Yksi pahimmista tietoturvariskeistä yrityksissä liittyy local admin -oikeuksiin. Jos käyttäjällä on paikalliset järjestelmänvalvojan oikeudet, lähes kaikki hyökkäysketjut helpottuvat merkittävästi, ja seuraukset voivat olla tuhoisia.
Local admin eli paikallinen järjestelmänvalvoja on käyttäjätili, jolla on oikeus tehdä työasemassa lähes mitä tahansa: asentaa ohjelmia, muokata järjestelmäasetuksia, poistaa suojauksia ja ajaa korkeilla oikeuksilla mitä tahansa prosesseja. Käyttäjän liian laajoista oikeuksista voi seurata vakavia ja laajoja tietoturvaongelmia. Tutkitaanpa tarkemmin, mitä ongelmia local admin -oikeuksiin liittyy.
Haittaohjelmat pääsevät läpi ilman esteitä
Käyttäjä, jolla on admin-oikeudet, voi asentaa mitä tahansa ohjelmia mukaan lukien haittaohjelmia tai epäluotettavia sovelluksia. Tämä ohittaa tavanomaiset suojaukset kuten User Account Control (UAC). Hyökkääjän ei siis tarvitse etsiä haavoittuvuuksia, vaan käyttäjä toivottaa hänet tervetulleeksi avaamalla oven itse.
Prosessien oikeuksien nosto onnistuu helposti
Järjestelmänvalvoja voi nostaa minkä tahansa prosessin oikeustasoa. Sen jälkeen hyökkääjä tarvitsee vain pienen jalansijan, minkä jälkeen eskaloituminen onkin jo väistämätöntä.
Suojaukset voidaan kytkeä pois päältä
Paikallinen admin voi muokata tai poistaa kokonaan käytöstä
- palomuurin,
- haittaohjelmantorjunnan,
- endpoint-suojaukset sekä
- WDAC (Defender) / AppLocker -politiikat.
Muokkaus tai poisto mitätöi jopa hyvin suunnitellut suojausmallit.
Mahdollistaa tunnusten varastamisen ja etenemisen verkossa
Admin-oikeuksilla voi ladata ja ajaa työkaluja, joiden avulla hyökkääjä voi varastaa salasanatiivisteitä ja edetä verkossa.
Local admin -oletus rikkoo vähimmän oikeuden periaatetta
Käyttäjälle ei tulisi antaa enempää oikeuksia kuin on välttämätöntä. Paikallisen adminin pitäminen oletuksena on juuri päinvastaista ja siksi riskialtista.