Hoeveel enterprise admins is te veel?
Gepubliceerd: Woensdag 30 juni 2010
Auteur: Roger A. Grimes
Vaak word me gevraagd hoeveel enterprise admins (gebruikers met de meeste privileges op een Windows netwerk) een bedrijf moet hebben. Het antwoord is even simpel als eensluidend: zo weinig mogelijk.
Het uitdelen van dit soort rechten aan iedereen die er om vraagt is een heel goede manier om je netwerk open te stellen voor aanvallen. Als je een eerste stap wilt zetten naar het verkleinen van het risico, dan zul je het aantal enterprise admins dus tot het minimum moeten terugbrengen. Bovendien moet je het aantal keren dat ze moeten aanloggen beperken.
Surfen als admin
Het specifieke aantal dat je nodig hebt ligt heel erg aan de eisen van het bedrijf en de manier waarop de omgeving is opgezet. Maar waarschijnlijk is een aantal van twee of drie een mooi optimum. Maar bij sommige bedrijven heb ik er tientallen of zelfs meer dan honderd geteld. In veel organisaties wordt vrijwel elke systeembeheerder en elke helpdeskmedewerker toegevoegd aan de enterprise admins groep, zodat ze makkelijk computers kunnen repareren en configureren. Vervolgens gebruiken deze werknemers hun enterprise admin account niet alleen om het netwerk te beheren, maar ook om er hun e-mail op te halen en over het web te surfen. Tot grote vreugde van de hackers.
Enterprise adminrechten zouden niet alleen met de grootste zorg moeten worden uitgedeeld, ze moeten ook zorgvuldig worden gebruikt. Zulke accounts zouden alleen mogen worden gebruikt voor taken die meerdere Active Directory domeinen omspannen, en voor activiteiten die echt meer rechten vereisen, zoals aanpassingen maken in de netwerkconfiguratie. Enterprise admins zouden niet aangelogd moeten zijn om over het web te surfen, e-mail te lezen, of wat voor taak dan ook waarvoor je dat soort rechten helemaal niet nodig hebt.
De Active Directory aanpak
In de meeste gevallen kunnen beheerders worden toegevoegd aan de Domain Admins groep, die trouwens bijna even goed moet worden beschermd als de Enterpise Admins. Verder kun je Active Directory delegation gebruiken. Moet je alle gebruikers in een forest beheren? Gebruik dan de Active Directory delegation. Heb je de volledige controle nodig over elk bestand, elke folder en regestry key op een server? Dan kun je ook weer Active Directory delegation proberen. Het is lastig om scenario's te bedenken waarin delegatie niet beter werkt dan het toevoegen van hordes gebruikers aan de enterprise admins groep.
Er kleeft natuurlijk ook een nadeel aan Active Directory delegation: Het is lastig bij controles. Delegation creëert een soort granular security permissies die moeilijk zijn te verzamelen over het hele bedrijf, tenzij je controletools draait op elke forest-joined computer. Dat is een groot probleem, maar toch heb ik het liever dan dat een gebruiker standaard de volledige controle krijgt over elk onderdeel in een forest.
