Herken het potentiële gevaar van Local Accounts
door Strict op ma 26 sep 2016
Het vaststellen van een digitale identiteit en het verschaffen van beveiligde toegang tot informatie en informatiesystemen is een proces beschreven in ‘Identity & Access Management’, en is een onderdeel van informatie-beveiliging. Elke keer wanneer je toegang wil tot een computer, server, applicatie, netwerk of netwerkprinter wordt de identiteit van de gebruiker gecontroleerd. Een belangrijk onderdeel van het informatiebeveiligingsbeleid binnen een organisatie is dat een gebruiker op regelmatige basis het wachtwoord behorend bij zijn/haar account wijzigt en dat dit voldoet aan een minimale lengte en wachtwoord complexiteit. Veel aandacht wordt er bij organisaties besteed aan het valideren van ‘de standaard gebruiker’, maar is dit voldoende?
Naast het gebruikersaccount is er nog een ander account, het ‘Local Account’, vaak voorzien van speciale rechten. In dit stuk ga ik in op het (verborgen) gebruik en de risico’s van dit account en geef ik een aantal handvatten voor het behouden van grip op deze accounts.
Een Local Account: wat kun je ermee?
Een ‘Local Account’ is een user account dat lokaal op een server is aangemaakt tijdens de installatie van het Operating System en/of applicatie(s). Het Local Account is onderdeel van de System Administrators Group en is vaak voorzien van ‘root/admin’ privileges. Het is te verdelen in twee verschillende account typen en kan o.a. gebruikt worden om de volgende acties uit te voeren:
- ‘Beheer’ account
- Installeren van applicaties
- Wijzigingen van de configuratie van het Windows/Linux Operating System
- Uitvoeren van Systeem Beheer werkzaamheden
- Toepassen van geautomatiseerde shell/applicatie login scripts
- Starten van applicatie services
- Starten van database services
- Wijzigingen aanbrengen aan Applicatie configuratie
- ‘Functioneel’ account
- Communicatie tussen applicaties, Machine 2 Machine (M2M)
- Gebruik van applicaties
- Opvragen van gegevens uit databases
- Uitvoeren van (netwerk) printjobs
Bedreigingen voor het Local Account
Het gebruik van Local Accounts kan een bedreiging vormen voor de beschikbaarheid en de beveiliging van de informatie die aanwezig is op een systeem. Veelvuldig komt het voor dat Local Accounts géén gebruik maken van een automatisch proces dat er voor zorgt dat wachtwoorden regelmatig worden vernieuwd. Op het vernieuwen van een wachtwoord is vaak geen controle, het ligt dus geheel in handen van een Systeem of Applicatiebeheerder.
Het gebruik van een Local Account in combinatie met shell/applicatie scripts heeft als groot nadeel dat het wachtwoord vaak in het script moet worden opgenomen. In sommige situaties komt het voor dat het wachtwoord in een leesbare vorm (clear-text) in een file op de server is opgeslagen !
Omdat het gebruik van een Local Account minder zichtbaar is en er meestal geen documentatie aanwezig is over de werking van een script, kan dit er voor zorgen dat er op termijn onduidelijkheid ontstaat over welk Local Account wordt gebruikt door welk script. Dit kan er voor zorgen dat een script niet zomaar verwijderd kan worden omdat men niet weet wat het doet en wat de impact kan zijn wanneer het script of Local Account wordt verwijderd.
De praktijk leert dat de wachtwoorden behorende bij Local Accounts vaak niet tot nauwelijks worden vernieuwd. Dit maakt een Local Account een interessant doelwit voor een kwaadwillende die op zoek is naar ‘root/admin’ rechten zodat hiermee gemakkelijk toegang kan worden verkregen tot belangrijke applicaties en (vertrouwelijke) informatie.
Mitigerende maatregelen voor Local Accounts
Wanneer je twijfelt over het mogelijk misbruik van Local Accounts binnen je organisatie, dan kan je de volgende maatregelen nemen om inzicht te krijgen in het gebruik,
- Maak een inventarisatie van servers en het aantal Local Accounts
- Weet welke applicaties/scripts gebruik maken van welke Local Accounts
- Verifieer de noodzaak tot gebruik van scripts/accounts met ‘root/admin’ rechten
- Zorg dat je collega’s zich bewust zijn van het op een juiste wijze gebruiken van Local Accounts en de hieraan verbonden risico’s.
Om problemen met Local Accounts te kunnen voorkomen en deze onder controle te houden zullen de volgende maatregelen moeten worden genomen,
- Maak zo minimaal mogelijk gebruik van Local Accounts
- Gebruik accounts die gedefinieerd zijn op een centrale authenticatie server zodat wachtwoorden regelmatig vernieuwd moeten worden (bijv. Active Directory)
- Gebruik een applicatie die het beheer verzorgt van ‘root/admin’ accounts
- Geef slechts een kleine groep gebruikers een account voorzien van ‘root/admin’ rechten
- Monitor en rapporteer over het gebruik van accounts voorzien van ‘root/admin’ rechten
- Wanneer er echt gebruik gemaakt moet worden van een Local Account met lokaal wachtwoord bestand, dan deze data altijd in een versleutelde vorm opslaan
- Controleer op de uniciteit van een nieuw wachtwoord (controleer laatste 5 wachtwoorden)
- Gebruik voor een ‘Beheer’ account een complex wachtwoord van minimaal 14 karakters met geldigheid van maximaal 90 kalenderdagen
- Gebruik voor een ‘Functioneel’ account een complex wachtwoord van minimaal 24 karakters met geldigheid van maximaal 3 jaren en stel een change alert in na 2 jaar
- Zorg voor duidelijke Security Policy waarin de voorwaarden tot het gebruik van Local Accounts staat beschreven
- Zorg voor standaard procedures en actuele documentatie
- Technologie (129)
- Nieuws (66)
- 5G (64)
- Continuïteit (64)
- Security & Privacy (57)
- Agility (35)
- Podcast (34)
- Wendbaarheid (31)
- Webinar (18)
- Klantcase (17)
- Blog (15)
- Mission Critical (13)
- Healthcare (12)
- Innovatie (12)
- Overheid (12)
- AI (10)
- Cloud (9)
- Medewerker interview (8)
- Smart City (7)
- Video (7)
- OOV (5)
- Vervoer (5)
- Projectmanagement (3)
- Duurzaamheid (2)
- november 2024 (2)
- oktober 2024 (9)
- september 2024 (10)
- augustus 2024 (6)
- juli 2024 (9)
- juni 2024 (6)
- mei 2024 (3)
- april 2024 (9)
- maart 2024 (11)
- februari 2024 (4)
- december 2023 (2)
- november 2023 (4)
- oktober 2023 (3)
- september 2023 (3)
- juli 2023 (4)
- juni 2023 (3)
- mei 2023 (6)
- april 2023 (2)
- maart 2023 (5)
- februari 2023 (1)
- januari 2023 (1)
- december 2022 (1)
- november 2022 (2)
- oktober 2022 (3)
- september 2022 (3)
- augustus 2022 (3)
- juli 2022 (8)
- juni 2022 (6)
- mei 2022 (4)
- april 2022 (5)
- maart 2022 (4)
- februari 2022 (5)
- januari 2022 (2)
- november 2021 (2)
- oktober 2021 (1)
- september 2021 (3)
- augustus 2021 (2)
- juli 2021 (1)
- juni 2021 (1)
- mei 2021 (1)
- april 2021 (3)
- maart 2021 (1)
- februari 2021 (1)
- november 2020 (1)
- augustus 2020 (1)
- juli 2020 (2)
- mei 2020 (2)
- april 2020 (4)
- maart 2020 (5)
- februari 2020 (3)
- januari 2020 (5)
- december 2019 (2)
- november 2019 (3)
- oktober 2019 (5)
- september 2019 (1)
- augustus 2019 (3)
- juli 2019 (2)
- juni 2019 (3)
- mei 2019 (2)
- april 2019 (4)
- maart 2019 (8)
- februari 2019 (6)
- januari 2019 (3)
- december 2018 (4)
- november 2018 (2)
- oktober 2018 (10)
- september 2018 (5)
- augustus 2018 (6)
- juli 2018 (2)
- juni 2018 (7)
- mei 2018 (3)
- maart 2018 (3)
- februari 2018 (3)
- januari 2018 (3)
- december 2017 (6)
- november 2017 (5)
- oktober 2017 (5)
- september 2017 (5)
- juli 2017 (1)
- juni 2017 (4)
- mei 2017 (1)
- februari 2017 (1)
- januari 2017 (1)
- december 2016 (1)
- oktober 2016 (2)
- september 2016 (2)
- augustus 2016 (6)
- juli 2016 (1)
- juni 2016 (3)
- mei 2016 (2)
- april 2016 (3)
- maart 2016 (3)
- januari 2016 (1)
- december 2015 (1)
- november 2015 (2)
- oktober 2015 (1)
- september 2015 (2)
- augustus 2015 (1)
- juli 2015 (1)
- juni 2015 (2)
- mei 2015 (2)
- maart 2015 (2)
- februari 2015 (2)
- juni 2014 (1)