Artikel top billede

Dette enkle trick fjerner ni ud af ti sårbarheder

Klumme: Luk for brugernes administratorrettigheder, det giver en solid sikkerhedsgevinst. Men det kræver en holdningsændring.

Med en enkel ændring kan du forhindre angribere i at udnytte ni ud af ti sårbarheder.

Du skal blot fjerne administratorprivilegierne fra dine Windows-brugeres konti.

Teknisk set er det ikke kompliceret. Det er heller ikke nyt.

Sikkerhedseksperter har i mange år argumenteret for, at almindelige brugere bør være logget ind på en konto uden administratorprivilegier.

Når man er administrator, må man alt på computeren: Installere programmer, installere drivere, ændre firewall-opsætning og hvad man ellers har lyst til.

Nogle sårbarheder giver angribere mulighed for at køre programmer med samme privilegier som den bruger, der er logget ind, når sårbarheden aktiveres.

Dermed kan angriberen fuldstændig det samme som brugeren:

Installere programmer og ændre på væsentlige indstillinger.
Hvis man fjerner administratorprivilegierne, fjerner man ikke sårbarhederne.

Men man begrænser den skade, de kan medføre.

Virker på 97 procent

En analyse fra firmaet Avecto viste for nylig, hvor effektiv metoden er. Firmaet har analyseret de 240 sårbarheder, som Microsoft rettede i 2014.

Analysen viser, at 97 procent af de kritiske sårbarheder får mindsket deres skadevirkning, hvis man fjerner administratorprivilegierne.

For Internet Explorer var andelen helt oppe på 99,5 procent.

Tilsvarende analyser har tidligere peget i samme retning. I 2009 viste en analyse fra BeyondTrust, at ni ud af ti kritiske sårbarheder i Windows 7 blev uskadeliggjort med metoden.

Begrænser man mængden af administratorkonti, mindsker man også risikoen ved såkaldte pass-the-hash-angreb.

Det er angreb, hvor angriberen opsnapper den hashværdi, der autentificerer en bruger på et system.

Hvis brugeren har begrænsede privilegier, mindsker det risikoen. Angriberen kan måske overtage brugerens session, men han eller hun kan ikke volde alvorlig skade.

En klar anbefaling

Center for Cybersikkerhed udsendte for halvandet år siden anbefalingen "Cyberforsvar der virker".

Den anbefaler, at man begynder med at implementere fire sikringstiltag - og et af dem er netop at begrænse antallet af konti med domæne- eller lokaladministatorprivilegier.

Det skulle altså være ganske enkelt: Fjern administratorprivilegierne og slip for en masse sikkerhedsrisici.

Alligevel er jeg overbevist om, at rigtig mange danske pc-brugere i både den offentlige og den private sektor har fuld kontorl over deres computere - de er det, der i Windows-sammenhæng kaldes lokal administrator.

Det skulle ikke undre mig, om det er flertallet.

Kulturel barriere

Hvorfor undlader vi at bruge et oplagt middel til at øge sikkerheden?

Jeg tror, en del af forklaringen er historisk og kulturel.

Da pc'erne kom frem, udgjorde de et brud med den centrale kontrol, edb-afdelingen havde udøvet.

Før pc'en måtte enhver bruger rette sig efter de regler, edb-folkene udstak.

Med pc'en fik brugeren kontrol over sin computer.

Han eller hun kunne installere et regnearksprogram og selv udføre de beregninger, som edb-afdelingen ellers brugte måneder på at tilrette de centrale systemer til.

Jeg kommer fra universitetsverdenen.

Der hersker en stolt tradition for, at hver forsker og underviser selv vælger sine værktøjer - og naturligvis har hånd- og halsret over dem.

Noget lignende findes utvivlsomt i mange professioner. Hvem tør fortælle en ingeniør, at han ikke må installere programmer på sin pc?

Teknologi letter opgaven

Heldigvis er teknologien på vores side.

Stadig flere programmer kan i dag installeres uden administratorprivilegier.

Og Microsoft har gjort det enklere at være standardbruger: Man slipper for de bunker af advarsler, som UAC (User Account Control) kom med, da det blev indført i Windows Vista.

Alligevel er det ikke alle organisationer, der kan løse problemet blot ved at flytte fluebenet fra administrator til standardbruger, når de opretter brugere.

Er der brug for mere avanceret styring af privilegierne, findes der en række værktøjer, man kan investere i.

De giver for eksempel mulighed for at indføre undtagelser, hvor teknologien kræver det - så en medarbejder kan køre et enkelt program med administratorprivilegier uden at være administrator.

Vi savner en kulturændring

Men teknologiske løsninger er ikke nok.
De sikkerhedsansvarlige må lære deres brugere, hvorfor det giver bedre sikkerhed at fjerne administratorprivilegierne.

Og de skal lytte til brugerne og afgøre, om der er legitime begrundelser for at indføre undtagelser.

Der er brug for en kulturændring.

Kan vi gennemføre den, kan vi højne informationssikkerheden væsentligt.

DKCERT (www.cert.dk) er et dansk Computer Security Incident Response Team, der håndterer sikkerhedshændelser på forskningsnettet.

I samarbejde med tilsvarende organisationer over hele verden indsamler DKCERT information om internetsikkerhed. DKCERT er en organisation i DeIC, DTU.

Henrik Larsen opdaterer en gang om måneden Computerworlds læsere med de seneste tendenser inden for informationssikkerhed.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Jobindex Media A/S
Salg af telemarketing og research for it-branchen, it-kurser og konferencer

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Computerworld Summit 2021

En moderne digital vindervirksomhed bringer nye teknologier i spil, skaber digital innovation, udnytter data som styringsværktøj og ser verden som én stor markedsplads. Men succes kræver, at du ved, hvor den dyre teknologi kan gøre den største forskel i forretningen. Den kræver, at du ved i hvilken retning den øgede politiske regulering af teknologi og data bevæger sig hen. Og den succes kræver, at du kan udnytte teknologien til at automatisere og skalere til gavn for bundlinjen og budgettet.

26. oktober 2021 | Læs mere


Sats på DevOps og få mere kvalitet og hastighed i både udvikling og drift

Der er mange potentielle gevinster at hente ved at satse på DevOps. Rigtig mange danske virksomheder er allerede i gang. På denne konference får du et indblik i mulighederne med DevOps og gode råd, der kan sikre dig succesen.

02. november 2021 | Læs mere


CIO Trends 2021: Sådan ser teknologiradaren ud hos Danmarks bedste CIOs

Teknologien i virksomheder spiller i den grad en større og større rolle, hvor vi er nødt til at stille endnu større krav til, hvordan vi udnytter den, og hvilke muligheder den giver. Spørgsmålet er dog, hvordan man formår at lede en virksomhed, der konstant skal forholde sig til teknologiens forandringer.

16. november 2021 | Læs mere