Blog: Smid nu de lokale administratorer på porten!

August 19, 2014 by admin · Leave a comment

Lad mig sige det som det er: lokale administratorer er sendt fra de mørkeste afkroge af Helvede. De er IT-afdelingens værste mareridt og blandt virksomhedens største IT risici. Virksomhedens klienter og brugere er ekstremt sårbare og typisk voldsomt eksponerede elementer. Tildeles de administrative privilegier, så er der ikke langt til total kompromittering af miljøet (herunder Active Directory), hvis man altså ikke har taget sine forholdsregler.

Er man IT-ansvarlig i en organisation, hvor brugerne er lokale administratorer, altså brugere der til daglig er logget på med administrative privilegier på den lokale maskine, så vil jeg håbe, at man allerede har udvist rettidig omhu ved at meddele den øverste ledelse, at IT-afdelingen på ingen måde kan garantere, at involverede maskiner er sikre, pålidelige og brugbare. Hvis ledelsen mener, at virksomheden kan leve med en sådan risiko, jamen så er det jo fint, bevares – bare få det på skrift og tag det op igen med jævne mellemrum!

En del IT-afdelinger har efterhånden fået rettet organisationen ind, ofte trods intens modstand fra ledelse og brugere, men alt for mange halter fortsat bagud. Nogle organisationer har sågar stadig brugere, der logger på deres arbejdsstation med Domain Admin rettigheder, mens de surfer Internettet og behandler e-mail. En absolut uansvarlig praksis i disse tider!

Jeg har hørt rigtig mange argumenter for hvorfor, man stadig har lokale administratorer. I tidligere udgaver af Windows var der da også gode argumenter for en sådan praksis. De fleste af disse argumenter er bare ikke holdbare længere. Nu om dage findes der en række teknologier og løsninger til at undgå disse lokale “eneherskere”.

Det skal i denne forbindelse bemærkes, at User Account Control (UAC) IKKE er løsningen. Fast User Switching er en bedre option, idet der her oprettes helt separate user sessioner – én til normal bruger aktivitet, og én til administrative opgaver. To forskellige brugerkonti.

Typiske undskyldninger

  • “Jamen, vi har antivirus på alle maskiner!”
    Desværre kan man ikke regne med, at ens antivirus/-malware tager sig af skraldet. Brian Dye fra Symantec udtalte for nyligt, at antivirus er “død”, og estimerede, at antivirus kun fanger omkring 45% af malware angreb. Det er relativ nemt at omgå AV signaturer og generere obfuskeret kode. Hermed ikke sagt, at man skal droppe dette lag af beskyttelse.

  • “Jamen, vi har udviklere der skal kunne X, Y eller Z!”
    Udviklere hører som udgangspunkt til i separate udviklingsmiljøer. På produktionsmiljøet er de ikke “udviklere”, men blot almindelige brugere. I en tid med virtuelle maskiner, herunder flere gratis muligheder så som VMware Player, Hyper-V, VirtualBox m.v., kan de hygge sig i isolerede test-miljøer, indtil deres kode er klar til signering og udrulning i produktion.

  • “Jamen, vi har en applikationer der kræver at brugerne er lokale administratorer!”
    Dér har I så jeres problem: applikationerne. Invester i mere tidssvarende applikationer, udviklet af organisationer med forstand på sikker softwareudvikling. Dertil kan man se på eksempelvis Citrix eller Microsoft RemoteApp funktionalitet, virtualisering af software, samt Application Compatibility Toolkit.

  • “Jamen, vi har begrænset hvad de lokale administrator brugere kan!”
    Nej, det kan ikke lade sig gøre. En lokal administrator kan omgå enhver begrænsning på den lokale maskine: Group Policy indstillinger, AppLocker, NTFS-rettigheder osv. Forsøg på at begrænse en lokal administrators muligheder på en lokal Windows maskine er en kamp, der ikke kan vindes.

  • ”Jamen, direktøren vil være administrator!”
    Jo mere følsom information en person har adgang til, jo strammere bør sikkerheden være omkring denne persons brugerkonti og udstyr – for jo bedre et mål er man for en angriber (f.eks. spearfishing angreb). Det er derfor direkte uforsvarligt af en direktør (eller anden VIP’er) at kræve, at han eller hun bliver administrator på egen PC. Risikoens omfang bør i al fald beskrives klart og leveres på skrift til virksomhedens ledelse.

Hvad kan en lokal administrator egentlig på Windows?

Det er væsentligt at forstå, at en lokal administrator stort set ingen begrænsninger har på den lokale maskine, slet ikke kombineret med fysisk adgang. I administrativ brugerkontekst kan man bl.a.:

  • Installere og afinstallere software (væk med antivirus og ind med yndlingsbrowser X og software Y som i øvrigt ikke patches af IT)
  • Installere og afinstallere hardware og drivere (indsæt 4G modem, installer driver og surf uden om den centrale proxy filtrering)
  • Starte, stoppe, installere og afinstallere services (stop antivirus, HIDS og diverse overvågningsagenter)
  • Eksekvere enhver kode efter eget ønske (kør keyloggere, scripts, netværksscannere og hacker værktøjer)
  • Ændre enhver konfiguration af systemet (deaktiver/modificer firewall, AppLocker, sikkerhedspolitikker, registreringsdatabaseindstillinger, filsystem m.v.)
  • Ændre hvem der kan hvad på PC’en (lokale brugere og grupper, sikkerhedspolitikker, registreringsdatabaserettigheder m.v.)
  • Udtrække produktnøgler på installeret software (så kan virksomhedens software installeres på andre PC’er også)
  • Overtage data fra andre brugere på PC’en (overtag ejerskabet af filer på disken eller data i hukommelsen)
  • Udtrække certifikater med private nøgler (personlige, PC’en selv (System) og andre brugere – og så kan man importere på sit private udstyr)
  • Slette, ændre og tilføje log-hændelser (ødelægge sporbarhed og obstruere efterforskning)
  • Trække password hash værdier og process tokens ud af maskinens lager og hukommelse, og anvende dem til andre formål (identitetstyveri, Pass-the-Hash, Pass-the-Ticket og adgang til følsom data)
  • Sikre sig fremtidig kontrol over systemet (oprette snedige bagdøre og installere software til fjernovertagelse)

Med andre ord: kun fantasien sætter grænser – og det er ikke helt unikt for Windows. De fleste operativsystemer er bygget til at adlyde deres administrator(er).

Andre brugere, herunder i særdeleshed Domain Admins, bør under ingen omstændigheder logge på en maskine, som er under en anden brugers fulde kontrol. Ikke at denne bruger nødvendigvis er teknisk kompetent og ondsindet, men vedkommende kan være angrebet af malware, som har udnyttet de mange rettigheder til at overtage systemet, oprette fjernstyringsmuligheder og bagveje for fremmede entiteter. Blindt at tiltro et potentielt kompromitteret system ens brugernavn og adgangskode (credentials) er direkte skødesløst. Disse dage må udgangspunktet desværre være, at ens klienter er kompromitterede. Så undgå at logge på med priviligerede konti.

Statistisk set

En interessant og meget relevant rapport fra Avecto udkom februar i år (2014). Her konkluderes det, at man kan eliminere hele 92% af de kritiske sårbarheder rapporteret af Microsoft ved at fjerne brugernes lokale administratorrettigheder. Det må siges at være en yderst effektiv metode til at minimere sine risici.

Nedenstående illustration fra forsiden er en rimelig opsummering:

PC’en er et værktøj, ikke et stykke legetøj

Virksomheden bør opfatte enhver PC som et præcisionsværktøj, der er begrænset til at udfylde klart afdækkede og definerede behov for virksomheden, selvfølgelig set i lyset af brugerens konkrete rolle. Det er ikke en ubegrænset platform til fri leg blandt IT-verdenens forunderlige vidundere under Internettets betagende himmelhvælving. De fleste har egne PC’er og/eller tablet derhjemme nu om dage. Lad dem lege og boltre sig der.

Den tid hvor brugerne skal have lov til at installere og eksekvere lige hvad de har lyst til, er forbi. Teknologier som AppLocker i whitelisting mode og EMET i stram konfiguration, bør være standard på Windows klienter og servere.

At brugerne er en signifikant risiko er ingen nyhed. De lokkes relativt nemt til at klikke på links i fishing mails og på sociale netværkssider. De accepterer blindt advarselsmeddelelser om ugyldige certifikater og utroværdige software kilder. De kan snydes med simple Social Engineering tricks over telefonen. De kan også gå hen og blive utilfredse og ondsindede. Så tag konsekvensen af det og minimer risikoen for kompromittering:

  • Uddan brugerne i nutidige hacker-metoder og IT-risici
  • Fratag brugerne deres lokale administratorrettigheder
  • Tænk grundigt over hvor du efterlader dine priviligerede credentials

Dét er effektivt forsvar!

Eksterne kilder

Posted in computer.

Leave a Reply

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>