefale et godt grey listing værktøj? Tager jeg fejl. Er grey listing noget opreklameret opkast eller kan det bruges?

  • 0
  • 0
Peter Mogensen

...og dem som siger, at de har gjort det siden ruder kongen var knægt :)

Det er ikke bare noget de siger.
Tag et kig på et UNIX netværk på et universitet anno 1990. Hvor mange maskiner på sådan et netværk tror du der var nogen som helst andre end sysadm-teamet der fik lov at være root på?
Jeg gætter på at det fungerer sådan endnu - med mindre noget "koncern-IT" har overtrumfet dem politisk og insisteret på at det skal være Windows.

  • 1
  • 1
Frederik Gaffron

Fint indlæg Jakob, og er helt enig med dig. Det er desværre noget der svært at sælge til dem der bestemmer når holdningen som regel er "det skal bare være så nemt som muligt at bruge vores systemer". Nu prøver vi igen, så kan vi håbe vi har mere held med os denne gang. :)

Mvh
Frederik

  • 1
  • 0
Joe Sørensen

Der er forskellen på 1990 Uni'er at der deltes man om computerne. Her taler vi om situationer hvor en computer ikke er delt med andre ansatte, men udelukkende bruges af en enkelt ansat.

I 1990 havde gæster på uni sjældent deres eget hardware med. I dag har næsten alle gæster, elever og lærer hver her deres eget udstyr med, som de forventer at kunne forbinde til universitetets netværk. Og på dette udstyr har læren, eleven eller gæsten selv Administrator rettigheder på deres egne enheder.

I min virksomhed får medarbejdere udleveret en computer første dag. Denne er ikke delt med andre medarbejdere. De har lokale admin rettigheder, så de selv kan opdatere Java og andre ting. Derudover så har vi et gæstenetværk, hvor hjemmecomputere, gæster og kunder forbinder. Begge netværk kan forbinde til vores produkter, men gæstenetværket kan ikke forbinde til AD og printere osv. På internettet har de to netværk de samme IPer.

Så mens ikke alle administratorer har ændret sig, så har den virkelighed de lever i ændret sig en del.

  • 2
  • 0
Peter Mogensen

Så mens ikke alle administratorer har ændret sig, så har den virkelighed de lever i ændret sig en del.

Virkeligheden har ikke ændret sig.
Du ville have haft præcis de samme sikkerhedsproblemer dengang, hvis du blindt havde tilladt alt det BYOD-stads du snakker om og troet at det bare magisk kunne gøres sikkert.
Det som har ændret sig er at nogen har taget beslutningen om at de hellere vil spare en masse besvær og lade folk gøre de ting du gør ... og så står de åbenbart og er overraskede over at de ikke kan styre sikkerheden længere.

Problemet er at man tror man kan betragte alle de her medarbejdere som noget andet end "gæster og kunder" - uden at man indrømmer overfor sig selv at man dermed implicit har tillagt dem kompetencer og beføjelser som administratorer.

Der er ikke noget galt i at en medarbejder selv administrere sin egen computer så vedkommende (f.eks.) kan opdatere JAVA, men så skal man også være klar over at man så har taget en beslutning om at vedkommende er kompetent nok til system-admin for netværket generelt.

Kan man ikke sige det, så hører de maskiner til på "gæste" nettet - de bør betragtes på ligefod med hvad der kommer fra Internettet.

Det eneste, der har ændret sig er (nogen) folks prioriteringer. Og så skal man bare ikke være overrasket over når det går galt.

  • 2
  • 0
Joe Sørensen

Kan man ikke sige det, så hører de maskiner til på "gæste" nettet - de bør betragtes på lige fod med hvad der kommer fra Internettet.


Det gør vi også. Vi betragter sådan set alt trafik som om det er internet trafik. Den eneste forskel på gæstenetværket og en gæst med 3G kort i bærbar er hastigheden. ( Og så det med at maskinerne kan se hinanden, samt deres eksterne ip )

Eneste forskel på gæstenetværk og arbejdsnetværk er adgang til AD og printere. Der er valgt sikrer netværksprotokoller til næsten alt og de kan derfor både tilgås fra internet, gæstenetværk og arbejdsnetværk.

Vi har desværre ikke fuldt udrullet Single Sign On, så ansatte skal desværre ofte taste deres kode, hvis de logger på forskellige systemer. Vi må rulle SSO ud et step ad gangen.

  • 0
  • 0
Andreas Andersen

Hvis man googler lidt, er spørgsmålet om hvorvidt udviklere skal have administratorrettigheder på deres egen maskine vendt flere steder, og udviklerholdningen er tilsyneladende ret klar - f.eks. her http://stackoverflow.com/questions/701214/should-developers-have-adminis...

Så hvad gør man hvis man fratager sine udviklere administratorrettigheder og de derfor vælger at skride et andet sted hen?

  • 1
  • 0
Andreas Andersen

Jeg tvivler stærkt på at en udvikler med den holdning ville få arbejde nogen seriøse steder.

Jeg har arbejdet i et par virksomheder med 500 udviklere og måske en driftsafdeling på 10-20 mand, og har altid haft lokal administrator-adgang. Jeg tror godt nok det ville blive en svær kamp for driftsfolkene at fjerne lokal administrator-adgang sådan et sted.

  • 1
  • 0
Claus Jacobsen

Hvilket desværre beviser at man bare har tilladt udviklere at kode med hovedet et vist sted. - Det er så absolut ikke nogen let opgave at fjerne admin-rettighederne til rigtigt mange applikationer, men faktum er at MS har tilladt udviklere at udvikle nogle sinddsygt dårlige vaner gennem de sidste 20 år. Det er selvfølgelig ikke kun deres skyld, men de bærer i høj grad en stor del af skylden. Applikationer som skal køres af en bruger skal kun køre i userspace med mindre der er et eller andet helt vildt ekseptionelt. Men grundet de manglende sikkerhedsfunktioner i windows gennem så mange år har udviklerne bare tillagt sig nogle rigtigt dårlige vaner og derfor kan de selvfølgelig ikke lide når tingene ikke virker som de plejer længere. Men den slags har man altså haft indbygget i næsten resten af verden i en menneskealder.

Problemet for virksomhederne er at der er vanvittig mange ældtusse gamle applikationer derude i produktionsmiljøer som ikke er blevet opdateret i gud ved hvor lang tid. Og fordi de kører et eller andet sindssygt dyrt eller monster kritisk har man aldrig lige fået taget sig sammen til at lave en opdateringsplan på den front, enten fordi firmaet er gået ned og der ikke findes noget, eller fordi man ikke lige tilkøbte muligheden for at opgradere softwaren senerehen. Og nu sidder man så med ..... i vandskorpen.
Dette er så IT-chefernes og Økonomidirektørernes ansvar. - For det er i høj grad deres fejl at de ikke kigger på den slags. - Men det er åbenbart en lektie de må lære på den hårde måde. Faktum er at man sidder med nogle gabende sikkerhedshuller fordi der er lagt nogle forkerte strategier, for så lang tid siden at verden var et bedre sted og noget mere rosenrødt end i dag. Nu betaler man så prisen for det.

  • 0
  • 0
Peter Mogensen

Så hvad gør man hvis man fratager sine udviklere administratorrettigheder og de derfor vælger at skride et andet sted hen?

Før du stiller dig spørgsmålet hvad udvikleren gør, bør du nok stille sig spørgsmålet hvordan et fornuftigt udviklings-setup vil være skruet sammen.

Der er massere af ting, der fint kan udvikles uden admin-adgang til den maskine du bruger. Men der er også nogen ting der ikke kan. I den situation er din opgave jo - istedet for blot at fratage udviklerne noget de har brug for, at sørge for et fornuftigt udviklingsmiljø, hvor de kan få de værktøjer de har brug for uden at det påvirker "produktionen".
Hvad det er, afhænger jo helt af hvad der konkret skal udvikles.

Men det nytter jo ikke noget bare at sige til en udvikler at "Sǻ .. nu kan du ikke bruge de værktøjer du har brug for - find selv på noget".

  • 0
  • 0
Maciej Szeliga

Jeg har arbejdet i et par virksomheder med 500 udviklere og måske en driftsafdeling på 10-20 mand, og har altid haft lokal administrator-adgang.Jeg tror godt nok det ville blive en svær kamp for driftsfolkene at fjerne lokal administrator-adgang sådan et sted.


Det lyder som deciderede udviklingsvirksomheder ?

Det er i virkeligheden meget nemt:
Alt. 1: I kan få lokal admin men så er i på isoleret netværk uden adgang til Internettet og hvis i vil installere noget går det gennem drift.

Alt. 2: Man pudser IT-revisionen på problemet og får (meget nemt) en fin anbefaling om at denne procedure er forkert.

  • 0
  • 1
Nikolaj Brinch Jørgensen

Skal vi ikke lige være enige om at det er lokale maskiner vi snakker om?

Netværket er jo per definition åbent. Adgang til netværket er en fysisk beskyttelse.
Det er systemerne der er koblet på netværket som skal beskyttes, mod misbrug.

Hvis det "problem" som der råbes så højt om fra alle mulige sikkerhedseksperter skulle være værd at bruge tid og penge på, skulle det være fordi det var et kæmpe problem, og der hele tiden skete alle mulige sikkerhedsbrud.
Men gør der det? Er det grund til at bygge en intern Fort Knox?

De skandaler man læser om, hvor sikkerheden er bristet er alle nogen, hvor det er driften der har skylden, eller hvor det er indbrud udefra.
At lokal administrator adgang til en Windows maskine skulle give de her de her problemer over det hele og hele tiden og så igen, det synes jeg sjældent jeg hører om.

I hvert fald så er der nok nogle i diverse ledelser der har overvejet om det kan betale sig med produktionsnedgang, softwarelicenser mm. at bygge alle de her mure op, eller om man bare skal smide et nyt image på folks maskiner hvis de ødelægger dem.

  • 0
  • 0
Peter Mogensen

Skal vi ikke lige være enige om at det er lokale maskiner vi snakker om?

Læs Jakobs eksempel om hvordan en af disse lokale maskiner administreret af brugeren selv med hovedet under armen bliver kompromiteret og anvendes til at opfange credentials til de mere centrale servere osv.
Overvej hvordan du vil beskytte dig imod det.

Går du hen til en tilfældig bruges boks med alskens snask på og taster dit root password ind? (eller tilsvarende)

Hvis du vil have folk med selv-administrerede maskiner på nettet som du ikke også gider bruge tid på at vurdere om du kan betro den sikkerhedsmæssig forsvarlig administration, så må du holde dem i passende armslængde fra dit egentlige netværk. - navnlig: Tillad dem ikke at tilgå kritiske dele fra de maskiner.

  • 0
  • 0
Peter Mogensen

Lige præcis. Og det gælder ikke kun for udviklere.
Folk vil bare kunne passe deres arbejde, og hvis ikke der leveres et fornuftigt alternativ, så er det IT/Sikkerhedsafdelingen som har fejlet.

Ja ... joe... men jeg vil nu mene at udviklere betydeligt oftere har et fornuftigt argument for at være admin på den maskine de bruger til udvikling, end alm. kontor-personale.
Ikke alle udviklere, for der er massere af ting man kan udvikle uden specielle rettigheder. Men det er lidt svært at skrive en net-kort driver uden at kunne rode med kernen.

(Og ja. Jeg ved godt at der principielt er muligheden for at et udviklingsmiljø kan inkludere en simulering af hardwaren. Sådan er der jo meget embedded software, der udvikles. Men har man ikke det...)

  • 0
  • 0
Jakob H. Heidelberg

Med gray listing mener jeg, at et værktøj vil undersøge at noget software er på en godkendt liste. Ligesom ved white listing. Forskellen er, at brugeren ikke bliver forhindret i at anvende programmet, men bliver informeret om at programmet ikke er godkendt.

Hej Joe,
Jeg kender ikke til nogen greylisting programmer. Så vidt jeg kan forstå er forskellen ift. whitelisting, at brugeren får et valg. Ret beset, så er det sjældent at brugeren træffer særlig gode valg i de situationer (hvilket vi ved fra phising og social engineering, certifikat-advarsler i browser osv), men såfremt det er sikkerheds-trænede brugere - og ikke bare folk med "flair for computere" (de kan være RIGTIG farlige!) - så kan man måske forsvare det. Jeg foretrækker processen: en blokering -> en ansøgning om godkendelse -> en godkendelse -> teknisk implementering (whitelisting af hash/certifikat) -> og så eksekvering.

Et andet aspekt er, at whitelisting teknologi er indbygget i Windows - så længe man kører Enterprise versionen. Og det kan faktisk relativt nemt implementeres og drives, men det kræver en ekstra indsats. En del kan dog automatiseres.

  • 0
  • 0
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize