Accounts van systeembeheerders zijn een geliefd doelwit van aanvallers, maar organisaties kunnen verschillende maatregelen nemen om de kans te verkleinen dat aanvallers hier toegang toe krijgen, zo stelt Microsoft. De softwaregigant heeft een blog gepubliceerd waarin het beschrijft hoe het zelf met identiteitsmanagement omgaat en het beveiligen van beheerdersaccounts is daar een onderdeel van.
"Om de bescherming van onze organisatie te verbeteren is het belangrijk om het aantal mensen te beperken dat geprivilegieerde toegang heeft en controles te implementeren voor wanneer, hoe en waar beheerdersaccounts gebruikt kunnen worden", laat Microsoft weten. Als het gaat om het beveiligen van adminaccounts worden drie aanbevelingen gedaan.
Als eerste wordt voor het uitvoeren van systeembeheer een aparte computer aangeraden die volledig up-to-date is. Tevens moeten de beveiligingsinstellingen van deze machine worden verhoogd en moet worden voorkomen dat systeembeheer op afstand is uit te voeren.
Het tweede advies betreft het toepassen van een "geïsoleerde identiteit". Zo moet er een aparte naamgeving voor het account worden gebruikt en mag die geen toegang tot internet hebben. Tevens moet de identiteit verschillen van de werkidentiteit van de gebruiker. In het geval van Microsoft zijn beheerdersaccounts alleen toegankelijk via een smartcard.
Afsluitend adviseert Microsoft het toepassen van "non-persistent access". Zo moeten beheerdersaccounts standaard geen rechten hebben. Beheerders moeten just-in-time (JIT) privileges aanvragen die ze toegang voor een beperkte tijd geeft en dit moet in een systeem worden bijgehouden. Microsoft erkent dat het beschikbare budget kan beperken wat organisaties kunnen doen. Toch raadt de softwaregigant aan om alle drie de zaken uit te voeren op een niveau dat voor de organisatie zinvol is.
Deze posting is gelocked. Reageren is niet meer mogelijk.