Beperk rechten van systeembeheerder voor betere cybersecurity
Cyberrisico’s vormen meer en meer een reëel risico voor iedere organisatie. Voornamelijk hackingrisico’s nemen steeds meer toe. Een belangrijke doelwit van hackers betreft het domain administrator account. Dit account is vaak in beheer bij de systeembeheerder van een organisatie. Door middel van het domain administrator account heeft de systeembeheerder, of de domain administrator, toegang tot alle systemen en applicaties van een organisatie. Voor hackers dus de perfecte mogelijkheid om bij alle bedrijfskritische informatie te kunnen en schade te berokkenen daar waar het echt pijn doet.
Naast de toenemende gevaren van hackingsrisico’s is vanuit een interne controle gedachte volledige toegang door een medewerker tot alle systemen en applicaties niet wenselijk. Functiescheiding is niet geborgd waardoor een systeemadministrator die kwaad wil een organisatie veel schade kan berokkenen. Systemen kunnen plat worden gelegd en gevoelige data kan op straat komen te liggen. In veel organisaties heerst de gedachte dat het beperken van rechten van systeembeheerders niet mogelijk is, de systeembeheerder moet immers ook overal bij kunnen. In dit artikel gaan Wouter Baaij en Harmen Jansen, beiden Senior Consultant bij Improven, in op hoe de rechten van de systeembeheerder wel beperkt kunnen worden zonder in te boeten op gemak.
1. Inperken van de Domain Administrator Account rechten
Veel organisaties zijn gewend om functiescheiding in te richten tussen medewerkers door verschillende rollen toe te wijzen. Er wordt echter minder vaak een kritische beoordeling gemaakt van de rechten van het domain administrator* account waar de systeembeheerder toegang tot heeft. Het is cruciaal dat zorgvuldig omgegaan wordt met de rechten van de domain administrator accounts. Zo kan het gebruik van het domain administrator account tot het minimum beperkt worden en kunnen veel dagelijkse werkzaamheden, zoals het toekennen van rechten, aanpassen van wachtwoorden en het aanmaken of verwijderen van user accounts uitgevoerd worden door lagere accounts met minder rechten. Het minimaliseren van de rechten per rol en het delegeren van deze rechten wordt het principe van least privilege genoemd. Medewerkers krijgen enkel toegang tot het minimale wat zij nodig hebben om hun taken uit te oefenen waardoor ook het domain administrator account minder vaak ingezet hoeft te worden.
2. Gebruik van een procedure voor de aanvraag of goedkeuring van domain admin accounts en rechten
Ook al zijn de rechten van de domain administrator verder ingeperkt, voor wijzigingen in de hoofdstructuur van de ICT-omgeving dienen ze toch echt ingezet te worden. Dergelijke wijzigingen dienen hierdoor altijd gedaan te worden middels een change request, welke ter goedkeuring wordt voorgelegd aan het ‘Change Advisory Board’ (CAB). Op basis van het goedgekeurde change-verzoek voert de beheerder de taken uit als domain administrator, een ‘tijdelijk’ privilege. In noodsituaties kan men evenzeer van de change-procedure gebruik maken. Hier dient ook, maar weliswaar achteraf, toestemming te worden verleend door een CAB, waarna alle wijzigingen gedocumenteerd dienen te worden. Op deze manier is altijd inzichtelijk welke toekenningen en aanvragen uitgevoerd zijn en kan beheersing beter worden gegarandeerd.
3. Inregelen van beheerclusters
Om de beheerwerkzaamheden goed vorm te geven, dient de systeembeheerder wel toegang te krijgen tot de onderliggende servers, de zogenaamde memberservers. Maar op welke servers dient de systeembeheerder toegang te krijgen? Hier is de business aan zet. Veel gestelde vragen zijn: waar dient expliciet functiescheiding plaats te vinden? Wat is een praktische splitsing? Het gaat er vooral om dat er minimaal overlap is tussen de gemaakte ‘beheer’ clusters in het IT-landschap. Alleen dan is sprake van optimale functiescheiding. Maar hoe komen we tot een handige samenstelling?
Een handig hulpmiddel kan een systeemlandschap zijn. De rode delen zijn gedefinieerde clusters (oftewel de beheersclusters). Deze zijn zowel zorgvuldig verticaal en horizontaal gekozen. Beperk het aantal en voorkom dat systeembeheerders lid worden van meerdere beheerclusters zodat de systeembeheerder niet alsnog bij alla data kan en functiescheiding niet adequaat geborgd kan worden.
4. Beheerclusters en inperken rechten leidt tot least privilege van systeembeheerder
Kijken we nog een laag dieper, dan is de domain administrator ook lid van de local administrator group van elke server, desktop en tablet. Aangezien het bereik dan alsnog onnodig groot is, is dit niet wenselijk. Om te voorkomen dat de systeembeheerder direct bij alle servers kan, dient de systeembeheerder alleen local administrator te zijn op de servers die onder zijn of haar beheer vallen. Dit kan gerealiseerd worden middels een user-groep in het active directory. Deze user-groep is lid van de locale administator groep van de betreffende servers. De systeembeheerder zelf is lid van de user-groep. De user-groep bevat dus rechten op meerdere servers en users (systeembeheerders) die van dit recht gebruik willen maken.
Het inzetten van de genoemde beheerclusters als combinatie van servers onder één of meerdere beheerders gaat gepaard met het wegnemen van het domain administrator recht. Deze beheerclusters hebben namelijk een eigen user-groep in het ‘active directory’. Hiermee heeft de systeembeheer wel voldoende rechten op de servers, maar kan hij/zij geen beheer uitvoeren in de domain controllers of aanpassingen maken in de domain administrator group. Daarnaast is de invloed beperkt tot alleen die servers en systemen die logisch vallen onder een beheercluster. De inperking van de rechten en het slim opzetten van beheerclusters realiseert een werkbare functiescheiding en mitigeert risico’s van misbruik van het domain administrator account.
Conclusie
Het domain administrator account vormt een belangrijk doelwit voor hackers. Dit account heeft namelijk toegang tot alle systemen, applicaties en onderliggende data. Een gangbare gedachte is dat het account ook altijd deze toegang nodig heeft, anders kan een systeembeheerder zijn of haar werk niet efficiënt en effectief uitvoeren.
Het principe van least privilege biedt echter een oplossing zonder in te boeten op gemak. Door het principe van least privilege op alle lagen in de organisatie toe te passen, kan echter ook functiescheiding doorgevoerd worden in deze meest kwetsbare gebruikersgroep. Daarbij kan door adequate inzet van change-management meer grip ontstaan op het gebruik van de rechten waarbij het gebruik van logisch gekozen verticale en horizontale clusters het gebruik van beheerrechten fijnmaziger maken. Verder kunnen systeembeheerders voldoende rechten op de servers krijgen wanneer systeembeheerders toegewezen worden per server als local administrator.
Interne beheersing is beter geborgd en de hackingrisico’s zijn op deze manier te mitigeren. Door de juiste stappen te zetten, maakt men het voor hackers immers lastiger om grip te krijgen op de gehele IT-omgeving. Alhoewel een goede hacker vaak toch wel binnen komt, is de schade op deze manier zeker te beperken.
* Binnen een domain zijn er naast de domain administrator ook de enterprise administrator, schema administrator en de built-in administrator actief.
