Hoeveel enterprise admins is te veel?
Gepubliceerd: Woensdag 30 juni 2010
Auteur: Roger A. Grimes
Vaak word me gevraagd hoeveel enterprise admins (gebruikers met de meeste privileges op een Windows netwerk) een bedrijf moet hebben. Het antwoord is even simpel als eensluidend: zo weinig mogelijk.
Het halve werk
Het terugdringen van het aantal admin accounts met veel rechten brengt je al halverwege een verminderd risico, maar het is niet het enige dat je kunt doen. Andere aanbevelingen zijn dat admin accounts lange wachtwoorden moeten hebben, minstens 15 karakters. Daarnaast moeten wachtwoorden regelmatig veranderd worden, om de 90 dagen is prima, hoewel ik met wachtwoorden van 15 karakters ook best bereid ben om 180 dagen toe te staan.
Wachtwoorden van gedeelde accounts moeten ook elke keer veranderd worden als er een lid van baan verandert. Veel bedrijven eisen nu two-factor authenticatie (zoals smartcards of biometrische authenticatie) voor beheerders. Dat is een heel goede zaak, maar misscien is dat toch wel wat duur voor beheerders alleen.
Daarnaast ben ik een grote fan van het aanmaken van dedicated admin werkstations voor domein- of enterprise admins. Zulke gebruikers met veel rechten zouden zo weinig mogelijk moeten inloggen op gewone werkstations om problemen op te sporen. Je weet nooit wat voor malware daar op staat. Een enkele logon kan je hele netwerk in gevaar brengen. Het gebruik van dedicated admin werkstation, die superschoon worden gehouden en alleen voor beheertaken worden gebruikt, is een goede manier om gevoelige logongegevens te beschermen. Er zijn bedrijven die eisen dat gebruikers vanuit 'vervuilde werkstations' van afstand inloggen op schone admin virtuele machines. Maar dat is een halfslachtige oplossing, omdat het niet beschermt tegen lokaal geïnstalleerde key loggers.
Als een gebruiker met veel rechten toch moet aanloggen op een nondedicated werkstation of server, dan zou de admin de computer altijd moeten rebooten nadat hij heeft gedaan wat hij moest doen (als dat tenminste mogelijk is), om de verhoogde rechten uit het geheugen te wissen. Als dat niet gebeurt, dan kan iemand met pass-the-hash tools de hashes te pakken kunnen krijgen en hergebruiken om meer rechten te krijgen.
Eenmalig wachtwoord
Ook ben ik er voorstander van om software van derden te gebruiken die bedrijven helpt om de accounts met meer rechten te beheren. Ik kom vaak de identity manager oplossingen van Cyber Ark tegen. Dat is mooi spul en perfect voor het beheren van dit soort accounts. Admin accounts kunnen worden bewaard in een digitale kluis, en dan worden ze beschermd door granulare policies die rules afdwingen en checkoutprocedures voordat zo'n account kan worden gebruikt. Een van mijn favoriete features is het eenmalige wachtwoord, waarbij het wachtwoord wordt veranderd voor elke gebruiker en elke gelegenheid. Je kunt er ook makkelijk mee nagaan wie wanneer welk account heeft gebruikt.
In Windows Vista en hoger kun je speciale audit events aanmaken voor elke keer dat iemand van een bepaalde groep aanlogt. Zie KB947223 voor meer informatie. In een notendop komt het erop neer dat je een of meer groepen definieert (met behulp van hun SID's) in een lokale registry key (HKLM/System/currentControlSet/Control/Lsa/Audit/SpecialGroups); daarna zal Windows een 4964 event ID bericht aanmaken als iemand die tot die bepaalde groep behoort aanlogt. Dat is een geweldige manier om nuttige informatie te krijgen zonder elke keer alle logongegevens te moeten doornemen.
Controle
Hoe je het ook doet, waarschijnlijk moet je om de zoveel tijd controles uitvoeren om te kijken wie lid is van je groep met veel rechten. Waarschijnlijk zal het aantal leden van deze groep toch steeds groeien, omdat tijdelijke admins toch permanent worden gemaakt. Dus zul je de lijst kritisch moeten blijven bekijken, zodat je het aantal admin accounts zo klein mogelijk kunt houden.
Bron: Techworld
