A lokális adminisztrátort megölni…

reverse.jpg

Local Admin occidere nolite timere bonum est si omnes consentiunt ego non contradico, azaz “a lokáladmint megölni nem kell félnetek jó lesz ha mindenki egyetért én nem ellenzem” – mondhatta volna a kétértelműség hazai apostola Merániai János érsek, ha II. András idejében királynő helyett a lokális adminisztrátor keserítette volna meg a magyarok életét.

A felhasználókhoz delegált lokális adminisztrátori jogosultság ugyanúgy kihozza a sodrából az egyszeri szekuritist, ahogy II. András idejében Bánk Bánt bőszítette fel a neje megbecstelenítése: a lokális adminisztrátori privilégium a szépen kidolgozott jogosultsági rendszer inzultálása, amire egy vérbeli szekuritis minimum megszurkálná azt, aki kitalálta, hogy a felhasználónak legyen ilyen privilégiuma.

A lokális adminisztrátori jogosultság egy saját magára fogott töltött fegyver a felhasználó kezében, kibiztosítva. Az első, akit a felhasználó el fog találni, az saját maga lesz, aztán meg lehet a utána takarítani.

A lokális adminisztrátori jogosultság ugyanis tökéletesen képes bármilyen műszaki intézkedés védelmi értékét a nullára degradálni: a privilégium bírtokában bármely (a legtöbb) műszaki védelmi intézkedés megkerülhető, kikapcsolható, vagy működésében korlátozható.

Egy másik, és nem elhanyagolható probléma, hogy a (lokális) adminisztrátori jogosultsággal futtatott alkalmazások eleve veszélyesek: a malware és exploit szeretettcsomagok tipikusan örülnek az ilyesminek, hiszen az alkalmazásból kitörve már nem is kell privilégiumot emelniük, a legtöbb esetben eleve admin joggal tudnak futni.

Nyilván, ha valaki a felhasználói tevékenységét eleve admin jogkörrel végzi, a nevében és jogosultságával elinduló alkalmazások (akár malware kódok) is eleve adminisztrátori jogosultsággal fognak futni. Az admin joggal futó malwarek aztán nagyon csúnya munkát tudnak végezni, gyakorlatilag nem csak az adott munkaállomást kompromittálják, de a teljes hálózatra is potenciális veszélyt jelentenek.

Ezért alap, hogy egy normálisan menedzselt hálózatban a lokális adminisztrátori jogosultság coki!

Illetve…

Hát igen. Sajnos mindig vannak kivételek.

Nem csak az ügyvezető, manager, kisfőnök, nagyfőnök – ezeket még egy rátermettebb biztonságis csak-csak el tudja tántorítani a jogosultságtól, nade…a fejlesztők…a devopsok…a rendszergazdák…a tudj isten kicsodák nagy hanggal és sajnos jogos igénnyel!

Pl. egy fejlesztő esetében roppant nehéz megoldani, hogy el tudja a munkáját végezni admin jog nélkül. Sajnos sok esetben naponta 58 komponenst telepítenek, törölnek, állítanak, fordítanak, stb. – szóval ha nincs lokál admin joguk, a munkavégzésük fog meghiúsulni.

Persze vannak alternatív lehetőségek, hogy a fejlesztőket mondjuk nem engedjük fel az éles hálózatra, karanténozzuk őket, akár két munkaállomásuk van, stb. – de ezt egyre nehezebb megtenni, és sok esetben ez sem fog megoldást jelenteni.

Aztán ott vannak a kisebb szervezetek, ahol az sem működőképes, hogy a 20-30 felhasználó alkalmazás-telepítési igényeit azonnal kiszolgálja az outsource rendszergazda, a felhasználók meg sok mindent nem szeretnek, de várni aztán biztosan nem.

Auditorként nagyon sok esetben találkozom ezzel a problémával, tele van a cég permanens lokális (rosszabb esetben domain) adminokkal, és a rendszergazda meg a biztonságis legfeljebb a vállukat tudják megvonni: – Tudjuk, de nem vonhatjuk meg a jogosultságot, mert akkor nem tudnak dolgozni.

A felhasználó adminisztrátori jogosultságának problémákra jelent jó megoldást az AdminByRequest.

AdminByRequest

A cucc röviden arra alkalmas, hogy egy felhasználó meg tudja igényelni a kiemelt privilégiumot, amely egy időablakban ítélődik oda neki, majd automatikusan, az időablak végén visszavonásra kerül.

Tehát ha Gyula szeretne egy alkalmazást telepíteni, amelynek elvégzéséhez admin privilégiumra van szüksége, Gyula meg tudja igényelni a jogosultságot 30 percre, el tudja végezni a tevékenységét, majd a jogosultsága automatikusan visszavonásra kerül. A felhasználónak nem kell permanens adminisztrátori jogosultsággal rendelkeznie, hiszen csak a telepítés (vagy más tevékenység) idejére van szükség a jogosultságra, azt és arra az időre pedig megkapja, ha megigényli.

Gyula megigényli a jogosultságot

Az adminisztrátor email értesítést kap az igénylésről, majd a menedzsment felületen jóváhagyja az igénylést

Gyula megkapta a jogosultságot, most már bármilyen kiemelt privilégiumú tevékenységet el tud végezni, ha a Windows bekéri az admin felhasználót és jelszót, a saját felhasználó nevével és jelszavával el tudja végezni a tevékenységet. 30 perc után a jogosultság visszavonásra kerül. 

Arra is van lehetőség, hogy egyes alkalmazásokhoz meg se kelljen igényelnie a jogosultságot, az alkalmazás elindításakor az már adminisztrátori jogosultsággal fog elindulni.

A rendszer működéséhez egy agent programot kell a munkaállomásokra telepíteni, a szabályrendszerek és logok a megoldás cloud-alapú menedzsment felületében találhatóak, és állíthatók be.

(Aki nem szereti a cloud megoldásokat, van olyan termék, amely onprem működésű és közel ugyanezt tudja).

A rendszer lehetőséget biztosít scoped policy kialakítására, azaz mindenkire érvényes egy alapértelmezett szabályrendszer, de felhasználói csoportonként akár eltérő szabályrendszerek is kialakíthatóak. Pl. a felhasználók jelentős részénél egy humán személynek (már amennyire egy rendszergazda ma még humánnak minősöl) jóvá kell hagyni az igénylést, de pl. egy kiemelt felhasználó esetében a jogosultságigényléshez nem kell a rendszergazdai jóváhagyás, ha megigényli, automatikusan meg is kapja az admin jogot.

A rendszer minden jogosultság-igénylést lenaplóz, és még azt is megmutatja, hogy mit csinált és mit telepített fel vagy indított el a felhasználó, amíg birtokolta a kiemelt privilégiumot.

A felhasználó ezeket a programokat indította el kiemelt privilégiummal

Ha a felhasználó éppen nem rendelkezik Internet kapcsolattal, és nem tudja megigényelni a jogosultságot (mert pl. az agent nem éri el a cloud menedzsment felületet), akkor is van lehetőség kiemelt jogot biztosítani a szerencsétlen usernek, ehhez minden felhasználóhoz egy napig érvényes PIN-kódot biztosít a rendszer. Azaz, ha a user legalább a rendszergazdát fel tudja hívni, az meg tudja nézni az adott user napi PIN-kódját, amelyet lediktálhat a felhasználónak, így az egy napig offline is megigényelheti a kiemelt privilégiumot.

Összefoglalás

Az AdminByRequest igen jól és egyszerűen használható megoldás, amely megszüntetheti a felhasználói permanens adminisztrátori jogosultságokból adódó kockázatokat. Nem kell állandóan admin jogosultság a felhasználóknak, csak akkor kapják meg a privilégiumot ha szükségük van rá, megigénylik és ha valaki jóvá is hagyja (vagy akár automatikusan jóváhagyódik).

Még arra is gondoltak, hogy egyes rafinált userek az ideiglenes jogosultságból megpróbálhatnak állandó jogosultságot csinálni, azaz az admin joggal hozzáadnák magukat a lokális adminisztrátori csoporthoz. Nyilván ezt megtiltani nem lehet, de az agent a munkaállomás következő újraindításakor kitakarítja az adminisztrátori csoportot, azaz ha a trükkös felhasználó újra indítja a gépét, az általa felvett felhasználó már nem lesz lokális adminisztrátor.

Az AdminByRequest egészen megfizethető árú cucc, érdemes kipróbálni és eljátszogatni vele. Akit a cloud menedzsment riasztana, annak a Basic Byte Access Director Enterprise lehet, hogy jobban fog tetszeni, talán  drágább megoldás, de teljesen onprem.

Forrás: https://kiber.blog.hu