Nyckelinsikter:

  • Administrativa behörigheter ska användas sparsamt och när de används ska de användas på ett kontrollerat sätt
  • Kontrollerat sätt kan innebära att ni exempelvis utnyttjar flerfaktors-autentisering för administratörer, eller dedikerade verktygsservrar/klienter för administrativa syften
  • Upprätta en övergripande plan på vilka kriterier ni anser ska vara indikativa på att ni börjar få kontroll på administratörerna
  • Undersök hur era administratörer arbetar idag för att förstå problembilden och vidta först därefter lämpliga åtgärder

När ni utsätts för ett intrångsförsök innebär en kontrollerad och systematisk hantering av administrativa behörigheter en försvårande åtgärd för angriparen. Hen kommer behöva förflytta sig mellan fler datorer i jakten på användbara inloggningsuppgifter vilket ger er en ökad chans att upptäcka denne. 

Det här inlägget handlar om CIS åtgärd nummer 4, Hantering av Administrativa Behörigheter.

Innehållsförteckning

Åtgärdsområdets målsättning

Målsättningen med hantering av administrativa behörigheter är att du helt enkelt inte ska strössla med höga behörigheter. Du ska veta vilka som har möjlighet att bli administratörer, eller redan är. Du ska vara trygg med hur administrativa konton kan användas.

CIS har totalt 9 specifika åtgärder inom området, men det är absolut inte nödvändigt att införa alla för att minska risken om missbrukade administratörsbehörigheter.

Införande

Vägen till systematisk och trygg hantering av administrativa behörigheter börjar med att ni först avgör hur mogen organisationen är. Därefter kan ni påbörja några aktiviteter som avser att sakta men säkert få kontroll på de allra viktigaste administrativa behörigheterna.

Steg 1 – Avgör mognad

Ni bör rimligen börja med att avgöra mognad för åtgärdsområdet innan ni påbörjar eller fortsätter ett pågående införande. Målsättningen med mognadstrappan är dels att bidra till en överblick på de olika förmågorna (åtgärdsområdena) och dels ge förutsättningarna att kunna prioritera vilka åtgärder som ska införas. 

Det kan också användas som ett rapporteringsverktyg uppåt i kedjan för att kunna ge en hint om organisationens cybersäkerhet och förmåga att värja sig mot hot och hantera risker.

MognadsnivåKriteria
Ingen förmågaVi tror vi har kontroll på våra administrativa konton, men vi vet faktiskt inte.
Partiell förmågaVi inventerar administrativa konton, och våra administratörer har även vanliga konton för vardagliga aktiviteter. Vi har även börjat kolla på möjligheten att använda dedikerade administratörs-datorer från vilka administration ska ske.
God förmågaVi har koll på våra administratörer. Vi loggar all användning av sådana konton samt förändringar i grupper med administratörer och gör regelbundet uppföljningar på detta. Administratörer har en tvingad fler-faktors autentisering och all administration sker från särskilda administrativa datorer.

Som tidigare nämnt är syftet med mognadstrappan att ge er en känsla för ungefär var ni befinner er avseende den specifika åtgärden.

Steg 2 – Påbörja införande

Hantering av administrativa rättigheter är inte helt enkelt. Det kan vara så att en utvecklare faktiskt behöver vara administratör på sin utvecklingsdator för att saker ska fungera smidigt.

  1. Skissa upp en övergripande målsättning på vad ni vill uppnå. Beskriv vilka kriterier som avgör när ni tycker att ni tagit ett första steg mot hantering av administrativa rättigheter. Kanske har ni ett Microsoft Active Directory som central katalogtjänst. Kanske är ett första kriterium att ni får kontroll på domän administratörerna?
  2. Undersök och dokumentera hur era administratörer jobbar idag och planera åtgärder utifrån resultatet från detta. Det är viktigt att ni förstår problemet innan ni försöker lösa det. Era problem kanske inte ligger hos domän administratörerna utan i en uppsjö av lokala administratörer.
  3. Inför flerfaktors-autentisering för de allra känsligaste administratörs-kontona, e.g. domän administratörer.
  4. Installera och konfigurera verktygsservrar för administration av känsliga system. Ni skulle exempelvis här kunna kräva att administratörer autentiserar sig med flera faktorer och använda er utav utökad loggning.

Möjligheterna är många med hur ni väljer att lägga upp jobbet kring att hantera administrativa rättigheter. Det är svårt att peka på en enskild aktivitet som viktigast, men jag skulle nog personligen rösta på flerfaktors autentisering av administratörer och införa begränsningar på var dessa konton får logga in; tänk på Pass-the-Hash-attacker. (Eller ni kanske börjat experimentera med Credential Guard?)

Steg 3 – Mäta effektivitet

Nedan följer några förslag på hur ni kan mäta effekterna av att ni börjat hantera administrativa behörigheter:

  • Vi kan, vid ett givet ögonblick, visa exakt hur många som har möjlighet att använda administrativa behörigheter; lokalt på datorer så väl som i nätverket i stort.
  • Hur stor andel av våra administratörs-konton, jämfört med förra månaden, använder flerfaktors-autentisering?
  • Vi har förmåga att genom logg-händelser se vem som gjort vad i egenskap av systemadministratör.

Det är rätt klurigt att mäta effekterna av att sparsamt använda administrativa behörigheter, eller att åtminstone använda dessa behörigheter genom särskilda administratörs-datorer. Samtidigt är det viktigt att försöka begränsa en angripares möjlighet att utnyttja ett etablerat fotfäste på en klient. Angriparen ska behöva trampa runt ordentligt innan hen hittar användbara inloggningsuppgifter.

Sammanfattning

Förhoppningsvis har ni genom systematisk och organiserad hantering av administrativa behörigheter givit er själva en ökad chans på att upptäcka ett pågående angrepp. Genom att tvinga en angripare att förflytta sig till fler datorer ökar också sannolikheten för att ni upptäcker denna förflyttning. 

En liberal användning av administrativa behörigheter gör det av förklarliga skäl också enklare för en angripare att lyckas med ett intrång och uppnå sin målsättning.