En af de vanskelige IT-sikkerhedssårbarheder at gøre noget ved er brugere med administrative rettigheder.
Der er jo behov for at nogen kan administrere virksomhedens netværk, men hvordan kan vi sikre at dette sker på en hensigtsmæssig måde?
En af de absolut bedste værktøjer at kigge på er Just In Time (JIT) Access. Denne metode sikrer at brugere der skal lave administrative opgaver på netværket, kun får de nødvendige rettigheder i en defineret tidsrum og kun de rettigheder der er nødvendige for at løse opgaven.
Da de fleste virksomheder anvender Microsoft Active Directory (AD) til at styre IT-sikkerheden er det her muligt at anvende Microsofts service Privileged Identity Management (PIM).
PIM er en service i Azure AD (nu en del af Microsoft Entra). Med denne service defineres forskellige roller som kan tildeles udvalgte brugere.
Disse brugere kan så vælge at aktivere en rolle efter behov (Just In Time) og brugeren kan vælge hvor lang tid de ønsker at bruge rollen – fx 2 timer. Der vil typisk være opsat en maksimal periode på fx 6 timer.
Dette giver selvsagt flere klare fordele.
Brugerne har ikke rettigheder standard, dvs. vi opnår et ekstra lag af sikkerhed.
Vi kan muligvis undvære at oprette dedikerede admin-brugere, da alm. brugere kan opnå rettigheder efter behov
Især eksterne konsulenter/IT-leverandører kan tildeles mere specifikke roller
En anden stor fordel er at brugerne afkræves en forklaring ved hver anvendelse af rollen, herved opnår vi en audit log over anvendelse af admin-rettigheder. Dette kan være yderst fordelagtigt ifm. fejlfinding m.m.
PIM og Just In Time Access er et vigtige elementer i en Zero Trust strategi og i implementering af et least privilege koncept.
Så vi anbefaler klart kunder at implementere JIT Access med PIM som en foranstaltning i deres IT-sikkerhed.
Opmerkingen