Monthly Archives: August 2014

Efter ti år med Linux smider München nu pingvinen på porten og går tilbage til Microsoft og Windows. Stort set alle organisationer i byen klager nemlig over ringe produktivitet under Linux, skriver Neowin.net. og Sueddeutsche.de

Tilbage i 2004 skabte den tyske by ellers overskrifter, da byen erklærede, at den ville skifte Microsoft ud med Linux. Det skulle spare byen masser af penge i licensafgifter, skabe bedre stabilitet og i det hele taget være mere it-politisk korrekt. Begivenheden blev sammenlignet med nedrivningen af Berlinmuren, bare i en it-sammenhæng.

I 2011 kørte byen 9.000 Linux-maskiner. Dog med en specialudgave af Linux udviklet specifikt til München.

Men nu, ti år efter at forsøget begyndte, skal byen købe Windows-licenser til de 9.000 computere. Stort set alle organisationer har nemlig problemer med Linux. Det er specielt, når byens medarbejdere skal samarbejde med andre uden for München, at problemer opstår. Medarbejderne har nemlig svært ved at dele dokumenter med folk på Windows-platformen.

Derudover har Linux vist sig at være dyrere. Godt nok slipper byen for licenser, men München fandt sig nødsaget til at hyre programmører til at udvikle manglende funktionalitet. Derefter skulle programmørerne også betales for at vedligeholde softwaren.

En kinesisk hackergruppe er mistænkt for at stjæle sundhedsdata fra 4,5 millioner amerikanere. Gruppen formodes at have bånd til den kinesiske regering, skriver Reuters.com.

Hackergruppen er kendt af amerikanske efterforskere under navnet APT 18. Gruppens mål er typisk virksomheder i fly- og forsvarsindustrien, teknologi, finans- og sundhedssektoren, fortæller Charles Carmakal leder af sikkerhedsvirksomheden FireEye Inc.

»De bruger rimelig avancerede teknikker til at bryde ind i organisationer, og de er gode til at opretholde adgang i lange perioder uden at blive opdaget,« siger Charles Carmakal til Reuters.

Den stjålne information dækker over patienternes navne, adresser, fødselsdato, telefonnumre, personnumre og en liste over patienter, der har modtaget ydelser de sidste fem år. Informationerne er stjålet fra hospitalsgruppen Community Health, som har 206 hospitaler fordelt på 29 stater.

Hackerne fik dog ikke fingre i hverken sundhedsjournalen, kreditkortoplysninger eller oplysninger om intellektuelle rettigheder på hospitalsudstyr.

Ifølge flere sikkerhedsvirksomheder, der er har fulgt hackergruppen i en årrække, er der god sandsynlighed for at gruppen har forbindelse til den kinesiske regering. Ingen ønsker dog at uddybe den mistanke.

Sundhedssektoren er i stigende grad et mål for hackere. I april advarede FBI nemlig om at sundhedssektoren i USA er relativ dårlig til it-sikkerheds sammenlignet med andre industrier.

En kinesisk hackergruppe er mistænkt for at stjæle sundhedsdata fra 4,5 millioner amerikanere. Gruppen formodes at have bånd til den kinesiske regering, skriver Reuters.com.

Hackergruppen er kendt af amerikanske efterforskere under navnet APT 18. Gruppens mål er typisk virksomheder i fly- og forsvarsindustrien, teknologi, finans- og sundhedssektoren, fortæller Charles Carmakal leder af sikkerhedsvirksomheden FireEye Inc.

»De bruger rimelig avancerede teknikker til at bryde ind i organisationer, og de er gode til at opretholde adgang i lange perioder uden at blive opdaget,« siger Charles Carmakal til Reuters.

Den stjålne information dækker over patienternes navne, adresser, fødselsdato, telefonnumre, personnumre og en liste over patienter, der har modtaget ydelser de sidste fem år. Informationerne er stjålet fra hospitalsgruppen Community Health, som har 206 hospitaler fordelt på 29 stater.

Hackerne fik dog ikke fingre i hverken sundhedsjournalen, kreditkortoplysninger eller oplysninger om intellektuelle rettigheder på hospitalsudstyr.

Ifølge flere sikkerhedsvirksomheder, der er har fulgt hackergruppen i en årrække, er der god sandsynlighed for at gruppen har forbindelse til den kinesiske regering. Ingen ønsker dog at uddybe den mistanke.

Sundhedssektoren er i stigende grad et mål for hackere. I april advarede FBI nemlig om at sundhedssektoren i USA er relativ dårlig til it-sikkerheds sammenlignet med andre industrier.

Tysk, fransk eller computersprog? Der skal mere kode på tavlen i folkeskolen, mener Dansk Erhverv. It fylder efterhånden så meget, at computer-kundskaber er nødvendig viden og derfor bør børn lære basal programmering, fortæller chefkonsulent i Dansk Erhverv Janus Sandsgaard.

»Det er alment dannende. Du får en eller anden fornemmelse af, hvad det vil sige at gå back-stage på computeren og en teknologiforståelse, som gør dig i stand til at kommunikere med personer med hardcore it-faglighed. Mange af os arbejder med noget, hvor it er til stede, og det er utroligt praktisk at kunne tale de rigtige sprog,« forklarer han.

Alt for ofte bliver almindelige bruger-kompetencer forvekslet med evnen til at bruge en computer kreativt, mener Janus Sandsgaard. Og det er ekstern lektor ved ITU Kenny Marek Møller enig i.

»Når man taler om digital dannelse, handler det ofte om at forstå at bruge digitale platforme og medier. Men der mangler fokus på alt, der hedder programmering, algoritmisk tænkning og alle grundlæggende kompetencer til at skabe med it,« siger Kenny Marek Møller.

Kodesprog skal læres som tysk

Programmering i undervisningen skal åbne elevernes øjne op for, hvad der er muligt med en computer. Og det kan godt sammenlignes med at lære et sprog, mener Janus Sandsgaard.

»Der er noget syntaks og nogle ord og logikker, du skal lære. Og selvfølgelig er der forskel på der, die, das og for eksempel Scratch. Men det handler grundlæggende om at få en maskine, en robot eller noget teknologi til at lystre. Ligesom du kan interagere med en tysker, når du har lært din kasserollebøjning,« mener Janus Sandsgaard.

Selvom tysk er mindre foranderligt end de fleste programmeringssprog, frygter chefkonsulenten ikke, at elevernes computerviden bliver forældet, inden de kan bruge den for alvor.

»Det giver en forståelse for, at der omme bag den glatte brugerflade er noget teknik, som man kan gradbøje og få til at arte sig. Selvom man har lært Comal 80 eller Pascal, så har du stadig fået en generisk kompetence, der bringer anden teknisk viden inden for rækkevide,« fastslår Janus Sandsgaard.

Mangler grundlæggende kompetencer

Mens alle skoleelever gerne skal både læse, skrive og regne, så accepteres det, at nogle elever ikke er teknisk orienterede. Og det er en fejl, mener Kenny Marek Møller, som ser mange veje ind i computerverdenens logik – for eksempel gennem det populære og modificerebare spil Minecraft.

»Det centrale er, at man forstår grundlæggende koncepter som løkker og variabler og det at tænke algoritmisk i forhold til at løse komplekse problemstillinger. Hvis den forståelse først kommer, når man skal begynde at programmere, så når man ikke særlig langt i undervisningen,« siger han.

Kenny Marek Møller underviser på ITU og besøger også gymnasier rundt om i landet. Derfor ser han også konsekvenserne af, at eleverne ikke stifter bekendtskab med programmering i folkeskolen.

»Det betyder, at når de kommer videre til gymnasiet og universitetet, så mangler de grundlæggende kompetencer og forståelser til at kunne starte på gymnasie- eller universitetsniveau.«

Både i England og Estland har man sat programmering på skoleskemaet. Her bruges blandt andet LEGO’s programmerbare Mindstorm-robot, og eleverne kan blive introduceret for faget allerede i første klasse.

Tysk, fransk eller computersprog? Der skal mere kode på tavlen i folkeskolen, mener Dansk Erhverv. It fylder efterhånden så meget, at computer-kundskaber er nødvendig viden og derfor bør børn lære basal programmering, fortæller chefkonsulent i Dansk Erhverv Janus Sandsgaard.

»Det er alment dannende. Du får en eller anden fornemmelse af, hvad det vil sige at gå back-stage på computeren og en teknologiforståelse, som gør dig i stand til at kommunikere med personer med hardcore it-faglighed. Mange af os arbejder med noget, hvor it er til stede, og det er utroligt praktisk at kunne tale de rigtige sprog,« forklarer han.

Alt for ofte bliver almindelige bruger-kompetencer forvekslet med evnen til at bruge en computer kreativt, mener Janus Sandsgaard. Og det er ekstern lektor ved ITU Kenny Marek Møller enig i.

»Når man taler om digital dannelse, handler det ofte om at forstå at bruge digitale platforme og medier. Men der mangler fokus på alt, der hedder programmering, algoritmisk tænkning og alle grundlæggende kompetencer til at skabe med it,« siger Kenny Marek Møller.

Kodesprog skal læres som tysk

Programmering i undervisningen skal åbne elevernes øjne op for, hvad der er muligt med en computer. Og det kan godt sammenlignes med at lære et sprog, mener Janus Sandsgaard.

»Der er noget syntaks og nogle ord og logikker, du skal lære. Og selvfølgelig er der forskel på der, die, das og for eksempel Scratch. Men det handler grundlæggende om at få en maskine, en robot eller noget teknologi til at lystre. Ligesom du kan interagere med en tysker, når du har lært din kasserollebøjning,« mener Janus Sandsgaard.

Selvom tysk er mindre foranderligt end de fleste programmeringssprog, frygter chefkonsulenten ikke, at elevernes computerviden bliver forældet, inden de kan bruge den for alvor.

»Det giver en forståelse for, at der omme bag den glatte brugerflade er noget teknik, som man kan gradbøje og få til at arte sig. Selvom man har lært Comal 80 eller Pascal, så har du stadig fået en generisk kompetence, der bringer anden teknisk viden inden for rækkevide,« fastslår Janus Sandsgaard.

Mangler grundlæggende kompetencer

Mens alle skoleelever gerne skal både læse, skrive og regne, så accepteres det, at nogle elever ikke er teknisk orienterede. Og det er en fejl, mener Kenny Marek Møller, som ser mange veje ind i computerverdenens logik – for eksempel gennem det populære og modificerebare spil Minecraft.

»Det centrale er, at man forstår grundlæggende koncepter som løkker og variabler og det at tænke algoritmisk i forhold til at løse komplekse problemstillinger. Hvis den forståelse først kommer, når man skal begynde at programmere, så når man ikke særlig langt i undervisningen,« siger han.

Kenny Marek Møller underviser på ITU og besøger også gymnasier rundt om i landet. Derfor ser han også konsekvenserne af, at eleverne ikke stifter bekendtskab med programmering i folkeskolen.

»Det betyder, at når de kommer videre til gymnasiet og universitetet, så mangler de grundlæggende kompetencer og forståelser til at kunne starte på gymnasie- eller universitetsniveau.«

Både i England og Estland har man sat programmering på skoleskemaet. Her bruges blandt andet LEGO’s programmerbare Mindstorm-robot, og eleverne kan blive introduceret for faget allerede i første klasse.

Lad mig sige det som det er: lokale administratorer er sendt fra de mørkeste afkroge af Helvede. De er IT-afdelingens værste mareridt og blandt virksomhedens største IT risici. Virksomhedens klienter og brugere er ekstremt sårbare og typisk voldsomt eksponerede elementer. Tildeles de administrative privilegier, så er der ikke langt til total kompromittering af miljøet (herunder Active Directory), hvis man altså ikke har taget sine forholdsregler.

Er man IT-ansvarlig i en organisation, hvor brugerne er lokale administratorer, altså brugere der til daglig er logget på med administrative privilegier på den lokale maskine, så vil jeg håbe, at man allerede har udvist rettidig omhu ved at meddele den øverste ledelse, at IT-afdelingen på ingen måde kan garantere, at involverede maskiner er sikre, pålidelige og brugbare. Hvis ledelsen mener, at virksomheden kan leve med en sådan risiko, jamen så er det jo fint, bevares – bare få det på skrift og tag det op igen med jævne mellemrum!

En del IT-afdelinger har efterhånden fået rettet organisationen ind, ofte trods intens modstand fra ledelse og brugere, men alt for mange halter fortsat bagud. Nogle organisationer har sågar stadig brugere, der logger på deres arbejdsstation med Domain Admin rettigheder, mens de surfer Internettet og behandler e-mail. En absolut uansvarlig praksis i disse tider!

Jeg har hørt rigtig mange argumenter for hvorfor, man stadig har lokale administratorer. I tidligere udgaver af Windows var der da også gode argumenter for en sådan praksis. De fleste af disse argumenter er bare ikke holdbare længere. Nu om dage findes der en række teknologier og løsninger til at undgå disse lokale “eneherskere”.

Det skal i denne forbindelse bemærkes, at User Account Control (UAC) IKKE er løsningen. Fast User Switching er en bedre option, idet der her oprettes helt separate user sessioner – én til normal bruger aktivitet, og én til administrative opgaver. To forskellige brugerkonti.

Typiske undskyldninger

• “Jamen, vi har antivirus på alle maskiner!”
  Desværre kan man ikke regne med, at ens antivirus/-malware tager sig af skraldet. Brian Dye fra Symantec udtalte for nyligt, at antivirus er “død”, og estimerede, at antivirus kun fanger omkring 45% af malware angreb. Det er relativ nemt at omgå AV signaturer og generere obfuskeret kode. Hermed ikke sagt, at man skal droppe dette lag af beskyttelse.

• “Jamen, vi har udviklere der skal kunne X, Y eller Z!”
  Udviklere hører som udgangspunkt til i separate udviklingsmiljøer. På produktionsmiljøet er de ikke “udviklere”, men blot almindelige brugere. I en tid med virtuelle maskiner, herunder flere gratis muligheder så som VMware Player, Hyper-V, VirtualBox m.v., kan de hygge sig i isolerede test-miljøer, indtil deres kode er klar til signering og udrulning i produktion.

• “Jamen, vi har en applikationer der kræver at brugerne er lokale administratorer!”
  Dér har I så jeres problem: applikationerne. Invester i mere tidssvarende applikationer, udviklet af organisationer med forstand på sikker softwareudvikling. Dertil kan man se på eksempelvis Citrix eller Microsoft RemoteApp funktionalitet, virtualisering af software, samt Application Compatibility Toolkit.

• “Jamen, vi har begrænset hvad de lokale administrator brugere kan!”
  Nej, det kan ikke lade sig gøre. En lokal administrator kan omgå enhver begrænsning på den lokale maskine: Group Policy indstillinger, AppLocker, NTFS-rettigheder osv. Forsøg på at begrænse en lokal administrators muligheder på en lokal Windows maskine er en kamp, der ikke kan vindes.

• ”Jamen, direktøren vil være administrator!”
  Jo mere følsom information en person har adgang til, jo strammere bør sikkerheden være omkring denne persons brugerkonti og udstyr – for jo bedre et mål er man for en angriber (f.eks. spearfishing angreb). Det er derfor direkte uforsvarligt af en direktør (eller anden VIP’er) at kræve, at han eller hun bliver administrator på egen PC. Risikoens omfang bør i al fald beskrives klart og leveres på skrift til virksomhedens ledelse.

Hvad kan en lokal administrator egentlig på Windows?

Det er væsentligt at forstå, at en lokal administrator stort set ingen begrænsninger har på den lokale maskine, slet ikke kombineret med fysisk adgang. I administrativ brugerkontekst kan man bl.a.:

• Installere og afinstallere software (væk med antivirus og ind med yndlingsbrowser X og software Y som i øvrigt ikke patches af IT)
• Installere og afinstallere hardware og drivere (indsæt 4G modem, installer driver og surf uden om den centrale proxy filtrering)
• Starte, stoppe, installere og afinstallere services (stop antivirus, HIDS og diverse overvågningsagenter)
• Eksekvere enhver kode efter eget ønske (kør keyloggere, scripts, netværksscannere og hacker værktøjer)
• Ændre enhver konfiguration af systemet (deaktiver/modificer firewall, AppLocker, sikkerhedspolitikker, registreringsdatabaseindstillinger, filsystem m.v.)
• Ændre hvem der kan hvad på PC’en (lokale brugere og grupper, sikkerhedspolitikker, registreringsdatabaserettigheder m.v.)
• Udtrække produktnøgler på installeret software (så kan virksomhedens software installeres på andre PC’er også)
• Overtage data fra andre brugere på PC’en (overtag ejerskabet af filer på disken eller data i hukommelsen)
• Udtrække certifikater med private nøgler (personlige, PC’en selv (System) og andre brugere – og så kan man importere på sit private udstyr)
• Slette, ændre og tilføje log-hændelser (ødelægge sporbarhed og obstruere efterforskning)
• Trække password hash værdier og process tokens ud af maskinens lager og hukommelse, og anvende dem til andre formål (identitetstyveri, Pass-the-Hash, Pass-the-Ticket og adgang til følsom data)
• Sikre sig fremtidig kontrol over systemet (oprette snedige bagdøre og installere software til fjernovertagelse)

Med andre ord: kun fantasien sætter grænser – og det er ikke helt unikt for Windows. De fleste operativsystemer er bygget til at adlyde deres administrator(er).

Andre brugere, herunder i særdeleshed Domain Admins, bør under ingen omstændigheder logge på en maskine, som er under en anden brugers fulde kontrol. Ikke at denne bruger nødvendigvis er teknisk kompetent og ondsindet, men vedkommende kan være angrebet af malware, som har udnyttet de mange rettigheder til at overtage systemet, oprette fjernstyringsmuligheder og bagveje for fremmede entiteter. Blindt at tiltro et potentielt kompromitteret system ens brugernavn og adgangskode (credentials) er direkte skødesløst. Disse dage må udgangspunktet desværre være, at ens klienter er kompromitterede. Så undgå at logge på med priviligerede konti.

Statistisk set

En interessant og meget relevant rapport fra Avecto udkom februar i år (2014). Her konkluderes det, at man kan eliminere hele 92% af de kritiske sårbarheder rapporteret af Microsoft ved at fjerne brugernes lokale administratorrettigheder. Det må siges at være en yderst effektiv metode til at minimere sine risici.

Nedenstående illustration fra forsiden er en rimelig opsummering:

PC’en er et værktøj, ikke et stykke legetøj

Virksomheden bør opfatte enhver PC som et præcisionsværktøj, der er begrænset til at udfylde klart afdækkede og definerede behov for virksomheden, selvfølgelig set i lyset af brugerens konkrete rolle. Det er ikke en ubegrænset platform til fri leg blandt IT-verdenens forunderlige vidundere under Internettets betagende himmelhvælving. De fleste har egne PC’er og/eller tablet derhjemme nu om dage. Lad dem lege og boltre sig der.

Den tid hvor brugerne skal have lov til at installere og eksekvere lige hvad de har lyst til, er forbi. Teknologier som AppLocker i whitelisting mode og EMET i stram konfiguration, bør være standard på Windows klienter og servere.

At brugerne er en signifikant risiko er ingen nyhed. De lokkes relativt nemt til at klikke på links i fishing mails og på sociale netværkssider. De accepterer blindt advarselsmeddelelser om ugyldige certifikater og utroværdige software kilder. De kan snydes med simple Social Engineering tricks over telefonen. De kan også gå hen og blive utilfredse og ondsindede. Så tag konsekvensen af det og minimer risikoen for kompromittering:

• Uddan brugerne i nutidige hacker-metoder og IT-risici
• Fratag brugerne deres lokale administratorrettigheder
• Tænk grundigt over hvor du efterlader dine priviligerede credentials

Dét er effektivt forsvar!

Eksterne kilder

• Less Than Half of Employees Receive Security Awareness Training
• 56% of employees still receive no security awareness training
• Utilfredse ansatte straffer chefen med tyveri
• Tyveri på arbejdspladsen
• Microsoft Vulnerabilities Study 2013
• #TBT : Be Safer–Run as Standard User
• Inside Windows Vista User Account Control

Lad mig sige det som det er: lokale administratorer er sendt fra de mørkeste afkroge af Helvede. De er IT-afdelingens værste mareridt og blandt virksomhedens største IT risici. Virksomhedens klienter og brugere er ekstremt sårbare og typisk voldsomt eksponerede elementer. Tildeles de administrative privilegier, så er der ikke langt til total kompromittering af miljøet (herunder Active Directory), hvis man altså ikke har taget sine forholdsregler.

Er man IT-ansvarlig i en organisation, hvor brugerne er lokale administratorer, altså brugere der til daglig er logget på med administrative privilegier på den lokale maskine, så vil jeg håbe, at man allerede har udvist rettidig omhu ved at meddele den øverste ledelse, at IT-afdelingen på ingen måde kan garantere, at involverede maskiner er sikre, pålidelige og brugbare. Hvis ledelsen mener, at virksomheden kan leve med en sådan risiko, jamen så er det jo fint, bevares – bare få det på skrift og tag det op igen med jævne mellemrum!

En del IT-afdelinger har efterhånden fået rettet organisationen ind, ofte trods intens modstand fra ledelse og brugere, men alt for mange halter fortsat bagud. Nogle organisationer har sågar stadig brugere, der logger på deres arbejdsstation med Domain Admin rettigheder, mens de surfer Internettet og behandler e-mail. En absolut uansvarlig praksis i disse tider!

Jeg har hørt rigtig mange argumenter for hvorfor, man stadig har lokale administratorer. I tidligere udgaver af Windows var der da også gode argumenter for en sådan praksis. De fleste af disse argumenter er bare ikke holdbare længere. Nu om dage findes der en række teknologier og løsninger til at undgå disse lokale “eneherskere”.

Det skal i denne forbindelse bemærkes, at User Account Control (UAC) IKKE er løsningen. Fast User Switching er en bedre option, idet der her oprettes helt separate user sessioner – én til normal bruger aktivitet, og én til administrative opgaver. To forskellige brugerkonti.

Typiske undskyldninger

• “Jamen, vi har antivirus på alle maskiner!”
  Desværre kan man ikke regne med, at ens antivirus/-malware tager sig af skraldet. Brian Dye fra Symantec udtalte for nyligt, at antivirus er “død”, og estimerede, at antivirus kun fanger omkring 45% af malware angreb. Det er relativ nemt at omgå AV signaturer og generere obfuskeret kode. Hermed ikke sagt, at man skal droppe dette lag af beskyttelse.

• “Jamen, vi har udviklere der skal kunne X, Y eller Z!”
  Udviklere hører som udgangspunkt til i separate udviklingsmiljøer. På produktionsmiljøet er de ikke “udviklere”, men blot almindelige brugere. I en tid med virtuelle maskiner, herunder flere gratis muligheder så som VMware Player, Hyper-V, VirtualBox m.v., kan de hygge sig i isolerede test-miljøer, indtil deres kode er klar til signering og udrulning i produktion.

• “Jamen, vi har en applikationer der kræver at brugerne er lokale administratorer!”
  Dér har I så jeres problem: applikationerne. Invester i mere tidssvarende applikationer, udviklet af organisationer med forstand på sikker softwareudvikling. Dertil kan man se på eksempelvis Citrix eller Microsoft RemoteApp funktionalitet, virtualisering af software, samt Application Compatibility Toolkit.

• “Jamen, vi har begrænset hvad de lokale administrator brugere kan!”
  Nej, det kan ikke lade sig gøre. En lokal administrator kan omgå enhver begrænsning på den lokale maskine: Group Policy indstillinger, AppLocker, NTFS-rettigheder osv. Forsøg på at begrænse en lokal administrators muligheder på en lokal Windows maskine er en kamp, der ikke kan vindes.

• ”Jamen, direktøren vil være administrator!”
  Jo mere følsom information en person har adgang til, jo strammere bør sikkerheden være omkring denne persons brugerkonti og udstyr – for jo bedre et mål er man for en angriber (f.eks. spearfishing angreb). Det er derfor direkte uforsvarligt af en direktør (eller anden VIP’er) at kræve, at han eller hun bliver administrator på egen PC. Risikoens omfang bør i al fald beskrives klart og leveres på skrift til virksomhedens ledelse.

Hvad kan en lokal administrator egentlig på Windows?

Det er væsentligt at forstå, at en lokal administrator stort set ingen begrænsninger har på den lokale maskine, slet ikke kombineret med fysisk adgang. I administrativ brugerkontekst kan man bl.a.:

• Installere og afinstallere software (væk med antivirus og ind med yndlingsbrowser X og software Y som i øvrigt ikke patches af IT)
• Installere og afinstallere hardware og drivere (indsæt 4G modem, installer driver og surf uden om den centrale proxy filtrering)
• Starte, stoppe, installere og afinstallere services (stop antivirus, HIDS og diverse overvågningsagenter)
• Eksekvere enhver kode efter eget ønske (kør keyloggere, scripts, netværksscannere og hacker værktøjer)
• Ændre enhver konfiguration af systemet (deaktiver/modificer firewall, AppLocker, sikkerhedspolitikker, registreringsdatabaseindstillinger, filsystem m.v.)
• Ændre hvem der kan hvad på PC’en (lokale brugere og grupper, sikkerhedspolitikker, registreringsdatabaserettigheder m.v.)
• Udtrække produktnøgler på installeret software (så kan virksomhedens software installeres på andre PC’er også)
• Overtage data fra andre brugere på PC’en (overtag ejerskabet af filer på disken eller data i hukommelsen)
• Udtrække certifikater med private nøgler (personlige, PC’en selv (System) og andre brugere – og så kan man importere på sit private udstyr)
• Slette, ændre og tilføje log-hændelser (ødelægge sporbarhed og obstruere efterforskning)
• Trække password hash værdier og process tokens ud af maskinens lager og hukommelse, og anvende dem til andre formål (identitetstyveri, Pass-the-Hash, Pass-the-Ticket og adgang til følsom data)
• Sikre sig fremtidig kontrol over systemet (oprette snedige bagdøre og installere software til fjernovertagelse)

Med andre ord: kun fantasien sætter grænser – og det er ikke helt unikt for Windows. De fleste operativsystemer er bygget til at adlyde deres administrator(er).

Andre brugere, herunder i særdeleshed Domain Admins, bør under ingen omstændigheder logge på en maskine, som er under en anden brugers fulde kontrol. Ikke at denne bruger nødvendigvis er teknisk kompetent og ondsindet, men vedkommende kan være angrebet af malware, som har udnyttet de mange rettigheder til at overtage systemet, oprette fjernstyringsmuligheder og bagveje for fremmede entiteter. Blindt at tiltro et potentielt kompromitteret system ens brugernavn og adgangskode (credentials) er direkte skødesløst. Disse dage må udgangspunktet desværre være, at ens klienter er kompromitterede. Så undgå at logge på med priviligerede konti.

Statistisk set

En interessant og meget relevant rapport fra Avecto udkom februar i år (2014). Her konkluderes det, at man kan eliminere hele 92% af de kritiske sårbarheder rapporteret af Microsoft ved at fjerne brugernes lokale administratorrettigheder. Det må siges at være en yderst effektiv metode til at minimere sine risici.

Nedenstående illustration fra forsiden er en rimelig opsummering:

PC’en er et værktøj, ikke et stykke legetøj

Virksomheden bør opfatte enhver PC som et præcisionsværktøj, der er begrænset til at udfylde klart afdækkede og definerede behov for virksomheden, selvfølgelig set i lyset af brugerens konkrete rolle. Det er ikke en ubegrænset platform til fri leg blandt IT-verdenens forunderlige vidundere under Internettets betagende himmelhvælving. De fleste har egne PC’er og/eller tablet derhjemme nu om dage. Lad dem lege og boltre sig der.

Den tid hvor brugerne skal have lov til at installere og eksekvere lige hvad de har lyst til, er forbi. Teknologier som AppLocker i whitelisting mode og EMET i stram konfiguration, bør være standard på Windows klienter og servere.

At brugerne er en signifikant risiko er ingen nyhed. De lokkes relativt nemt til at klikke på links i fishing mails og på sociale netværkssider. De accepterer blindt advarselsmeddelelser om ugyldige certifikater og utroværdige software kilder. De kan snydes med simple Social Engineering tricks over telefonen. De kan også gå hen og blive utilfredse og ondsindede. Så tag konsekvensen af det og minimer risikoen for kompromittering:

• Uddan brugerne i nutidige hacker-metoder og IT-risici
• Fratag brugerne deres lokale administratorrettigheder
• Tænk grundigt over hvor du efterlader dine priviligerede credentials

Dét er effektivt forsvar!

Eksterne kilder

• Less Than Half of Employees Receive Security Awareness Training
• 56% of employees still receive no security awareness training
• Utilfredse ansatte straffer chefen med tyveri
• Tyveri på arbejdspladsen
• Microsoft Vulnerabilities Study 2013
• #TBT : Be Safer–Run as Standard User
• Inside Windows Vista User Account Control