Virusscanner lijdt onder ‘Local Admin Syndrome’

Als ict-adviseur kom ik regelmatig de situatie tegen dat gebruikers op hun werkplek (laptop of pc) administrator (of root) zijn. Iedere security specialist weet dat dit één van de slechtste ideeën is. Malware kan dan zeer eenvoudig toegang krijgen tot en zich onzichtbaar nestelen in het systeem. De virusscanners en andere lokaal draaiende security tools zullen de malware dan ook niet meer detecteren.

Nu kun je kort door de bocht zijn en zeggen dat je dit niet moet willen. Dat is op zich correct, maar vaak zijn de gebruikerswensen anders. Hierbij kun je een onderscheid maken tussen twee typen gebruikerswensen:

1. Applicatie gedreven.
Om een specifieke applicatie te kunnen gebruiken heeft de gebruiker administrator rechten nodig, deze zijn vaak nodig om speciale updates of handelingen uit te voeren. Hiervoor heeft de gebruiker dus niet constant de admin-rechten nodig. Wat steeds minder vaak voorkomt, is dat de applicatie zelf eist dat het draait met admin-rechten. Dit laatste type applicaties zou idealiter uitgefaseerd moeten worden.

2. Werk gedreven.
Een aantal van mijn klanten hebben engineers in dienst, die onderhoud uitvoeren aan apparatuur van klanten. Vaak hebben ze hiervoor speciale software nodig, die over het algemeen admin-rechten nodig heeft om hardware aan te spreken.

Een werkplek wordt tegenwoordig standaard uitgerust met een up-to-date virusscanner en optioneel de nodige andere security tools. Helaas kan iemand met admin-rechten alles doen op zijn werkplek, dus ook alle security software uitschakelen. Als de gebruiker dit kan, kan een virus dit ook. Een infectie met een virus bestaat uit een aantal stappen en de eerste stap is altijd het uitschakelen of aanpassen van de security software. Pas daarna zal de daadwerkelijk infectie plaats vinden.

Complete verstoring netwerk

Eén besmette werkplek zou je wellicht niet direct ernstig kunnen noemen, maar niets is minder waar. Pas geleden werd ik opgeroepen om een klant te helpen met ernstige netwerkproblemen. De verstoring was soms zo erg, dat niemand meer kon werken. Meestal hield het na één of twee uur wel weer op, maar het bedrijf had ondertussen wel een paar uur stil gelegen. Een oorzaak was niet direct aan te wijzen, het netwerk zag er goed uit en toonde geen overbelasting. Wel was een hogere belasting zichtbaar gedurende de uren dat het netwerk niet functioneerde. De belasting was echter niet zó hoog dat dit kon leiden tot een complete verstoring van het netwerk.

Diverse gebruikers hadden admin-rechten op hun werkplek. Direct viel me al op dat bij meerdere gebruikers de antivirus software uit stond. Gebruikers hadden dit zelf gedaan, omdat ze er last van hadden. Toen we de logs van de antivirus server en firewall naast elkaar legden, viel een aantal werkplekken negatief op. We forceerden de installatie van de antivirussoftware en onmiddellijk gingen de alarmbellen af. De werkplekken waren geïnfecteerd met een virus. Bij een verdere studie blek het te gaan om een botnet. De werkplekken zijn vervolgens ingenomen, volledig geformatteerd, et cetera.

Sudo en runas

Nu is het niet zo dat een gebruiker altijd die admin-rechten nodig heeft. Sterker nog, de gebruiker heeft steeds minder rechten nodig om zijn werk te kunnen doen. Een modern besturingssysteem kent een commando als ‘sudo’ of ‘runas’. Dit type commando geeft een gebruiker de mogelijkheid om tijdelijk zijn rechten te verhogen voor één commando of applicatie. De overige processen blijven dan doordraaien onder standaard gebruikersrecht.

Toch gebeurt dit maar heel weinig. Gebruikers ervaren het als ‘lastig’ en zijn ervan overtuigd dat ze heel goed weten wat ze doen. Juist het laatste is niet waar. Aanvallers worden steeds slimmer in het misleiden van gebruikers. Er is dan ook alle reden om aan te nemen dat een gebruiker een keer ‘beetgenomen’ wordt. Je moet er dus vanuit gaan dat vandaag of morgen een werkplek besmet raakt met een virus en er alles aan gedaan moet worden om een uitbraak tegen te gaan.

Als men niet wil werken met ‘runas’ of ‘sudo’, moet er een andere strategie bedacht worden. Begin met voorlichting. Geef duidelijk aan wat de risico’s zijn en geef de gebruiker ook handvatten om hiermee om te gaan. Als de voorlichting goed is, zal een gebruiker vaak al willen overstappen op ‘runas’ of ‘ sudo’.

Directe toegang

Ga er vanuit dat, ondanks de voorlichting, er iets mis gaat. De werkplek zal op een zeker moment worden geïnfecteerd. Benader deze werkplekken dan ook als elk ander systeem op het internet: totaal onbetrouwbaar. De werkplek wordt gebruikt voor aanvallen op je netwerk, neem dus ook de juiste maatregelen. Geef de werkplek zelf niet direct toegang tot je interne netwerk, maar plaats hem in een apart netwerk. Vervolgens geef je de gebruiker toegang tot interne resources op basis van een vdi- of sbc-werkplek. Er zijn genoeg technieken om dit type werkplek aan te bieden aan externe gebruikers. In sommige gevallen zal een gebruiker ook direct toegang willen tot documentatie of e-mail. Dan kun je goed gebruik maken van verschillende clouddiensten.

Waar het om gaat is, dat je zo min mogelijk bedrijfsdata lokaal op het systeem krijgt. Daar waar het echt noodzakelijk is om lokaal data op te slaan, moet er goed gekeken worden om welke data het gaat. Alle bedrijfsdata die je niet op ‘vreemde’ systemen wilt hebben, mogen dus ook niet door de gebruiker gedownload worden naar zijn werkplek.

Terugzetten standaard image

Wat overblijft is ondersteuning. Als je een werkplek goed beheert, kan deze rustig enkele jaren mee. Maar je kunt er vanuit gaan dat je, gedurende die jaren, continu zult moeten bijsturen. Tenslotte zal een gebruiker die zijn werkplek goed beheert, niet willen werken met een admin-account. Er zijn dus duidelijke afspraken nodig tussen ict en de gebruiker. De ondersteuning zou dan ook niet verder moeten gaan dan het terugzetten van een standaard image en het vervangen van defecte hardware.

In de eerste plaats is het dus zaak dat je het admin-recht ter discussie stelt. Voor een standaard gebruiker is het admin-recht niet noodzakelijk. Voor gebruikers die wel het admin-recht nodig hebben, is een stukje opvoeding belangrijk. Begin bij het uitleggen van ‘runas’ of ‘sudo’. Mocht dit geen optie zijn, dan moet je als ict-afdeling de verantwoording bij de gebruiker leggen en alleen ondersteunen op ‘best effort’.

Martijn Bellaard heeft 3 jaar als lead architect bij TriOpSys gewerkt. Begin 2017 heeft hij zijn grote droom gevolgd en is hij docent aan de Hogeschool van Utrecht geworden. Dit artikel is gepubliceerd op 29-01-2015.

Share on FacebookTweet about this on TwitterShare on LinkedInEmail this to someonePrint this page