Als ict-adviseur kom ik regelmatig de situatie tegen dat gebruikers op hun werkplek (laptop of pc) administrator (of root) zijn. Iedere securityspecialist weet dat dit één van de slechtste ideeën is. Malware kan dan zeer eenvoudig toegang krijgen tot en zich onzichtbaar nestelen in het systeem. De virusscanners en andere lokaal draaiende securitytools zullen de malware dan ook niet meer detecteren.
Nu kun je kort door de bocht zijn en zeggen dat je dit niet moet willen. Dat is op zich correct, maar vaak zijn de gebruikerswensen anders. Hierbij kun je een onderscheid maken tussen twee typen gebruikerswensen:
- Applicatie gedreven. Om een specifieke applicatie te kunnen gebruiken heeft de gebruiker administrator rechten nodig, deze zijn vaak nodig om speciale updates of handelingen uit te voeren. Hiervoor heeft de gebruiker dus niet constant de admin-rechten nodig. Wat steeds minder vaak voorkomt, is dat de applicatie zelf eist dat het draait met admin-rechten. Dit laatste type applicaties zou idealiter uitgefaseerd moeten worden.
- Werk gedreven. Een aantal van mijn klanten hebben engineers in dienst, die onderhoud uitvoeren aan apparatuur van klanten. Vaak hebben ze hiervoor speciale software nodig, die over het algemeen admin-rechten nodig heeft om hardware aan te spreken.
Een werkplek wordt tegenwoordig standaard uitgerust met een up-to-date virusscanner en optioneel de nodige andere securitytools. Helaas kan iemand met admin-rechten alles doen op zijn werkplek, dus ook alle securitysoftware uitschakelen. Als de gebruiker dit kan, kan een virus dit ook. Een infectie met een virus bestaat uit een aantal stappen en de eerste stap is altijd het uitschakelen of aanpassen van de securitysoftware. Pas daarna zal de daadwerkelijk infectie plaats vinden.
Complete verstoring netwerk
Eén besmette werkplek zou je wellicht niet direct ernstig kunnen noemen, maar niets is minder waar. Pas geleden werd ik opgeroepen om een klant te helpen met ernstige netwerkproblemen. De verstoring was soms zo erg, dat niemand meer kon werken. Meestal hield het na één of twee uur wel weer op, maar het bedrijf had ondertussen wel een paar uur stil gelegen. Een oorzaak was niet direct aan te wijzen, het netwerk zag er goed uit en toonde geen overbelasting. Wel was een hogere belasting zichtbaar gedurende de uren dat het netwerk niet functioneerde. De belasting was echter niet zó hoog dat dit kon leiden tot een complete verstoring van het netwerk.
Diverse gebruikers hadden admin-rechten op hun werkplek. Direct viel me al op dat bij meerdere gebruikers de antivirus software uit stond. Gebruikers hadden dit zelf gedaan, omdat ze er last van hadden. Toen we de logs van de antivirus server en firewall naast elkaar legden, viel een aantal werkplekken negatief op. We forceerden de installatie van de antivirussoftware en onmiddellijk gingen de alarmbellen af. De werkplekken waren geïnfecteerd met een virus. Bij een verdere studie blek het te gaan om een botnet. De werkplekken zijn vervolgens ingenomen, volledig geformatteerd, et cetera.
Sudo en runas
Nu is het niet zo dat een gebruiker altijd die admin-rechten nodig heeft. Sterker nog, de gebruiker heeft steeds minder rechten nodig om zijn werk te kunnen doen. Een modern besturingssysteem kent een commando als ‘sudo’ of ‘runas’. Dit type commando geeft een gebruiker de mogelijkheid om tijdelijk zijn rechten te verhogen voor één commando of applicatie. De overige processen blijven dan doordraaien onder standaard gebruikersrecht.
Toch gebeurt dit maar heel weinig. Gebruikers ervaren het als ‘lastig’ en zijn ervan overtuigd dat ze heel goed weten wat ze doen. Juist het laatste is niet waar. Aanvallers worden steeds slimmer in het misleiden van gebruikers. Er is dan ook alle reden om aan te nemen dat een gebruiker een keer ‘beetgenomen’ wordt. Je moet er dus vanuit gaan dat vandaag of morgen een werkplek besmet raakt met een virus en er alles aan gedaan moet worden om een uitbraak tegen te gaan.
Als men niet wil werken met ‘runas’ of ‘sudo’, moet er een andere strategie bedacht worden. Begin met voorlichting. Geef duidelijk aan wat de risico’s zijn en geef de gebruiker ook handvatten om hiermee om te gaan. Als de voorlichting goed is, zal een gebruiker vaak al willen overstappen op ‘runas’ of ‘ sudo’.
Directe toegang
Ga er vanuit dat, ondanks de voorlichting, er iets mis gaat. De werkplek zal op een zeker moment worden geïnfecteerd. Benader deze werkplekken dan ook als elk ander systeem op het internet: totaal onbetrouwbaar. De werkplek wordt gebruikt voor aanvallen op je netwerk, neem dus ook de juiste maatregelen. Geef de werkplek zelf niet direct toegang tot je interne netwerk, maar plaats hem in een apart netwerk. Vervolgens geef je de gebruiker toegang tot interne resources op basis van een vdi- of sbc-werkplek. Er zijn genoeg technieken om dit type werkplek aan te bieden aan externe gebruikers. In sommige gevallen zal een gebruiker ook direct toegang willen tot documentatie of e-mail. Dan kun je goed gebruik maken van verschillende clouddiensten.
Waar het om gaat is, dat je zo min mogelijk bedrijfsdata lokaal op het systeem krijgt. Daar waar het echt noodzakelijk is om lokaal data op te slaan, moet er goed gekeken worden om welke data het gaat. Alle bedrijfsdata die je niet op ‘vreemde’ systemen wilt hebben, mogen dus ook niet door de gebruiker gedownload worden naar zijn werkplek.
Terugzetten standaard image
Wat overblijft is ondersteuning. Als je een werkplek goed beheert, kan deze rustig enkele jaren mee. Maar je kunt er vanuit gaan dat je, gedurende die jaren, continu zult moeten bijsturen. Tenslotte zal een gebruiker die zijn werkplek goed beheert, niet willen werken met een admin-account. Er zijn dus duidelijke afspraken nodig tussen ict en de gebruiker. De ondersteuning zou dan ook niet verder moeten gaan dan het terugzetten van een standaard image en het vervangen van defecte hardware.
In de eerste plaats is het dus zaak dat je het admin-recht ter discussie stelt. Voor een standaard gebruiker is het admin-recht niet noodzakelijk. Voor gebruikers die wel het admin-recht nodig hebben, is een stukje opvoeding belangrijk. Begin bij het uitleggen van ‘runas’ of ‘sudo’. Mocht dit geen optie zijn, dan moet je als ict-afdeling de verantwoording bij de gebruiker leggen en alleen ondersteunen op ‘best effort’.
Er wordt naar een beperkt aantal aspecten uit de beveiliging gekeken. Net zo belangrijk is een goed ingestelde firewall, goede configuratie van services op pc(server, remote registry e.d uit als het niet nodig is).
en de opbouw van het os zal beter moeten, zodat elke app in een soort sandbox komt.
vanuit gebruikers-perspectief is het ook van belang dat een IT-afdeling zich dienstbaar opstelt en snel reageert. Als een gebruiker vastzit vanwege beperkingen, en pas na dagen geholpen wordt, zal hij de volgende keer naar quick & dirty oplossingen zoeken om maar door te kunnen.
Het één hoeft het ander niet uit te sluiten. Ik werk zelf al een aantal jaar in een R&D omgeving, waar ik zelf software moet kunnen installeren en configureren op mijn eigen systeem (o.a. voor testdoeleinden, maar af en toe ook om iets nieuws uit te kunnen proberen).
Ik heb alle benodigde admin rechten om dit te kunnen uitvoeren, maar om mijn virusscanner uit te kunnen zetten, moet ik heel wat meer truuks uithalen; standaard kan dit niet.
Met deze combinatie kan ik perfect uit de voeten.
De virusscanner kan wel uit als ik dat per sé zou willen, maar dan ben ik bewust risico’s aan het introduceren. Dan komt het genoemde stukje opvoeding om de hoek kijken.
De policy van de zaak is daar ook heel eenvoudig in: Serieuze problemen met je PC als je deze rechten hebt betekent herinstallatie. Punt. Einde discussie. Zeker in het geval van virussen/malware etc.
Dit artikel lijkt wel FUD, met als doel om het management bang te maken voor “local admins”!
Wil je local admin rechten krijgen, dan moet je engineer / power user zijn, “gewone” gebruikers krijgen die rechten niet.
Power users zijn geen gewone gebruikers, ze hebben meer verstand van computers (en beveiliging) dan gewone gebruikers, en het zijn professionals. Ze misbruiken hun rechten dus niet om Popcorn Time of illegale software te installeren, ze gebruiken hun rechten om hun werk te kunnen doen. En ze kunnen hun werk doen met ingeschakelde virusscanner. De kans dat een local admin een virus of een andere malware besmetting krijgt is nihil.
En mochten er toch pc-problemen optreden, dan is het pc wissen en herinstalleren, zoals pavake al zei.
Overigens zijn virusscanners al lang niet meer zo belangrijk als vroeger. De OS-en zijn veel beter en veiliger geworden, en de grootste bedreigingen zijn niet meer technisch (virussen) maar sociaal (phishing).
@Frank
Als je dit FUD noemt, dan snap je niet de boodschap. Ik wil niemand bang maken voor ” local admins”. Ik observeer een issue die ik regelmatig tegen kom en adresser hem. Juist het uitgangspunt “Power users zijn geen gewone gebruikers, ze hebben meer verstand van computers (en beveiliging) dan gewone gebruikers, en het zijn professionals. Ze misbruiken hun rechten dus niet om Popcorn Time of illegale software te installeren, ze gebruiken hun rechten om hun werk te kunnen doen.”, is een valkuil. Power users hebben niet per definitie meer verstand van computers, maar vaak juist wel behoeft om meer te kunnen. Als organisatie moet je goed bewust zijn wat de risico’s hiervan zijn. Er vanuit gaan “ze snappen wel wat ze doen” is de deur open zetten.
@Martijn
Je hebt verschillende soorten power users. De power users die veel complexe bewerkingen op grote datasets moeten uitvoeren zijn power users, maar die hebben gewoon een rappe computer nodig, die hebben geen local admin toegang nodig. Het zijn wel professionals op hun gebied, maar zijn mogelijk amateurs op ICT gebied.
Je hebt ook power users die meer toegangsrechten moeten hebben om hun werk te kunnen doen. Dat zijn wel professionals op ICT gebied.
Maar local admin rechten hebben wil niet zeggen dat die firewall uit moet, of dat de virusscanner gestopt kan worden. Dat staat los van elkaar.
Maar zelfs met firewall, met virusscanner en zonder local admin rechten is het mogelijk om vertrouwelijke documenten naar je concurrent te mailen. Zijn organisaties zich daar wel van bewust?
Staar je niet blind op het local admin “probleem”. Dat probleem bestaat niet, is hooguit nihil, en pavake heeft er al een oplossing voor als het toch ooit fout gaat.
@Frank
Dit artikel bespreekt 1 security issue en niet alle security issues. Dat zou ik kunnen gaan doen, maar dan kan ik beter een boek schrijven (of boeken 😉 ). Waar mij het om gaat is niet het afnemen van rechten, maar de rechten op de juiste manier geven. Vandaar dat ik ook begin over Runas of Sudo. De gebruiker (power user) heeft dan wel de rechten, maar niet onder zijn standaard gebruikers account. Hiervoor moet hij dus een extra wachtwoord invoeren.
Staar je dus niet blind op wat gebruikers vinden dat ze moeten hebben, maar kijk goed wat echt nodig is. Verder herhaald Pa Va Ke wat ik zeg.
@Martijn
Iemand die voor z’n werk “root” of “admin” moet zijn, is dat doorgaans voor een korte periode, niet continu. Voor die ene taak, voor die ene aanpassing. Als hij/zij een mail dicht of een sheet edit, dan zijn adminrechten niet nodig.
Ik heb het over het gecontroleerd, doorgaans met beperkte tijdsduur, admin / root zijn. Dus inderdaad ongeveer zoals Runas of Sudo. Zo is iemand zich er bewust van dat hij/zij admin is, en zal dan (als het goed is) ook alerter zijn.
Normaal draai je onder je eigen naam (PietjePuk), je klikt op je “powertool”, je krijgt een prompt, je logt in met LocalAdmin, et voilà, je bent even admin op je eigen pc.
Als mensen altijd local admin zijn, dan moet je je afvragen of hun omgeving wel goed is ingericht en of hun tools wel goed ontworpen zijn.
Hoi Martijn,
Ik zie inderdaad waar je zorgen vandaan komen, maar ik mis een groep gebruikers in je artikel, namelijk de ontwikkelaars. Het gaat er dan vooral om het installeren van software voor allerlei verschillende projecten: IDE’s, libraries, tools, eigen software, enzovoorts. En het updaten van al die software. Daarnaast moet je soms ook hardware kunnen aanspreken. Elke keer bellen met de service-afdeling kost erg veel tijd en is erg inefficiënt voor beide kanten.
Het lijkt me een goede oplossing om krachtige VM-machines beschikbaar te stellen of inderdaad met sudo te werken of een apart netwerk te gebruiken. Daarnaast moeten de ontwikkelaars wel kennis hebben van de risico’s.