Månedens Cyberemne: Administrative rettigheder

Der findes administrative rettigheder i mange forskellige systemer. De fleste af dem er knyttet til et godkendelsessystem, som fx Microsoft Active Directory (AD) (alternativt cloud-versionen Microsoft Azure AD), hvorfor de styres og uddeles. AD er derfor et rigtigt godt udgangspunkt for arbejdet med admin-rettigheder i kombination med lokale rettigheder knyttet til fx bærbare / stationære computere, som er knyttet til AD eller lokale arbejdsgrupper.

Kom godt i gang med administrative rettigheder

Har du allerede et AD, men som måske har mange år på bagen og ikke helt følger bedste praksis som beskrevet i CIS-kontrol nummer 4, så er følgende et naturligt udgangspunkt for det videre arbejde med administrative rettigheder:

1. Brug princippet om ”Least Privilege”. Dette betyder, at en konto kun skal have de rettigheder, den behøver og ikke flere.

2. Sørg for, at audit-indstillinger på dit AD er sat op efter bedste praksis (se CIS-kontrol nummer 4), så du kan holde øje med ændringer i dit AD. Det gælder også applikationer som fx IIS, DNS, DHCP, OS, SQL m.fl.

3. Ryd op i konti og gruppemedlemskaber og vær specielt opmærksom på flettede (på engelsk: ”Nested”) grupper. Oprydning består i at konti følger en ensartet standard, og at alle konti er dokumenteret med ejer, formål og berørte systemer. Alle konti, som ikke har været brugt et stykke tid, skal de-aktiveres eller slettes.

4. Rettigheder i konti er typisk afhængigt af gruppemedlemskaber. Her er det derfor vigtigt at undersøge, hvilke konti der SKAL være medlem af de 26 systemiske sikkerhedsgrupper og eventuelle egne kritiske sikkerhedsgrupper – typisk til specifikke applikationer og databaser. Er det ikke nødvendigt for en konto at være medlem af en gruppe, SKAL den fjernes fra gruppen. Brugerne må ikke logge på deres klienter med administrative rettigheder, og for administrative konti bør der indføres et opdelt niveau af rettigheder – fx efter Microsoft Tier.

5. Indfør kontroller efter en metode, hvor du skifter mellem manuel godkendelse af konto-rettigheder og audit på ændring af disse rettigheder. Vær opmærksom på frekvensen og relationen til det nødvendige niveau af it-sikkerhed / minimeret risiko.

6. Lav et password-eftersyn og kør med adskilte politikker for brugere og admin-konti efter bedste praksis. Sørg for, at der ikke er delte passwords, samt at der bruges 2FA/MFA ved alt administrativt arbejde. Alle passwords skal have en udløbsdato (på engelsk ’expire date’), og konti bør udløbe 1 gang om året og være kædet sammen med en beviselig accept og forståelse af informationssikkerhedspolitikken. Du kan evt. analysere SAM-databasen for at få en idé om, hvor der anvendes usikre passwords i organisationen og på basis af det indføre en passwordhusker for alle brugerne samt lave målrettet awareness-træning.

7. Gennemfør en passende livscyklushåndering for service-, admin-, eksterne og brugerkonti. Dette kan kædes sammen med automatisering i AD. Lær mere på vores PAM-webinar, som du kan gense her.

8. Overvåg AD for tegn på misbrug af privilegier med et system, der er beregnet til netop dette (opdagelse af anomalier). Vær sikker på en solid proces for at mitigere alarmer, du får fra dette system.