image

Gartner: geef personeel geen adminrechten

vrijdag 1 februari 2013, 12:06 door Redactie, 7 reacties

Organisaties die zich tegen gerichte aanvallen willen beschermen moeten hun personeel geen beheerdersrechten geven en eenvoudig te misbruiken beveiligingslekken patchen. Dat adviseert marktvorser Gartner. "Om de impact van social engineering-aanvallen te beperken, moeten eindgebruikers niet over beheerderstoegang beschikken", aldus onderzoeksdirecteur Lawrence Pingree.

In het geval er wel adminrechten vereist zijn voor systeembeheer, moeten deze functies op een geïsoleerd systeem worden uitgevoerd, dat niet voor e-mail en online browsing wordt gebruikt.

Ook moeten organisaties volgens Pingree beseffen dat niet alle dreigingen zijn te voorkomen. Incident respons processen, waarbij er snel na een detectie wordt gereageerd, spelen dan ook een belangrijk rol.

Reacties (7)
01-02-2013, 12:12 door SirDice
Joh.... Gartner kotst weer eens 10 jaar oude adviezen op.
01-02-2013, 12:34 door yobi
Het natuurlijk ook vervelend om als beheerder weer alle PC's langs te moeten voor een update van bijvoorbeeld Adobe Reader. Toch een goed gebruik om ook als gewone gebruiker met Windows te werken. In bepaalde Linux varianten wordt men zelfs gedwongen om als gewone gebruiker te werken. Voor thuisgebruik prima lijkt me.

Ontwikkelaars hebben meestal wel meer rechten nodig. De meeste gereedschappen werken anders niet of men kan niet testen. Ik heb daar reeds verschillende oplossingen voor gezien. De ontwikkeltools worden bijvoorbeeld op een virtuele machine geïnstalleerd, er wordt een apart netwerk gebruikt, of een aparte machine.
01-02-2013, 13:28 door SirDice
Door yobi: Het natuurlijk ook vervelend om als beheerder weer alle PC's langs te moeten voor een update van bijvoorbeeld Adobe Reader.
Wel eens van SCCM gehoord (heette vroeger SMS)?

http://en.wikipedia.org/wiki/System_Center_Configuration_Manager
01-02-2013, 13:36 door [Account Verwijderd]
[Verwijderd]
01-02-2013, 15:32 door Mysterio
Door yobi: Het natuurlijk ook vervelend om als beheerder weer alle PC's langs te moeten voor een update van bijvoorbeeld Adobe Reader. Toch een goed gebruik om ook als gewone gebruiker met Windows te werken.
Als je alle PC langs moet om updates te gaan installeren dan mag je jezelf geen beheerder noemen.
01-02-2013, 15:45 door Anoniem
Ja, het is een oud advies, maar ja, het kan niet vaak genoeg aangehaald worden.

Het is 2013, cybercrime is op een ongekend niveau en toch zijn talloze bedrijven en eindgebruikers nog altijd onnodig zeer kwetsbaar.

Onder andere omdat nog veel te veel gebruikers als local admin of root werken en ook omdat (zie het Java bericht van vandaag) omdat men (vooral) applicaties niet patched.

Als je als local admin/root draait, maak je het de attacker heel makkelijk (en goedkoop) om het systeem over te nemen, want dan heeft hij aan een simpele remote code execution kwetsbaarheid (of zelfs aan een ondoordachte actie van de gebruiker) genoeg. Als je als gewone gebruiker werkt, heeft de attacker een privilege elevation kwetsbaarheid nodig, en die zijn zeldzamer en veel duurder (kwetsbaarheden worden voor veel geld verhandeld).

Ben je als bedrijf onkwetsbaar als iedereen als gewone gebruiker werkt? Nee, zeker niet, maar wel aanmerkelijk veiliger.

Maar ook in 2013 blijft het natuurlijk een vrije wereld en mag iedereen gewoon doorslapen.
01-02-2013, 23:16 door Anoniem
Zonder admin rechten kan ik m'n werk niet doen of er moet een systeembeheerder 24/7 met me meereizen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.