Artikel top billede

Dette enkle trick fjerner ni ud af ti sårbarheder

Klumme: Luk for brugernes administratorrettigheder, det giver en solid sikkerhedsgevinst. Men det kræver en holdningsændring.

Med en enkel ændring kan du forhindre angribere i at udnytte ni ud af ti sårbarheder.

Du skal blot fjerne administratorprivilegierne fra dine Windows-brugeres konti.

Teknisk set er det ikke kompliceret. Det er heller ikke nyt.

Sikkerhedseksperter har i mange år argumenteret for, at almindelige brugere bør være logget ind på en konto uden administratorprivilegier.

Når man er administrator, må man alt på computeren: Installere programmer, installere drivere, ændre firewall-opsætning og hvad man ellers har lyst til.

Nogle sårbarheder giver angribere mulighed for at køre programmer med samme privilegier som den bruger, der er logget ind, når sårbarheden aktiveres.

Dermed kan angriberen fuldstændig det samme som brugeren:

Installere programmer og ændre på væsentlige indstillinger.
Hvis man fjerner administratorprivilegierne, fjerner man ikke sårbarhederne.

Men man begrænser den skade, de kan medføre.

Virker på 97 procent

En analyse fra firmaet Avecto viste for nylig, hvor effektiv metoden er. Firmaet har analyseret de 240 sårbarheder, som Microsoft rettede i 2014.

Analysen viser, at 97 procent af de kritiske sårbarheder får mindsket deres skadevirkning, hvis man fjerner administratorprivilegierne.

For Internet Explorer var andelen helt oppe på 99,5 procent.

Tilsvarende analyser har tidligere peget i samme retning. I 2009 viste en analyse fra BeyondTrust, at ni ud af ti kritiske sårbarheder i Windows 7 blev uskadeliggjort med metoden.

Begrænser man mængden af administratorkonti, mindsker man også risikoen ved såkaldte pass-the-hash-angreb.

Det er angreb, hvor angriberen opsnapper den hashværdi, der autentificerer en bruger på et system.

Hvis brugeren har begrænsede privilegier, mindsker det risikoen. Angriberen kan måske overtage brugerens session, men han eller hun kan ikke volde alvorlig skade.

En klar anbefaling

Center for Cybersikkerhed udsendte for halvandet år siden anbefalingen "Cyberforsvar der virker".

Den anbefaler, at man begynder med at implementere fire sikringstiltag - og et af dem er netop at begrænse antallet af konti med domæne- eller lokaladministatorprivilegier.

Det skulle altså være ganske enkelt: Fjern administratorprivilegierne og slip for en masse sikkerhedsrisici.

Alligevel er jeg overbevist om, at rigtig mange danske pc-brugere i både den offentlige og den private sektor har fuld kontorl over deres computere - de er det, der i Windows-sammenhæng kaldes lokal administrator.

Det skulle ikke undre mig, om det er flertallet.

Kulturel barriere

Hvorfor undlader vi at bruge et oplagt middel til at øge sikkerheden?

Jeg tror, en del af forklaringen er historisk og kulturel.

Da pc'erne kom frem, udgjorde de et brud med den centrale kontrol, edb-afdelingen havde udøvet.

Før pc'en måtte enhver bruger rette sig efter de regler, edb-folkene udstak.

Med pc'en fik brugeren kontrol over sin computer.

Han eller hun kunne installere et regnearksprogram og selv udføre de beregninger, som edb-afdelingen ellers brugte måneder på at tilrette de centrale systemer til.

Jeg kommer fra universitetsverdenen.

Der hersker en stolt tradition for, at hver forsker og underviser selv vælger sine værktøjer - og naturligvis har hånd- og halsret over dem.

Noget lignende findes utvivlsomt i mange professioner. Hvem tør fortælle en ingeniør, at han ikke må installere programmer på sin pc?

Teknologi letter opgaven

Heldigvis er teknologien på vores side.

Stadig flere programmer kan i dag installeres uden administratorprivilegier.

Og Microsoft har gjort det enklere at være standardbruger: Man slipper for de bunker af advarsler, som UAC (User Account Control) kom med, da det blev indført i Windows Vista.

Alligevel er det ikke alle organisationer, der kan løse problemet blot ved at flytte fluebenet fra administrator til standardbruger, når de opretter brugere.

Er der brug for mere avanceret styring af privilegierne, findes der en række værktøjer, man kan investere i.

De giver for eksempel mulighed for at indføre undtagelser, hvor teknologien kræver det - så en medarbejder kan køre et enkelt program med administratorprivilegier uden at være administrator.

Vi savner en kulturændring

Men teknologiske løsninger er ikke nok.
De sikkerhedsansvarlige må lære deres brugere, hvorfor det giver bedre sikkerhed at fjerne administratorprivilegierne.

Og de skal lytte til brugerne og afgøre, om der er legitime begrundelser for at indføre undtagelser.

Der er brug for en kulturændring.

Kan vi gennemføre den, kan vi højne informationssikkerheden væsentligt.

DKCERT (www.cert.dk) er et dansk Computer Security Incident Response Team, der håndterer sikkerhedshændelser på forskningsnettet.

I samarbejde med tilsvarende organisationer over hele verden indsamler DKCERT information om internetsikkerhed. DKCERT er en organisation i DeIC, DTU.

Henrik Larsen opdaterer en gang om måneden Computerworlds læsere med de seneste tendenser inden for informationssikkerhed.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Targit A/S
Udvikling og salg af software til business intelligence.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Digital vækst 2024

På Digital Vækst 2024 bringer vi danske virksomheders organisation, forretning og data i spil samt spejler dem i det, som teknologipartnerne bringer til fadet. Konferencen bliver tætpakket med dygtige digitale ledere og frontkæmpere fra ind- og udland. De har én opgave på dagsordenen: At inspirere dig til at træffe de rigtige forretningsmæssige, teknologiske og strategiske valg i 2024, som kan sikre vækst for dig.

19. marts 2024 | Læs mere


Cyber Threats 2024: Sådan arbejder de IT-kriminelle – og sådan beskytter du dig

De cyberkriminelle har udviklet sig betydeligt, arbejder professionelt, fleksibelt og udnytter hinandens specifikke kompetencer – omtrent som en velsmurt koncern med klar ansvarsfordeling – og har ofte en klar politisk eller kommerciel motivation. Det stiller også nye krav til din tilgang til cybersikkerhed, og på Cyber Threats 2024 får du viden, som gør dig i stand til bedre at prioritere, planlægge og eksekvere en tidssvarende cybersikkerhedsstrategi.

20. marts 2024 | Læs mere


AI Impact Day: Har du styr på risiko og governance – og er du klar til AI Act?

AI og Machine Learning har for længst gjort sit indtog i centrale, kritiske forretningssystemer, og både udviklere, platformleverandører og koncerner er begyndt at udforske mulighederne. På dette eksklusive event dykker vi ned i AI's indflydelse på fremtidens forretnings- og IT-drift. Men vi ser også på, hvordan du mest effektivt arbejder med governance og risikostyring på dine AI-projekter.

21. marts 2024 | Læs mere