Cyberrisico’s zijn niet enkel van de laatste tijd en vormen meer en meer een reëel risico voor iedere organisatie. Voornamelijk hackingrisico’s nemen steeds meer toe. Een belangrijke doelwit van hackers betreft het domain administrator account. Dit account is vaak in beheer bij de systeembeheerder van een organisatie. Door middel van het domain administrator account heeft de systeembeheerder, of de domain administrator, toegang tot alle systemen en applicaties van een organisatie. Voor hackers dus de perfecte mogelijkheid om bij alle bedrijfskritische informatie te kunnen en schade te berokkenen daar waar het echt pijn doet.
Naast de toenemende gevaren van hackingsrisico’s is vanuit een interne controle gedachte volledige toegang door een medewerker tot alle systemen en applicaties niet wenselijk. Functiescheiding is niet geborgd waardoor een systeemadministrator die kwaad wil een organisatie veel schade kan berokkenen. Systemen kunnen plat worden gelegd en gevoelige data kan op straat komen te liggen. In veel organisaties heerst de gedachte dat het beperken van rechten van systeembeheerders niet mogelijk is, de systeembeheerder moet immers ook overal bij kunnen. Dit artikel beschrijft hoe kunnen de rechten van de systeembeheerder wel beperkt kunnen worden zonder in te boeten op gemak.
1. Inperken van de Domain Administrator Account-rechten
Veel organisaties zijn gewend om functiescheiding in te richten tussen medewerkers door verschillende rollen toe te wijzen. Echter wordt minder vaak een kritische beoordeling gemaakt van de rechten van het domain administrator account waar de systeembeheerder toegang tot heeft. Het is cruciaal dat zorgvuldig omgegaan wordt met de rechten van de domain administrator accounts. Zo kan het gebruik van het domain administrator account tot het minimum beperkt worden en kunnen veel dagelijkse werkzaamheden, zoals het toekennen van rechten, aanpassen van wachtwoorden en het aanmaken of verwijderen van user accounts uitgevoerd worden door lagere accounts met minder rechten (zie ook kader 1). Het minimaliseren van de rechten per rol en het delegeren van deze rechten wordt het principe van least privilege genoemd. Medewerkers krijgen enkel toegang tot het minimale wat zij nodig hebben om hun taken uit te oefenen waardoor ook het domain administrator account minder vaak ingezet hoeft te worden.
| Kader 1: Lagere rechten van de systeembeheerder
De domain administrator heeft volledige rechten op alle servers, desktops, laptops en databases. Tevens heeft deze rol de bevoegdheid om medewerkers toe te voegen of te verwijderen uit rechtengroepen. Zo kan de domain administrator iemand ook de rechten geven op servers en is deze bevoegd om de domain controllers, die het beheer voeren over de rollen en rechten van de ICT-infrastructuur te beheren. In de database van de domain controllers staan de gebruikers met daarin het password en de daarbij behorende rechten. Dit betekent dat de DA bevoegd is om beheer uit te voeren op de domain controller waardoor hij toegang heeft tot alle aan het domain gekoppelde hardware, software en data. Een superrecht, maar hierdoor helaas ook een groot risico. Binnen een domain zijn er naast de domain administrator ook de enterprise administrator, schema administrator en de build-in administrator actief. Een domain administrator kan zichzelf promoveren tot enterprise administrator en schema administrator. Voert de beheerder dan altijd werkzaamheden uit aan het ‘register’? En zo ja, welke werkzaamheden zijn dat? Te denken valt aan het aanpassen van instellingen die elke gebruiker krijgt (GPO) of aan het aanmaken van nieuwe rechtengroepen. De meeste taken van de beheerder worden echter uitgevoerd op de member servers. Dit zijn bijvoorbeeld databaseservers en applicatieservers. De dagelijkse werkzaamheden in het domain, zoals het toekennen van rechten, aanpassen van wachtwoorden en het aanmaken of verwijderen van user accounts, kunnen met lagere rechten worden uitgevoerd. Deze werkzaamheden kunnen met een Domain Operator (DO) Account worden uitgevoerd, met zeer beperkte rechten in de memberservers.
|
2. Gebruik van een procedure voor de aanvraag of goedkeuring van domain admin accounts en rechten
Ook al zijn de rechten van de domain administrator verder ingeperkt, voor wijzigingen in de hoofdstructuur van de ICT omgeving dienen ze toch echt ingezet te worden. Dergelijke wijzigingen dienen hierdoor altijd gedaan te worden middels een change request, welke ter goedkeuring wordt voorgelegd aan het ‘Change Advisory Board’ (CAB). Op basis van het goedgekeurde change-verzoek voert de beheerder de taken uit als domain administrator, een ‘tijdelijk’ privilege. In noodsituaties kan men evenzeer van de change-procedure gebruik maken. Hier dient ook, maar weliswaar achteraf, toestemming te worden verleend door een CAB, waarna alle wijzigingen gedocumenteerd dienen te worden. Op deze manier is altijd inzichtelijk welke toekenningen en aanvragen uitgevoerd zijn en kan beheersing beter worden gegarandeerd.
| Kader 2: de sleutelbos van de systeembeheerder
We kennen allemaal nog wel het beeld van de conciërge, de schoonmaak(st)er of de beveiliger die beschikt over een grote sleutelbos of een ‘loper’ waarmee deze persoon toegang heeft tot iedere ruimte in een gebouw. Als scholier, student, of als medewerker is er een grote kans dat wij allemaal deze persoon wel eens nodig hebben gehad omdat we een sleutel verloren hebben, een code vergeten zijn of een toegangspas niet meegenomen hebben.Alhoewel deze situaties voornamelijk uitgaan van fysieke ruimtes waartoe deze personen altijd toegang hebben, geldt voor niet-fysieke ruimtes zoals systemen en applicaties precies hetzelfde. In plaats van de conciërge, de schoonmaak(st)er of de beveiliger, hebben we het nu over een systeembeheer die over een virtuele sleutelbos beschikt welke toegang geeft tot alle systemen en applicaties. De systeembeheerder heeft hierdoor toegang tot een groot aantal informatiebronnen, soms met zeer vertrouwelijke informatie.Is dat wel handig? Jazeker, dat is heel handig. Maar is het ook verstandig? Nee, het is beslist niet verstandig om zomaar met zo’n sleutel te werken. Het is pas verstandig als de systeembeheerder de sleutel krijgt als het echt moet en dan alleen waarvoor hij bedoeld is. Het is extreem belangrijk de ‘rechten’ rond systemen goed in te richten en te beheren. |
3. Inregelen van beheerclusters
Om de beheerwerkzaamheden goed vorm te geven, dient de systeembeheerder wel toegang te krijgen tot de onderliggende servers, de zogenaamde memberservers. Maar op welke servers dient de systeembeheerder toegang te krijgen? Hier is de business aan zet. Veel gestelde vragen zijn: waar dient expliciet functiescheiding plaats te vinden? Wat is een praktische splitsing? Het gaat er vooral om dat er minimaal overlap is tussen de gemaakte “beheer” clusters in het IT landschap. Alleen dan is sprake van optimale functiescheiding. Maar hoe komen we tot een handige samenstelling?
Een handig hulpmiddel kan een systeemlandschap zijn (zie figuur 1). De rode delen zijn gedefinieerde clusters (oftewel de beheersclusters). Deze zijn zowel zorgvuldig verticaal en horizontaal gekozen. Beperk het aantal en voorkom dat systeembeheerders lid worden van meerdere beheerclusters zodat de systeembeheerder niet alsnog bij alla data kan en functiescheiding niet adequaat geborgd kan worden.
4. Beheerclusters en inperken rechten leidt tot least privilege van systeembeheerder
Kijken we nog een laag dieper, dan is de domain administrator ook lid van de local administrator group van elke server, desktop en tablet. Aangezien het bereik dan alsnog onnodig groot is, is dit niet wenselijk. Om te voorkomen dat de systeembeheer direct bij alle servers kan (zie figuur 2), dient de systeembeheerder alleen local administrator te zijn op de servers die onder zijn of haar beheer vallen. Dit kan gerealiseerd worden middels een user-groep in het active directory. Deze user-groep is lid van de locale administator groep van de betreffende servers. De systeembeheerder zelf is lid van de user-groep. De user-groep bevat dus rechten op meerdere servers en users (systeembeheerders) die van dit recht gebruik willen maken (zie figuur 3).
Het inzetten van de genoemde beheerclusters als combinatie van servers die onder één of meerdere beheerders gaat gepaard met het wegnemen van het domain administrator recht. Deze beheerclusters hebben namelijk een eigen user-groep in het ‘active directory’. Hiermee heeft de systeembeheer wel voldoende rechten op de servers, maar kan hij/zij geen beheer uitvoeren in de domain controllers of aanpassingen maken in de domain administrator group. Daarnaast is de invloed beperkt tot alleen die servers en systemen die logisch vallen onder een beheercluster. De inperking van de rechten en het slim opzetten van beheerclusters realiseert een werkbare functiescheiding en mitigeert risico’s van misbruik van het domain administrator account.
| Kader 3: Ransomware en IT-risico’s
Internetcriminaliteit vormt steeds meer een serieuze bedreiging voor iedere organisatie. Iedere organisatie die online actief is, is per direct vatbaar voor one-line bedreigingen zoals hacking, spamming, phising en ransomware aanvallen. Zo is bijvoorbeeld vorige week alleen al door de inzet van ransomware wereldwijd enorm veel schade aangericht bij verschillende organisaties. Als voorbeeld werden systemen van diverse Britse ziekenhuizen, verschillende parkeergarages van Q-Park uitgeschakeld door de aanval. |
Hackingrisico’s mitigeren
Het domain administrator account vormt een belangrijk doelwit voor hackers. Dit account heeft namelijk toegang tot alle systemen, applicaties en onderliggende data. Een gangbare gedachte is dat het account ook altijd deze toegang nodig heeft, anders kan een systeembeheerder zijn of haar werk niet efficiënt en effectief uitvoeren.
Het principe van least privilege biedt echter een oplossing zonder in te boeten op gemak. Door het principe van least privilege op alle lagen in de organisatie toe te passen, kan echter ook functiescheiding doorgevoerd worden in deze meest kwetsbare gebruikersgroep. Daarbij kan door adequate inzet van change-management meer grip ontstaan op het gebruik van de rechten waarbij het gebruik van logisch gekozen verticale en horizontale clusters het gebruik van beheerrechten fijnmaziger maken. Verder kunnen systeembeheerders voldoende rechten op de servers krijgen wanneer systeembeheerders toegewezen worden per server als local administrator.
Interne beheersing is beter geborgd en de hackingrisico’s zijn op deze manier te mitigeren. Door de juiste stappen te zetten, maakt men het voor hackers immers lastiger om grip te krijgen op de gehele IT-omgeving. Alhoewel een goede hacker vaak toch wel binnen komt, is de schade op deze manier zeker te beperken.
Wouter Baaij en Harmen Jansen zijn Senior Consultant bij Improven.
