Adminbehörighet eller ej? Elevdatorer i skolan

Permalänk
Medlem

Adminbehörighet eller ej? Elevdatorer i skolan

Hej, Jobbar på en högstadieskola i en kommun med ett par tusen elever. Under flera år har elevdatorerna varit upplåsta, dvs eleverna har haft full adminbehörighet på sina datorer. Nu funderar IT-enheten på att ta bort denna behörighet och de hänvisar till säkerhetsaspekter.

Vad säger ni om detta? Gäller 7-9, Gymnasium.

Så, för och emot argument! Själv strider jag FÖR att eleverna ska behålla sin behörighet och är i kontakt med flera centrala personer kring detta.

Så hjälp mig i debatten mot den stora IT-enheten!

Visa signatur

i5-12600K med Noctua 12A | MSI z690 d4 | 2x16 corsair ddr4 lpx 3200mhz | evga 3060ti xc | samsung 980 m2 | LG 27" GP850 | xfx pro 850w | fractal design r6

Permalänk
Medlem

Vad innebär "säkerhetsaspekter" i sammanhanget? När jag gick i gymnasiet (2006-2009) hade man adminrättigheter fram tills dess att man bröt mot skolans regler.

Kan tänka mig att det främsta skälet till varför eleverna inte skulle få ha det är ekonomiska. Lär bli betydligt mindre datorer att installera om, om eleverna inte tillåts ändra systemfiler hit och dit.

Visa signatur

---

Permalänk
Hedersmedlem

Tillåt adminbehörigheter, mot att eleven får friskriva sig mot att de inte kan få support för något som inte är mer än ett enkelt applikationsfel eller ett hårdvarufel. Tar något mer än en kvart att felsöka så är det re-image som gäller helt enkelt. Får datorn virus så är det samma sak, blås rent bara.

Eleven får välja. En nerlåst mer supporterad upplevelse, eller en upplåst upplevelse?

Frihet under ansvar!

Samma modell används för övrigt på många arbetsplatser i vuxenlivet, där t.ex. utvecklare får local admin på sin PC mot att de själva förväntas kunna rodda med PC:n och ta ansvar för sina egna misstag och inte ta upp IT:s tid där de går utanför IT:s fyrkant.

"Säkerhet" är för övrigt inte ett argument. Det är ett ord. IT-chefen får gärna utveckla sitt argument lite och fundera på vad är det för säkerhet man egentligen vinner på att inte ha local admin på datorn? Vem blir man mer skyddad mot?

Permalänk
Medlem

Min spontana reaktion är att det är väl bra om man begränsar möjligheten att installera spel och dylikt. Skoldatorn ska ju inte vara någon leksak.

Med det sagt så lirade vi Unreal och CS i datorsalarna, men det var utanför lektionstid och när de råkade vara lediga. Inte hursomhelst och närsomhelst.

Permalänk
Medlem

Definitivt emot.

Detta låter som ett helt katastrofalt säkerhetshål som borde åtgärdats typ 1997.

Man håller sig generellt till att enbart delegera de privilegier som behövs, adminrättigheter krävs inte för vardagligt användande.

Är datorn domänansluten så är det helt uppått väggarna att användare, speciellt elever, speciellet i den åldern, har adminrättigheter.
Du hittar inte ett företag med någon form av centraliserad IT där användare har adminbehörigheter.

Så länge datorn behöver nå för skolan kritisk infrastruktur/nätverk så finns det inte ett argument i världen för dessa galenskaper.

Är alla datorer "stand alone", sitter på ett eget 4G WWAN/gästnätverk och autentisering till resurser sker via t.ex Office365 eller andra "cloud" platformar med MFA aktiverat, utskrifter sker via att autentisera sig med MFA mot centraliserade skrivarköer osv så finns det utrymme för att man implementerat "Zero Trust" tillräckligt bra att enheten i sig inte behöver någon vidare säkerhet.

Så länge man använder någon form av "Castle and moat" approach så är det mindre korkat att kolla ner i pipan på ett laddat gevär än att låta avändare, speciellt elever, speciellt i den ålder, ha adminrättigheter.

Ytterst ansvarig för ITn på skolan/kommunal nivå beroende på vilket är högst borde söka lyckan i arbetslivet någon annanstans. Förslagsvis inte inom IT då det finns en uppenbar kompetenskonflikt då användare är local admin 2020.

Visa signatur

Every mammal on this planet instinctively develops a natural equilibrium with the surrounding environment; but you humans do not. Instead you multiply, and multiply, until every resource is consumed.
There is another organism on this planet that follows the same pattern... a virus.
CITERA CITERA CITERA

Permalänk
Medlem

Är det ett problem att elever installerar dumheter på datorerna eller mäter inte skolan sådant?

Vad är argumenten för att eleverna skulle behöva lokala admin rättigjeter på sina datorer? Saknar skolan verktyg att tillhandahålla nödvändiga mjukvaror och inställningar?

Skickades från m.sweclockers.com

Permalänk
Hedersmedlem
Skrivet av mini-ryttge:

Definitivt emot.

Detta låter som ett helt katastrofalt säkerhetshål som borde åtgärdats typ 1997.

Man håller sig generellt till att enbart delegera de privilegier som behövs, adminrättigheter krävs inte för vardagligt användande.

Är datorn domänansluten så är det helt uppått väggarna att användare, speciellt elever, speciellet i den åldern, har adminrättigheter.
Du hittar inte ett företag med någon form av centraliserad IT där användare har adminbehörigheter.

Så länge datorn behöver nå för skolan kritisk infrastruktur/nätverk så finns det inte ett argument i världen för dessa galenskaper.

Är alla datorer "stand alone", sitter på ett eget 4G WWAN/gästnätverk och autentisering till resurser sker via t.ex Office365 eller andra "cloud" platformar med MFA aktiverat, utskrifter sker via att autentisera sig med MFA mot centraliserade skrivarköer osv så finns det utrymme för att man implementerat "Zero Trust" tillräckligt bra att enheten i sig inte behöver någon vidare säkerhet.

Så länge man använder någon form av "Castle and moat" approach så är det mindre korkat att kolla ner i pipan på ett laddat gevär än att låta avändare, speciellt elever, speciellt i den ålder, ha adminrättigheter.

Ytterst ansvarig för ITn på skolan/kommunal nivå beroende på vilket är högst borde söka lyckan i arbetslivet någon annanstans. Förslagsvis inte inom IT då det finns en uppenbar kompetenskonflikt då användare är local admin 2020.

Väldigt mycket starka åsikter och polemik men inte mycket kött på benen till argument. Jag säger inte att du har fel, men du har inte framfört några argument som går att bemöta.

Angånde det där med "minsta möjliga privilegier" så är detta redan löst med UAC som finns i Windows sedan Windows Vista.

Jag jobbar själv som IT-konsult, har varit yrkesverksam inom detta sedan 2002 (sedan 2009 på heltid) och vi tillåter absolut användare hos våra kunder att ha lokala administratörsbehörigheter på sina egna (personliga) datorer där det finns ett behov av detta, även om datorerna är anslutna till ett traditionellt Active Directory. (På delade/opersonliga datorer så ska så klart ingen vanlig användare vara lokal administratör eftersom de så kan installera t.ex. keyloggers eller läsa varandras lokala hemkataloger, men det verkar inte vara fallet här.)

Nu är det svårt att argumentera för att något inte är ett problem när man inte har några riktiga argument att svara mot där någon säger att det finns ett problem. Bevisbördan ligger på den som påstår att det finns ett problem.

Men jag kan lägga in en tanke. Skoldatorerna är fysiskt i dina elevers händer. Physical access always wins. Om de vill få Local Admin på sin PC så fixar de det, om de verkligen vill.

Permalänk
Medlem

Grejen med att var lokal administratör är lite att det antingen är på eller av, man kan göra i princip allt. Jag har förstått att det finns tredjepartsprogram som kan lösa så att man kan låsa ner vissa delar, men vet inte mycket om det.

Ett alternativ är att man ändrar policyn när man delar ut datorer, som tidigare sagt. Att om datorn strular så lämnar man iväg den på omblåsning i princip direkt. Men problemet är nog att datorn är ett viktigt verktyg under skoldagen så man kan inte vara utan dator, vilket blir ett problem om IT-tekniker inte finns lokalt på skolan

Permalänk
Medlem
Skrivet av pv2b:

Men jag kan lägga in en tanke. Skoldatorerna är fysiskt i dina elevers händer. Physical access always wins. Om de vill få Local Admin på sin PC så fixar de det, om de verkligen vill.

Att tillhandahålla huvudnyckeln åt alla för att det är lätt att bryta upp dörrar är väl inte ett jättestarkt argument, eller?

Skickades från m.sweclockers.com

Permalänk

Flera faktorer påverkar.
Supportkostnad, säkerhet och sist hindra elever installera dritt som de leker med på lektionstid.
Det uppstår en supportkostnad om någon måste logga in med admin för att göra olika ändringar, fast hur ofta är det?

Det bästa är nog kolla på hur andra skolor gör och apa efter.

Permalänk
Hedersmedlem
Skrivet av henkiii:

Att tillhandahålla huvudnyckeln åt alla för att det är lätt att bryta upp dörrar är väl inte ett jättestarkt argument, eller?

Skickades från m.sweclockers.com

Någon huvudnyckel handlar det inte om. Det handlar om en nyckel in i just specifikt den dator som man själv blivit tilldelad. Inte en nyckel in till alla datorer på skolan. Så redan där faller din liknelse.

Det jag vill påstå är att om det verkligen är ett verkligt säkerhetsproblem/hot att en elev får local admin på datorn så måste man också utvärdera hur effektivt det är att ta bort adminbehörigheterna. Hur lätt är det att kringgå mekanismen i fråga.

Jag vill påstå att om det finns något riktigt säkerhetshot som man vill skydda mot genom att ta bort adminbehörigheterna så måste man göra mycket mer än en typisk skola vill göra i form av fysisk säkerhet, för att skyddet ska vara effektivt.

Annars så har man en säkerhetsmekanism som inte skyddar mot ett hot (verkligt eller inbillat) samtidigt som det gör det svårare för eleven att göra något som kanske inte är helt inom ramen för vad IT har tänkt sig att eleven ska göra.

Det är därför det är viktigt att specificera: vad är det man vill skydda sig mot?

Det är också en supportkostnad att en central IT-organisation ska behöva paketera och distributera applikationer, snarare än en modell där användaren kan installera någon bra texteditor de gillar till sin programmeringskurs helt själva.

Permalänk
Inaktiv
Skrivet av pv2b:

...

Men jag kan lägga in en tanke. Skoldatorerna är fysiskt i dina elevers händer. Physical access always wins. Om de vill få Local Admin på sin PC så fixar de det, om de verkligen vill.

Detta! När jag var liten och gick i grundskolan fick jag en dator som både hade linux och windows installerat. För att få lokal root-åtkomst i linux så gick jag in i grub, la till en bootparameter och voila - root. Till Windows var det bara att skapa en konboot-sticka och boota från. Check.

I gymnasiet gick det dock inte, Stockholms stad körde med TPM-modul och secure-boot. Jag hade inte åtkomst till bios, inte eller kunde jag välja en temporär boot-device. Det enda jag kunde göra var att boota från nätverket, då detta var inställt att gå före själva disken (Troligen så att admin kunde koppla in datorn på sitt kontor och återställa den snabbt). Efter en massa huvudvärk lyckades jag slänga upp en server med konboot på, och boota ifrån. Men eftersom secure-boot och TPM var aktiverat så fungerade det ändå inte. Så jag gick och köpte mig en egen laptop istället och la skoldatorn i en garderob, där den fick ligga tills jag hade gått ut gymnasiet då jag var tvungen att lämna tillbaka den.

Admin blev ganska paff när jag lämnade in datorn helt i nyskick, till skillnad från alla andras datorer kan jag tillägga

Permalänk
Hedersmedlem
Skrivet av lillaankan_i_dammen:

hindra elever installera dritt som de leker med på lektionstid.

Att ta bort local admin hindrar ju dock inte eleverna från att installera skräp. Du kan installera allt möjligt utan att ha local admin på datorn.

Då måste man komplettera med något som t.ex. application whitelisting.

Permalänk
Medlem
Skrivet av pv2b:

Väldigt mycket starka åsikter och polemik men inte mycket kött på benen till argument. Jag säger inte att du har fel, men du har inte framfört några argument som går att bemöta.

Jag jobbar själv som IT-konsult, har varit yrkesverksam sedan 2006, och vi tillåter absolut användare hos våra kunder att ha lokala administratörsbehörigheter på sina egna (personliga) datorer där det finns ett behov av detta, även om datorerna är anslutna till ett traditionellt Active Directory. (På delade/operatsonliga datorer så ska så klart ingen vanlig användare vara lokal administratör, men det verkar inte vara fallet här.)

Nu är det svårt att argumentera för att något inte är ett problem när man inte har några riktiga argument att svara mot där någon säger att det finns ett problem. Bevisbördan ligger på den som påstår att det finns ett problem.

Men jag kan lägga in en tanke. Skoldatorerna är fysiskt i dina elevers händer. Physical access always wins. Om de vill få Local Admin på sin PC så fixar de det, om de verkligen vill.

Det är lite på nivån känner jag att behöver du argumentera varför inte första bästa pendlare som känner sig sugen ska köra bussen istället för en busschaufför så kanske inte argumenten hade bitit ändå?
Det är liksom så mycket grundläggande kunskaper om IT, säkerhet, allmänt vett osv som saknas att ska man gå igenom allt för att komma till ett argument alla kan förstå så krävs det på tok för mycket information. Man skriver bara av åsikten som korkad istället.

Men för att underhålla.

Ett centraliserat IT system är, ska sanningen fram ganska sårbart.
Man gör allt i sin väg för att förhindra att någon som försöker attackera miljön får någon form av fotfäste, någon platform att stå på.

Det kan vara en så simpel grej som att genomföra träningar inom phishing.

https://www.youtube.com/watch?v=Usu9z0feHug&t=

Ett exempel på hur hackare lyckades föra över 1 000 000 000$ (en miljard dollar) via phishing. (ett mail innehållande en skadlig länk)

Hålla miljön ordentligt uppdaterad med av tillverkaren supporterad programvara och operativsystem, på det senaste patchnivåerna.
Hålla sig till de rekommenderade inställningarna för en hög säkerhet. T.ex stänga av SMBv1 som var rekommenderat långt innan EternalBlue spreds i det vilda

https://www.wired.com/story/notpetya-cyberattack-ukraine-russ...

En artikel om NotPetya som använde EternalBlue och lyckades stänga ner företaget Maersk, bland annat, i en lång period.
Deras backupschema för domänkontrollanter var ingen alls, dom replikerar och dom räknade inte med att något slog ut alla 150 domänkontrollanter över hela världen samtidgt. Hade det inte vart för ett strömavbrott som lyckades rädda 1 av dessa 150 så hade ett av världens största frakföretag vart nere i månader extra.

Poängen här är att tillsynes gigantiska IT miljöer är förhållandevis sårbara, allt som krävs är att någon gör något vajsing.

Jag gissar att datorerna är laptops, jag gissar att dom cachar domänlösenorden. Det är inte sjukt svårt att göra en pash the hash, speciellt om användarna är localadmin.

https://blog.stealthbits.com/extracting-password-hashes-from-...
https://blog.stealthbits.com/passing-the-hash-with-mimikatz

En pentester hade ju haft vad man kallar "a field day" i en miljö där användare är local admin.

Säkerheten och därmed stabiliteten och tillgängligheten av en IT miljö baseras på att den är en fullständig diktatur där diktatorerna vet vad dem sysslar med. Dom ser till att miljön är så nerlåst som den möjligen kan vara.

En företagsdator (och även en skoldator) är inte din egendom, det är ett verktyg du har tillåtits inneha för att göra din arbetsuppgifter och inget annat. Ingen kommer någonsin bry sig om du surfar lite internet, kollar lite netflix eller mail eller betalar räkningar på den.
Men gränsen går vid att du försöker modifera någon form av systemfiler, vilket är ända anledningen att vara administratör.

Vill du göra saker du inte kan göra med din arbetsdator/skoldator så köp dig en egen dator, en dator du kan göra exakt vad du vill med.

Skrivet av pv2b:

Men jag kan lägga in en tanke. Skoldatorerna är fysiskt i dina elevers händer. Physical access always wins. Om de vill få Local Admin på sin PC så fixar de det, om de verkligen vill.

Bitlocker eller valfri krypteringsmetod med TPM stöd.
Det är "lite" svårare att mounta disken om du behöver en krypteringsnyckel för att läsa data.

EDIT

Skrivet av pv2b:

Angånde det där med "minsta möjliga privilegier" så är detta redan löst med UAC som finns i Windows sedan Windows Vista.

Såg att den biten redigerades in och bestämde mig för att bemöta den:)

UAC hjälper inte så mycket om användaren kan klicka "ja".

UAC är enbart effektiv om användaren kan avgöra när den borde komma upp och inte.
Har dom tankat ner Avengers.mkv.exe så kommer dem klicka ja på rutan i hopp om att få se lite superhjälte action, speciellt om dem är typ 13.

EDIT 2

En ganska intressant bit av artikeln om NotPetya (som jag rekommenderar att läsa)

Citat:

It took 45 seconds to bring down the network of a large Ukrainian bank. A portion of one major Ukrainian transit hub, where ISSP had installed its equipment as a demonstration, was fully infected in 16 seconds.

Lite av en timeline på hur fort det kan gå "åt helvete".

Det är inte som på film där två lirare sitter och knackar på samma tangentbord och krigar mot en hacker på andra sidan.
Det är ofta helautomatiserat och när din IDS/IPS börjar skrika är det sedan länge kört

Visa signatur

Every mammal on this planet instinctively develops a natural equilibrium with the surrounding environment; but you humans do not. Instead you multiply, and multiply, until every resource is consumed.
There is another organism on this planet that follows the same pattern... a virus.
CITERA CITERA CITERA

Permalänk
Hedersmedlem
Skrivet av anon265474:

Detta! När jag var liten och gick i grundskolan fick jag en dator som både hade linux och windows installerat. För att få lokal root-åtkomst i linux så gick jag in i grub, la till en bootparameter och voila - root. Till Windows var det bara att skapa en konboot-sticka och boota från. Check.

I gymnasiet gick det dock inte, Stockholms stad körde med TPM-modul och secure-boot. Jag hade inte åtkomst till bios, inte eller kunde jag välja en temporär boot-device. Det enda jag kunde göra var att boota från nätverket, då detta var inställt att gå före själva disken (Troligen så att admin kunde koppla in datorn på sitt kontor och återställa den snabbt). Efter en massa huvudvärk lyckades jag slänga upp en server med konboot på, och boota ifrån. Men eftersom secure-boot och TPM var aktiverat så fungerade det ändå inte. Så jag gick och köpte mig en egen laptop istället och la skoldatorn i en garderob, där den fick ligga tills jag hade gått ut gymnasiet då jag var tvungen att lämna tillbaka den.

Admin blev ganska paff när jag lämnade in datorn helt i nyskick, till skillnad från alla andras datorer kan jag tillägga

Hehe, najs! Jag antar dock att du lärde dig en del på dina lyckade och misslyckade försök på att kringgå säkerheten, så egentligen är det väl ett argument för att ta bort adminbehörigheter. Det stimulerar till lärande att kringgå begränsningarna.

Hade du försökt lite mer så hade du säkert kunnat komma förbi de där Secure Boot-grejerna också. Inget är vattentätt.

Permalänk
Hedersmedlem
Skrivet av mini-ryttge:

Det är lite på nivån känner jag att behöver du argumentera varför inte första bästa pendlare som känner sig sugen ska köra bussen istället för en busschaufför så kanske inte argumenten hade bitit ändå?
Det är liksom så mycket grundläggande kunskaper om IT, säkerhet, allmänt vett osv som saknas att ska man gå igenom allt för att komma till ett argument alla kan förstå så krävs det på tok för mycket information. Man skriver bara av åsikten som korkad istället.

Jag tycker inte att vi ska idiotförklara någon i den här tråden. Den här tråden handlar om att ta fram argument för/mot lokal admin. Det är precis i en sån här kontext där vi ska fram med en vettig diskussion snarare än att skriva av åsikter som korkade. Då kanske vi kan lära lite av varandra. Det som är hela idén med ett forum, ju!

Skrivet av mini-ryttge:

Men för att underhålla.

Ett centraliserat IT system är, ska sanningen fram ganska sårbart.
Man gör allt i sin väg för att förhindra att någon som försöker attackera miljön får någon form av fotfäste, någon platform att stå på.

Att ta bort local admin från en dator hindrar inte en användare att få fotfäste inuti ett nätverk. Metasploit t.ex. funkar hur bra som helst på ett lokalt användarkonto. Väl inne i en sån nivå så kan du redan keylogga allt användaren skriver, köra vilken kod som helst på datorn, läsa filer på nätverket som användaren har behörighet till (ofta ganska många och bra filer) eller för all del exploatera en av många säkerhetsbuggar i Windows, drivrutiner, eller andra installerade program, eller dålig konfiguration, för att eskalera dig från en lokal användare till en lokal admin.

Har man väl fått lokal admin så kan man använda ett verktyg som t.ex. mimikatz för att fånga upp administratörer som loggar in på datorn då och då (t.ex. då någon IT-personal med lokal admin på alla datorer på skolan eller ännu värre domänadmin). Som man i sin tur kan använda för att gå vidare in i nätet.

Faktum är att man kan argumentera för att det är säkrare att man INTE har IT-konton som har lokal admin på en massa datorer, utan istället använder adminkonton med behörighet på specifika datorer. Detta eftersom det inte är lika mycket skada skedd om en sådant konto exponeras. Har den rättmätiga ägaren lokal admin så minskar behovet av att exponera såna mer känsliga konton.

Att hindra folk att "pivotera" genom lokala nätverk handlar om nästan allt annat än just lokal admin på datorn. Det handlar om korrekta behörigheter på nätverksresurser, nerlåsta nätverk och brandväggsregler, och bra satta policies.

Skrivet av mini-ryttge:

Det kan vara en så simpel grej som att genomföra träningar inom phishing.

https://www.youtube.com/watch?v=Usu9z0feHug&t=

Ett exempel på hur hackare lyckades föra över 1 000 000 000$ (en miljard dollar) via phishing. (ett mail innehållande en skadlig länk)

Phishing kräver inte local admin.

Skrivet av mini-ryttge:

Hålla miljön ordentligt uppdaterad med av tillverkaren supporterad programvara och operativsystem, på det senaste patchnivåerna.
Hålla sig till de rekommenderade inställningarna för en hög säkerhet. T.ex stänga av SMBv1 som var rekommenderat långt innan EternalBlue spreds i det vilda

https://www.wired.com/story/notpetya-cyberattack-ukraine-russ...

Group Policy skriver över eventuella ändringar som lokala administratörer försöker göra för att t.ex. stänga av SMB1 (om man inte aktivt motverkar det), och hindrar inte heller att policies finns på plats för att uppdatera programvara och operativsystem. Det hindrar inte heller inventering. Att bara ta bort local admin hindrar inte heller användare från att installera osupproterade program som kan ha brister i säkerhet eller vara av gamla versioner.

Har ditt hot redan konto på datorn så är inte risken att ditt hot kan råka slå på SMB1 en faktor. I det läget är det som att oroa sig för att någon kan krossa ett fönster inifrån efter att ha brytit sig in genom bakdörren. Och vill du verkligen stoppa SMB1 i ditt nät så gör du det med fördel med brandväggar med applikationsstöd.

Oavsett så är att ta bort local admin inte ett nödvändigt eller tillräckligt steg i att se till att korrekta säkerhetsinställningar och patchnivåer är installerade.

Skrivet av mini-ryttge:

En artikel om NotPetya som använde EternalBlue och lyckades stänga ner företaget Mearsk, bland annat, i en lång period.
Deras backupschema för domänkontrollanter var ingen alls, dom replikerar och dom räknade inte med att något slog ut alla 150 domänkontrollanter över hela världen samtidgt. Hade det inte vart för ett strömavbrott som lyckades rädda 1 av dessa 150 så hade ett av världens största frakföretag vart nere i månader extra.

Poängen här är att tillsynes gigantiska IT miljöer är förhållandevis sårbara, allt som krävs är att någon gör något vajsing.

Hur man tar eller inte tar backup på domänkontrollanter är inte heller en fråga om Local Admin. RAID är inte en backup, oavsett om det är RAID-1 med 150 diskar! Det är inte heller någon felkonfiguration som skulle kunna uppstå genom att någon har Local Admin på en dator.

Skrivet av mini-ryttge:

Jag gissar att datorerna är laptops, jag gissar att dom cachar domänlösenorden. Det är inte sjukt svårt att göra en pash the hash, speciellt om användarna är localadmin.

https://blog.stealthbits.com/extracting-password-hashes-from-...
https://blog.stealthbits.com/passing-the-hash-with-mimikatz

En pentester hade ju haft vad man kallar "a field day" i en miljö där användare är local admin.

Just risken för PTH och cachade lösenord är ett bra argument för att användare ska ha lokal admin på deras dator och just BARA på deras lokala dator. På det sättet så kan inte ett stulet hash användas för att låsa upp och komma in på alla datorer.

Skrivet av mini-ryttge:

Säkerheten och därmed stabiliteten och tillgängligheten av en IT miljö baseras på att den är en fullständig diktatur där diktatorerna vet vad dem sysslar med. Dom ser till att miljön är så nerlåst som den möjligen kan vara.

En företagsdator (och även en skoldator) är inte din egendom, det är ett verktyg du har tillåtits inneha för att göra din arbetsuppgifter och inget annat. Ingen kommer någonsin bry sig om du surfar lite internet, kollar lite netflix eller mail eller betalar räkningar på den.
Men gränsen går vid att du försöker modifera någon form av systemfiler, vilket är ända anledningen att vara administratör.

Vill du göra saker du inte kan göra med din arbetsdator/skoldator så köp dig en egen dator, en dator du kan göra exakt vad du vill med.

Varje gång du låser ner en dator så minskar du funktionaliteten och tillgängligheten för datorerna. Det kan i sig vara negativt. Det kan t.ex. handla om en lärare som vill använda ett visst program i sin kurs. Om läraren upplever att han inte kan använda verktyget för att han måste köra detta genom en tungrodd IT-organisation så är risken att verksamhetens kvalitet blir sämre. Samma sak om en elev som läser någon programmeringskurs vill testa installera kompilatorer för alternativa språk, andra utvecklingsmiljöer eller liknande, t.ex. om en elev går på ett IT-gymnasium. Den risken måste balanseras mot de fördelar man får med att låsa ner miljön.

Och även i näringslivet är det skillnad på arbetsuppgifter och arbetsuppgifter. Det finns gott om yrkeskårer där produktiviteten ökar genom att låta användarna installera de program de själva behöver, snarare än att en långsam IT-organisation ska behöva följa och bedöma och svara på alla behov som användarna kommer med. Inte alla arbeten går att rama in i en ruta och säga "det är är detta Nisse måste göra med sin dator och inget mer". För en kundtjänstmedarbetare, absolut. För en systemutvecklare, absolut inte. Så finns det så klart ett helt spektrum där mellan.

Skrivet av mini-ryttge:

Bitlocker eller valfri krypteringsmetod med TPM stöd.
Det är "lite" svårare att mounta disken om du behöver en krypteringsnyckel för att läsa data.

Sant, men där jobbar du mot att angripa plattformen inifrån den "pålitliga" plattformen istället. Fulldiskkrypto och TPM skyddar mot angrepp "under" operativsystemet, inte inifrån.

Men egentligen vill jag avsluta med att vi egentligen pratar om fel saker. Du pratar om att IT-säkerhet är viktigt, och det kan vara dyrt när det blir fel. Absolut, jag håller med. IT-säkerhetsarbete är viktigt inom alla organisationer. Men ingen i den här tråden såvitt jag sett (i varje fall inte jag) vill påstå att man inte ska ha ett IT-säkerhetsarbete. Jag ifrågasätter just specifikt mekanisken att "ta bort local admin" utan att göra någon annan åtgärd, vilket också är den frågeställning som lyfts i tråden.

Det finns en massa andra åtgärder som man kan göra istället för att ta bort local admin som ökar säkerheten mycket mer. Något som det kanske finns mer tid över till om de som har nycklarna inte måste springa vaktmästare på minsta lilla grej på en PC för att de är nedlåsta på tok för mycket.

Permalänk
Medlem
Skrivet av mini-ryttge:

Det är lite på nivån känner jag att behöver du argumentera varför inte första bästa pendlare som känner sig sugen ska köra bussen istället för en busschaufför så kanske inte argumenten hade bitit ändå?
Det är liksom så mycket grundläggande kunskaper om IT, säkerhet, allmänt vett osv som saknas att ska man gå igenom allt för att komma till ett argument alla kan förstå så krävs det på tok för mycket information. Man skriver bara av åsikten som korkad istället.
...

Din liknelse är undermålig, det är lokal admin inte för hela skolans IT de skulle få admin-rättigheter. Sedan är det inte som att det saknas lokala privilege escalation sårbarheter så om hela ens miljö faller som käglor för att en laptop blir infekterad så är man körd oavsett.

Min erfarenhet är att nedlåsning hindrar folk från att göra saker ordentligt, även på högskola har jag harft problem med att IT helt enkelt inte installerat de program som behövts (körde egen laptop så inget problem för mig). Det orsakar lätt massor av problem med det ena och det andra som man utan nedlåsning kunnat komma runt själv.'

Min sammanfattning är nog att ta bort lokal admin, speciellt om datorerna är ganska fristående, inte ger meningsfull säkerhet men riskerar att hindra fungerande undervisning.

Visa signatur

RAID is not a backup

Permalänk
Medlem
Skrivet av pv2b:

Jag tycker inte att vi ska idiotförklara någon i den här tråden. Den här tråden handlar om att ta fram argument för/mot lokal admin. Det är precis i en sån här kontext där vi ska fram med en vettig diskussion snarare än att skriva av åsikter som korkade. Då kanske vi kan lära lite av varandra. Det som är hela idén med ett forum, ju!

Att ta bort local admin från en dator hindrar inte en användare att få fotfäste inuti ett nätverk. Metasploit t.ex. funkar hur bra som helst på ett lokalt användarkonto. Väl inne i en sån nivå så kan du redan keylogga allt användaren skriver, köra vilken kod som helst på datorn, läsa filer på nätverket som användaren har behörighet till (ofta ganska många och bra filer) eller för all del exploatera en av många säkerhetsbuggar i Windows, drivrutiner, eller andra installerade program, eller dålig konfiguration, för att eskalera dig från en lokal användare till en lokal admin.

Har man väl fått lokal admin så kan man använda ett verktyg som t.ex. mimikatz för att fånga upp administratörer som loggar in på datorn då och då (t.ex. då någon IT-personal med lokal admin på alla datorer på skolan eller ännu värre domänadmin). Som man i sin tur kan använda för att gå vidare in i nätet.

Faktum är att man kan argumentera för att det är säkrare att man INTE har IT-konton som har lokal admin på en massa datorer, utan istället använder adminkonton med behörighet på specifika datorer. Detta eftersom det inte är lika mycket skada skedd om en sådant konto exponeras. Har den rättmätiga ägaren lokal admin så minskar behovet av att exponera såna mer känsliga konton.

Att hindra folk att "pivotera" genom lokala nätverk handlar om nästan allt annat än just lokal admin på datorn. Det handlar om korrekta behörigheter på nätverksresurser, nerlåsta nätverk och brandväggsregler, och bra satta policies.

Phishing kräver inte local admin.

Group Policy skriver över eventuella ändringar som lokala administratörer försöker göra för att t.ex. stänga av SMB1 (om man inte aktivt motverkar det), och hindrar inte heller att policies finns på plats för att uppdatera programvara och operativsystem. Det hindrar inte heller inventering. Att bara ta bort local admin hindrar inte heller användare från att installera osupproterade program som kan ha brister i säkerhet eller vara av gamla versioner.

Har ditt hot redan konto på datorn så är inte risken att ditt hot kan råka slå på SMB1 en faktor. Och vill du verkligen stoppa SMB1 i ditt nät så gör du det med fördel med brandväggar med applikationsstöd.

Oavsett så är att ta bort local admin inte ett nödvändigt eller tillräckligt steg i att se till att korrekta säkerhetsinställningar och patchnivåer är installerade.

Hur man tar eller inte tar backup på domänkontrollanter är inte heller en fråga om Local Admin. Det är inte heller någon felkonfiguration som skulle kunna uppstå genom att någon har Local Admin på en dator.

Just risken för PTH och cachade lösenord är ett bra argument för att användare ska ha lokal admin på deras dator och just BARA på deras lokala dator. På det sättet så kan inte ett stulet hash användas för att låsa upp och komma in på alla datorer.

Varje gång du låser ner en dator så minskar du funktionaliteten och tillgängligheten för datorerna. Det kan i sig vara negativt. Det kan t.ex. handla om en lärare som vill använda ett visst program i sin kurs. Om läraren upplever att han inte kan använda verktyget för att han måste köra detta genom en tungrodd IT-organisation så är risken att verksamhetens kvalitet blir sämre. Samma sak om en elev som läser någon programmeringskurs vill testa installera kompilatorer för alternativa språk, andra utvecklingsmiljöer eller liknande, t.ex. om en elev går på ett IT-gymnasium. Den risken måste balanseras mot de fördelar man får med att låsa ner miljön.

Och även i näringslivet är det skillnad på arbetsuppgifter och arbetsuppgifter. Det finns gott om yrkeskårer där produktiviteten ökar genom att låta användarna installera de program de själva behöver, snarare än att en långsam IT-organisation ska behöva följa och bedöma och svara på alla behov som användarna kommer med. Inte alla arbeten går att rama in i en ruta och säga "det är är detta Nisse måste göra med sin dator och inget mer". För en kundtjänstmedarbetare, absolut. För en systemutvecklare, absolut inte. Så finns det så klart ett helt spektrum där mellan.

Sant, men där jobbar du mot att angripa plattformen inifrån den "pålitliga" plattformen istället. Fulldiskkrypto och TPM skyddar mot angrepp "under" operativsystemet, inte inifrån.

Men egentligen vill jag avsluta med att vi egentligen pratar om fel saker. Du pratar om att IT-säkerhet är viktigt, och det kan vara dyrt när det blir fel. Absolut, jag håller med. IT-säkerhetsarbete är viktigt inom alla organisationer. Men ingen i den här tråden såvitt jag sett (i varje fall inte jag) vill påstå att man inte ska ha ett IT-säkerhetsarbete. Jag ifrågasätter just specifikt mekanisken att "ta bort local admin" utan att göra någon annan åtgärd, vilket också är den frågeställning som lyfts i tråden.

Det finns en massa andra åtgärder som man kan göra istället för att ta bort local admin som ökar säkerheten mycket mer. Något som det kanske finns mer tid över till om de som har nycklarna inte måste springa vaktmästare på minsta lilla grej på en PC för att de är nedlåsta på tok för mycket.

Du har rätt i att det inte är meningen att idiotförklara någon. Att tala IT säkerhet med en lekman i ämnet blir snabbt en väldig överkurs. Därav, om än lite färgglada analogier.

IT säkerhet som helhet är en ganska djup diskussion och i slutändan är deras IT organisation en diktatur, den kommer att implementera dessa ändringar vare sig folk vill eller inte. Det är ingen demokrati, dem är anställda för att säkra upp miljön och hålla den på en godkänd standard är detta vägen dom tror är bäst frammåt så kommer det inte bli en omröstning.

Länkarna om PTH, Phishing och NotPetya var inte ett argument mot Local Admin i sig, mer några vad jag anser är lite "roliga" artiklar om verkliga händelser och vikten av IT säkerhet och framförallt hur snabbt det kan gå snett.
Ett spektakulärt bankrån eller att flera "Fortuna 500" företag drabbas väldigt hårt med slutnotan i på 10+ miljarder dollar är för en lekman lite intressantare som insteg i vikten av IT säkerhet än en wall of text om olika verktyg för att exploatera sårbarheter.
Jag var nog inte tillräckligt tydlig med syftet med dem.

För att uppnå en god standard på säkerheten på en så stor verksamhet som en skola så räcker det inte med att "ta bort local admin"
Det behöver byggas upp från grunden i flertalet steg.

På samma sätt som ett bra tak inte håller vattnet borta om ditt hus saknar grund och väggar.

Jag antar att local admin är ett steg i mängden av åtgärder, men det som väcker mest uppmärksamhet.
Nedlåsta BIOS, krypterade diskar, hålla maskinerna uppdaterade, vettig nätverkssegregering, välkonfigurerade brandväggar, IDS/IDP, genomgång av NTFS rättigheter och så vidare är ingenting användare märker av. Det skulle vara GAV eller content filtering i brandväggarna men det är saker där de flestas naturliga reaktion när varningen om hemsidan blockerad dyker upp är att bli "skrämd" snarare än att klaga.

Varje person som jobbar med IT säkerhet på ett eller annat vis vet att man inte kan ta bort localadmin och klappa sig på axeln för nu är miljön stensäker. Jag antar kallt att detta är en åtgärdspunkt i mängden.

Därmed ska det inte sägas att det är en liten åtgärdspunkt. Det är en massiv åtgärdspunkt i min mening.

Användarna ska inte installera lite saker själva, saknas program som krävs för uppgifterna så är det ett centralt problem. SCCM är mer eller mindre gratis för education. Tanka upp det i SCCM och distribuera det den vägen.

Givetvis finns det folk som i sina arbetsuppgifter kräver adminrättigheter på ett företag, hur ska IT annars kunna göra något alls?

Men att folk ska kunna tanka ner en texteditor är inte anledning nog för local admin. Dem kan lika gärna tanka vad fan som helst. Cracka Photoshop var poppis när jag gick i skolan. Segt om Adobe knackar på dörren och undrar varför det finns 10 maskiner som ägs och administreras av skolan med en crackad version av Photoshop. Många program har annorlunda licensering om det ska användas i en centraliserad organisation.

Det är kort och gott, en värld av problem för en IT organisation att låta folk ha local admin för en ytterst liten vinst.

EDIT

Skrivet av pv2b:

Varje gång du låser ner en dator så minskar du funktionaliteten och tillgängligheten för datorerna. Det kan i sig vara negativt. Det kan t.ex. handla om en lärare som vill använda ett visst program i sin kurs. Om läraren upplever att han inte kan använda verktyget för att han måste köra detta genom en tungrodd IT-organisation så är risken att verksamhetens kvalitet blir sämre. Samma sak om en elev som läser någon programmeringskurs vill testa installera kompilatorer för alternativa språk, andra utvecklingsmiljöer eller liknande, t.ex. om en elev går på ett IT-gymnasium. Den risken måste balanseras mot de fördelar man får med att låsa ner miljön.

Jag vill adressera denna biten lite extra, speciellt tungrodd IT organisation.

Problemet här är att IT-organisationen är tungrodd, inte att läraren inte kan installera det själv.
Är det ett simpelt program med ett glasklart licenskrav och tillgängliga installationsfiler så borde det inte vara mer än någon arbetsdag från request till implementation i en pakethanterare.

En IT organisation ska vara så agil och tillgänglig att det inte känns betungande att kontakta den och lägga en request.
Är det så att det känns betungande så är det ett organisationellt problem som behöver lösas.

Dessa saker tar ibland tid, speciellt om det är licensavtal, dependencies, installationsfilers tillgänglighet och annat som är svårjobbat.
Det är väsentlig skillnad på ett open-source program som kommer som en msi fil och en .exe utan silent switches som kräver en SQL databas att ansluta till utan någon vettig connection string i config fil och som har ett extremt svårtjobbat och tungt licensavtal.

Man adresserar rotorsaken till problemet istället för att lösa problem med ett annat problem.

Visa signatur

Every mammal on this planet instinctively develops a natural equilibrium with the surrounding environment; but you humans do not. Instead you multiply, and multiply, until every resource is consumed.
There is another organism on this planet that follows the same pattern... a virus.
CITERA CITERA CITERA

Permalänk
Medlem
Skrivet av Jpau94:

Din liknelse är undermålig, det är lokal admin inte för hela skolans IT de skulle få admin-rättigheter. Sedan är det inte som att det saknas lokala privilege escalation sårbarheter så om hela ens miljö faller som käglor för att en laptop blir infekterad så är man körd oavsett.

Min erfarenhet är att nedlåsning hindrar folk från att göra saker ordentligt, även på högskola har jag harft problem med att IT helt enkelt inte installerat de program som behövts (körde egen laptop så inget problem för mig). Det orsakar lätt massor av problem med det ena och det andra som man utan nedlåsning kunnat komma runt själv.'

Min sammanfattning är nog att ta bort lokal admin, speciellt om datorerna är ganska fristående, inte ger meningsfull säkerhet men riskerar att hindra fungerande undervisning.

Du ser det problem du potentiellt kunde löst, inte det problem du potentiellt kunde ställt till med.
Det är två olika aspekter och "ponteitellt kunde ställt till med" gäller för alla, du är uppenbarligen intresserad nog att besöka och kommentera på ett datorforum. Jämför dig med gruppen av människor som inte kunde fått igång en DVD spelare med manualen i hand.

Det finns i varje organisation folk som vet vad dem håller på med som har local admin privilegier, det är inget som är helt tabu. Man håller det helt enkelt till det som kräver det i sin dagliga verksamhet.

När jag pluggade fick vi hårddiskar till labbdatorerna som låg på egna nät. Plugga in din flyttbara disk och gör vad du vill.

En pakethanterare och en spec på vilka program, vilka licenser, och vilka elelver som ska ha tillgång hade löst den biten du diskuterar.

Det var inte ett IT problem, det är ett management problem.
Svårt att göra någonting tillgängligt i tid om man inte vet att det saknas.

Visa signatur

Every mammal on this planet instinctively develops a natural equilibrium with the surrounding environment; but you humans do not. Instead you multiply, and multiply, until every resource is consumed.
There is another organism on this planet that follows the same pattern... a virus.
CITERA CITERA CITERA

Permalänk
Hedersmedlem
Skrivet av mini-ryttge:

Du har rätt i att det inte är meningen att idiotförklara någon. Att tala IT säkerhet med en lekman i ämnet blir snabbt en väldig överkurs. Därav, om än lite färgglada analogier.

IT säkerhet som helhet är en ganska djup diskussion och i slutändan är deras IT organisation en diktatur, den kommer att implementera dessa ändringar vare sig folk vill eller inte. Det är ingen demokrati, dem är anställda för att säkra upp miljön och hålla den på en godkänd standard är detta vägen dom tror är bäst frammåt så kommer det inte bli en omröstning.

Länkarna om PTH, Phishing och NotPetya var inte ett argument mot Local Admin i sig, mer några vad jag anser är lite "roliga" artiklar om verkliga händelser och vikten av IT säkerhet och framförallt hur snabbt det kan gå snett.
Ett spektakulärt bankrån eller att flera "Fortuna 500" företag drabbas väldigt hårt med slutnotan i på 10+ miljarder dollar är för en lekman lite intressantare som insteg i vikten av IT säkerhet än en wall of text om olika verktyg för att exploatera sårbarheter.
Jag var nog inte tillräckligt tydlig med syftet med dem.

För att uppnå en god standard på säkerheten på en så stor verksamhet som en skola så räcker det inte med att "ta bort local admin"
Det behöver byggas upp från grunden i flertalet steg.

På samma sätt som ett bra tak inte håller vattnet borta om ditt hus saknar grund och väggar.

Jag antar att local admin är ett steg i mängden av åtgärder, men det som väcker mest uppmärksamhet.
Nedlåsta BIOS, krypterade diskar, hålla maskinerna uppdaterade, vettig nätverkssegregering, välkonfigurerade brandväggar, IDS/IDP, genomgång av NTFS rättigheter och så vidare är ingenting användare märker av. Det skulle vara GAV eller content filtering i brandväggarna men det är saker där de flestas naturliga reaktion när varningen om hemsidan blockerad dyker upp är att bli "skrämd" snarare än att klaga.

Varje person som jobbar med IT säkerhet på ett eller annat vis vet att man inte kan ta bort localadmin och klappa sig på axeln för nu är miljön stensäker. Jag antar kallt att detta är en åtgärdspunkt i mängden.

Därmed ska det inte sägas att det är en liten åtgärdspunkt. Det är en massiv åtgärdspunkt i min mening.

Användarna ska inte installera lite saker själva, saknas program som krävs för uppgifterna så är det ett centralt problem. SCCM är mer eller mindre gratis för education. Tanka upp det i SCCM och distribuera det den vägen.

Givetvis finns det folk som i sina arbetsuppgifter kräver adminrättigheter på ett företag, hur ska IT annars kunna göra något alls?

Men att folk ska kunna tanka ner en texteditor är inte anledning nog för local admin. Dem kan lika gärna tanka vad fan som helst. Cracka Photoshop var poppis när jag gick i skolan. Segt om Adobe knackar på dörren och undrar varför det finns 10 maskiner som ägs och administreras av skolan med en crackad version av Photoshop. Många program har annorlunda licensering om det ska användas i en centraliserad organisation.

Det är kort och gott, en värld av problem för en IT organisation att låta folk ha local admin för en ytterst liten vinst.

Absolut! Att ta bort local admin kan vara ett nödvändigt steg i att implementera en säkerhetspolicy. Men det är fel ände att börja med att "nu ska vi ta bort local admin", precis som det är fel att börja med "nu ska vi köpa en brandvägg och sätta den framför vår webbserver". Man måste börja med att räkna ut, vad är hotmodellen, vad är det man vill förebygga eller skydda mot? Den analysen saknas helt, just nu. Det är bara "local admin, bra eller anus?", och jag tror att det främsta argumentet mot att ta bort local admin är just att man inte tänkt efter vad det är man vill uppnå. Risken är att man sätter upp hinder som hindrar legitimt användande men samtidigt inte meningsfullt skyddar miljön.

Om hotmodellen är att folk inte ska få köra program andra än som är godkända av den centrala organisationen, ja, då är det ett nödvändigt steg att ta bort local admin från användarna. (Nåja, det finns sätt att ha kvar local admin samtidigt som man kör vitlistning, men det är nog lite överkurs och mer av en teknisk diskussion. ) Då bör man ju dock ta diskussionen om local admin tillsammans om en diskussion om hur vitlistar vi program? Det kanske räcker att man har koll på vad som är installerat, snarare än att försöka styra med järnhand.

Det är inte heller nödvändigtvis sant att en effektiv IT-säkerhets-organisation är och måste vara en diktatur. Den viktigaste komponenten inom it-säkerhet är användarna själva. Det går inte att bygga idiotsäkra system, eftersom någon bara kommer att uppfinna en större idiot. Här är utbildning viktigt, något som faktiskt ändå är skolans mål. För att någon ska kunna lära sig måste han också kunna begå misstag. Särskilt inom universitet så finns en säkerhetskultur som bygger på att låta småsaker gå åt helvete, och istället minimera skadan och vara bra på att återställa skadan den sker. Och fokusera på att skydda infrastruktur och servrar, snarare än att låsa ner varje laptop.

Det är lätt att glömma bort att syftet med IT är att folk faktiskt ska använda datorerna, och allt man gör som gör det svårare att använda datorerna kostar pengar, tid och innovation. Det är inte gratis att ha maximal säkerhet, därför måste man prioritera och göra avvägningar. Till slut så är det inte bara IT som kan dra nytta av att ha fulla behörigheter på sin dator att konfigurera den som man vill. Det är lätt att fastna i den bilden om man bara ser sin egen tillvaro och inte andras.

Till slut vill jag påminna: Jag har aldrig förespråkat att alla alltid ska ha local admin utan att det ska ifrågasättas. Local Admin är en rättighet och till Local Admin kommer också skyldigheter. Som t.ex. att finna sig i att IT helt enkelt blåser rent datorn om du inte kan fixa den själv. Och att det är ansvar att inte ta sönder datorn i det läget.

Permalänk
Hedersmedlem
Skrivet av mini-ryttge:

Jag vill adressera denna biten lite extra, speciellt tungrodd IT organisation.

Problemet här är att IT-organisationen är tungrodd, inte att läraren inte kan installera det själv.
Är det ett simpelt program med ett glasklart licenskrav och tillgängliga installationsfiler så borde det inte vara mer än någon arbetsdag från request till implementation i en pakethanterare.

En IT organisation ska vara så agil och tillgänglig att det inte känns betungande att kontakta den och lägga en request.
Är det så att det känns betungande så är det ett organisationellt problem som behöver lösas.

Dessa saker tar ibland tid, speciellt om det är licensavtal, dependencies, installationsfilers tillgänglighet och annat som är svårjobbat.
Det är väsentlig skillnad på ett open-source program som kommer som en msi fil och en .exe utan silent switches som kräver en SQL databas att ansluta till utan någon vettig connection string i config fil och som har ett extremt svårtjobbat och tungt licensavtal.

Man adresserar rotorsaken till problemet istället för att lösa problem med ett annat problem.

Ja, men vem ska betala för detta?

Allt detta kostar pengar. Det kan vara billigare att låta vissa personer som man litar på installera grejer själva utan att det behöver inverka på säkerheten.

Alternativt, om man väljer att betala dessa pengar, vad kunde man istället fått för pengarna?

Det är inte gratis att ge folk local admin heller (p.g.a. de konsekvenser det kan få), men det kan i vissa fall vara billigare och bättre/effektivare än att behöva bygga upp en större/snabbare IT-organisation.

Till sist, du får ett kyckling/ägget problem om alla mjukvaruinstallationer måste gå genom central IT på det sättet. Om du är lärare och sitter och vill testa en massa bra program som du kanske vill använda i din underfvisning är det ju bra om du faktiskt kan installera och köra dem på din egen dator så du vet vad du ska be IT att paketera! Det går ju att säga att läraren kan testa dessa program på sin egna hemdator, men då är det en rimlig invändning att arbetsgivaren ska tillhandahålla de verktyg som krävs för att läraren ska kunna göra sitt jobb.

Permalänk
Medlem
Skrivet av pv2b:

Absolut! Att ta bort local admin kan vara ett nödvändigt steg i att implementera en säkerhetspolicy. Men det är fel ände att börja med att "nu ska vi ta bort local admin", precis som det är fel att börja med "nu ska vi köpa en brandvägg och sätta den framför vår webbserver". Man måste börja med att räkna ut, vad är hotmodellen, vad är det man vill förebygga eller skydda mot? Den analysen saknas helt, just nu. Det är bara "local admin, bra eller anus?", och jag tror att det främsta argumentet mot att ta bort local admin är just att man inte tänkt efter vad det är man vill uppnå. Risken är att man sätter upp hinder som hindrar legitimt användande men samtidigt inte meningsfullt skyddar miljön.

Om hotmodellen är att folk inte ska få köra program andra än som är godkända av den centrala organisationen, ja, då är det ett nödvändigt steg att ta bort local admin från användarna. (Nåja, det finns sätt att ha kvar local admin samtidigt som man kör vitlistning, men det är nog lite överkurs och mer av en teknisk diskussion. ) Då bör man ju dock ta diskussionen om local admin tillsammans om en diskussion om hur vitlistar vi program? Det kanske räcker att man har koll på vad som är installerat, snarare än att försöka styra med järnhand.

Det är inte heller nödvändigtvis sant att en effektiv IT-säkerhets-organisation är och måste vara en diktatur. Den viktigaste komponenten inom it-säkerhet är användarna själva. Det går inte att bygga idiotsäkra system, eftersom någon bara kommer att uppfinna en större idiot. Här är utbildning viktigt, något som faktiskt ändå är skolans mål. För att någon ska kunna lära sig måste han också kunna begå misstag. Särskilt inom universitet så finns en säkerhetskultur som bygger på att låta småsaker gå åt helvete, och istället minimera skadan och vara bra på att återställa skadan den sker. Och fokusera på att skydda infrastruktur och servrar, snarare än att låsa ner varje laptop.

Det är lätt att glömma bort att syftet med IT är att folk faktiskt ska använda datorerna, och allt man gör som gör det svårare att använda datorerna kostar pengar, tid och innovation. Det är inte gratis att ha maximal säkerhet, därför måste man prioritera och göra avvägningar. Till slut så är det inte bara IT som kan dra nytta av att ha fulla behörigheter på sin dator att konfigurera den som man vill. Det är lätt att fastna i den bilden om man bara ser sin egen tillvaro och inte andras.

Till slut vill jag påminna: Jag har aldrig förespråkat att alla alltid ska ha local admin utan att det ska ifrågasättas. Local Admin är en rättighet och till Local Admin kommer också skyldigheter. Som t.ex. att finna sig i att IT helt enkelt blåser rent datorn om du inte kan fixa den själv. Och att det är ansvar att inte ta sönder datorn i det läget.

Jag håller helt med i allt du säger här.

Vi har nog bara lite olika åsikter om hur man kommer dit och vilken väg som är av minst motstånd.

Jag är en förespråkare av BYOD och "Zero Trust" där det går att implementera.

IT är där för att "tjäna" organisationen i sin helhet till sin bästa förmåga.

IT ska vara enkelt för alla att använda. Den jobbiga delen är IT organisationens del att lösa så den blir enkel för slutanvändaren, för användarna ska det mest vara att köra igång. Ska någonting som krävs installeras ska det finnas i pakethanteraren, det ska installeras med ett knapptryck, bli rätt varje gång, all config ska finnas där och det ska bara vara att köra igång.

Jag tror där vi skiljer oss är att du ger mer frihet åt den gemene användare, du förutsätter att denna har en grundläggande kunskap.
I min mening så ska högsta nivån på vad som krävs vara på den nivån att även den användaren som håller lägst nivå ska kunna göra allt som krävs, installationer och annat utan ITs inblandning .

IT ska vara så "väloljat" maskineri att alla ska kunna använda det till sin fulla potentiall utan några vidare kunskaper och de ska kunna sitta säkert i båten till den nivå att dem är säkra på att de inte riktigt kan paja något av misstag.

Visa signatur

Every mammal on this planet instinctively develops a natural equilibrium with the surrounding environment; but you humans do not. Instead you multiply, and multiply, until every resource is consumed.
There is another organism on this planet that follows the same pattern... a virus.
CITERA CITERA CITERA

Permalänk
Medlem
Skrivet av mini-ryttge:

Så länge datorn behöver nå för skolan kritisk infrastruktur/nätverk så finns det inte ett argument i världen för dessa galenskaper.

Är alla datorer "stand alone", sitter på ett eget 4G WWAN/gästnätverk och autentisering till resurser sker via t.ex Office365 eller andra "cloud" platformar med MFA aktiverat, utskrifter sker via att autentisera sig med MFA mot centraliserade skrivarköer osv så finns det utrymme för att man implementerat "Zero Trust" tillräckligt bra att enheten i sig inte behöver någon vidare säkerhet.

Så länge man använder någon form av "Castle and moat" approach så är det mindre korkat att kolla ner i pipan på ett laddat gevär än att låta avändare, speciellt elever, speciellt i den ålder, ha adminrättigheter.

Jag vet inte om skolan jag pluggade i för ett antal år sedan var någon avstickare men de hade zero-trust och gav därmed alla lokal admin. Har svårt att tänka mig att det är någon ovanlighet inom sådana områden, men vet hur vanligt det är inom företagsvärlden med tillit inom nätverket. Vi hade ingen infrastruktur direkt inlagd i nätverket då alla elev/publika nät inte ens kunde göra intern LAN kommunikation.

Skulle säga att INTE göra zero-trust i den situationen är helt fel och därav bör inte admin rättigheter vara något bekymmer. För även om man hade fixat allting i Windows så ingen kunde göra privilege escalation så förstör du även för legitimt bruk av maskinerna. För även om 90% av allt bruk lär vara inom samma smala programpaket som textbearbetare, så måste man ju kunna göra de resterande 10% också. Då ser jag två "lösningar" om eleverna inte har admin pga perimiter baserad säkerhet.

Man kan försöka centralstyra det vilket i min åsikt är ett dödsfött projekt på Windows då den saknar brett använd och vettig pakethanterare. (Medveten om Chocolatey men det är inte i närheten av exempelvis linux packet hanterare. EDIT: Visste inte om SCCM som nämndes ovan. Ingen aning om dess kvalité men tar det mer än 5min att lägga till någonting eller saknar automatiskt uppdatering så är även det i mina ögon ohållbart.) För annars pratar vi om att underhålla hundratals program och hålla de uppdaterade då elever kan och kommer ha legitima skäl för allt möjligt, särskilt i gymnasiet.

Det andra alternativet är att ge de eleverna som har avvickande behov lokal-admin, men kör man perimiter baserad säkerhet så har man därmed skjutit hål på hela sin säkerhetsmodell.

Realistiskt sett så tror jag eleverna helt enkelt inte hade kunnat göra det dem egentligen skulle behöva. Sedan har vi det fundamentala design problemet med hela perimiter baserade säkerhetsmodellen då den har en enorm attack-surface.

Vill man ha en balans mellan administration och möjlighet så skulle jag säga att zero-trust utan admin som standard är en vettig kompromiss. För då kan du ge de eleverna med skäl admin men majoriteten klarar sig utan. Tänker bara tillbaka till vad jag sysslade med på gymnasietiden. Satt med flertal SDK's som jag själv valt (lycka till att centralhantera) men använde de inom ramarna av skolan och de var därav legitima. Hade jag inte haft admin då så hade sysadmin fått väldigt väldigt många besök av mig, tills jag antingen hade utfört privilege escalation eller använt privat dator då jag hade blivit galen annars. Visst, jag var en avstickare men ens säkerhetslösning måste kunna hantera alla avsedda användare. Tänk bara på saker som gymnasie arbete som är nästan helt öppet med vad det handlar om och därav vilka program som är relevanta.

EDIT: Diskussionen har fortsatt en hel del sedan jag började skriva detta, faran med att skriva medans man gör annat samtidigt.

Visa signatur

Citera eller @philipborg om du vill att jag ska läsa dina svar.

Permalänk
Medlem

Ge alla som går på IT relaterade linjer lokal-admin om de önskar, och när de vill ha det säg att ingen felsökning över 15 min kommer göras om det inte är extra-fall.

Sen utöver det så ge lärare tillgång till att använda adminbehörigheter till elevernas datorer, om det krävs för något udda program ni använder.
Lås ner resterande.

Visa signatur

Har jag uppgivit felaktig information? Rätta mig gärna, jag vet inte allt och kan ha fel.

Permalänk
Medlem
Skrivet av pv2b:

Ja, men vem ska betala för detta?

Allt detta kostar pengar. Det kan vara billigare att låta vissa personer som man litar på installera grejer själva utan att det behöver inverka på säkerheten.

Alternativt, om man väljer att betala dessa pengar, vad kunde man istället fått för pengarna?

Det är inte gratis att ge folk local admin heller (p.g.a. de konsekvenser det kan få), men det kan i vissa fall vara billigare och bättre/effektivare än att behöva bygga upp en större/snabbare IT-organisation.

Till sist, du får ett kyckling/ägget problem om alla mjukvaruinstallationer måste gå genom central IT på det sättet. Om du är lärare och sitter och vill testa en massa bra program som du kanske vill använda i din underfvisning är det ju bra om du faktiskt kan installera och köra dem på din egen dator så du vet vad du ska be IT att paketera! Det går ju att säga att läraren kan testa dessa program på sin egna hemdator, men då är det en rimlig invändning att arbetsgivaren ska tillhandahålla de verktyg som krävs för att läraren ska kunna göra sitt jobb.

Jag känner att betalar du för en IT organisation så är det ganska så solklart att den ska fungera tillfreställande, det är lite upp till IT chefens jobb att se till att den möter organisationen som helhets krav.

I sådana fall är vi nere på "vissa personer", det är inga problem att låta vissa personer med kunskap ha lokal admin.
Det finns till och med system där användarna kan begära lokal admin under en begränsad tidsperiod med en motivation och sedan få detta godkänt via IT avdelningen i ett ticket system.

Ska ett program användas under en kurs så känner jag att detta borde vara en del av utbildningsplanen och vara spikat väl i förväg.
Beta tester är inga problem för någon att hoppa in och installera via ett remote verktyg.

Upp med en ticket med vad och med vilken motivation. Någon hoppar in och löser.

Det känns inte som att alla behöver lokal admin 24/7 för att någon lärare vill utvärdera några program någon gång per termin

Visa signatur

Every mammal on this planet instinctively develops a natural equilibrium with the surrounding environment; but you humans do not. Instead you multiply, and multiply, until every resource is consumed.
There is another organism on this planet that follows the same pattern... a virus.
CITERA CITERA CITERA

Permalänk
Hedersmedlem
Skrivet av Zeedarn:

Sen utöver det så ge lärare tillgång till att använda adminbehörigheter till elevernas datorer, om det krävs för något udda program ni använder.

Nej!

Endast IT (vid behov, allra helst behovsstyrt också!) och eventuellt datorns primära användare ska ha admin på datorn. Lärarna ska absolut INTE ha admin på elevernas datorer. Bara en tidsfråga tills någon lärares lösenord kommer på villovägar och Emma drar in en keylogger på Lisas dator och hackar hennes Instagram, eller Simon hackar till sig Elsas nakenbilder.

Lärarna har inget att göra med att ens logga in på elevernas datorer som användare, än mindre vara admin på dem.

Permalänk
Hedersmedlem
Skrivet av mini-ryttge:

Jag känner att betalar du för en IT organisation så är det ganska så solklart att den ska fungera tillfreställande, det är lite upp till IT chefens jobb att se till att den möter organisationen som helhets krav.

I sådana fall är vi nere på "vissa personer", det är inga problem att låta vissa personer med kunskap ha lokal admin.
Det finns till och med system där användarna kan begära lokal admin under en begränsad tidsperiod med en motivation och sedan få detta godkänt via IT avdelningen i ett ticket system.

Ska ett program användas under en kurs så känner jag att detta borde vara en del av utbildningsplanen och vara spikat väl i förväg.
Beta tester är inga problem för någon att hoppa in och installera via ett remote verktyg.

Upp med en ticket med vad och med vilken motivation. Någon hoppar in och löser.

Det känns inte som att alla behöver lokal admin 24/7 för att någon lärare vill utvärdera några program någon gång per termin

Ja! Men vill man flyga till månen så kostar det därefter. Det kan vara att man inte har råd med en IT-organisation som gör *allt* som man vill att den ska göra. Och varje sak som IT-organisationen måste göra innebär antingen att den blir dyrare eller att kvalitén blir sämre. Inget är gratis. Därför är det ibland bättre att ta bort säkerhetsspärrar som inte fyller någon större funktion.

Och lägger man mer pengar på IT så är det mindre pengar till något annat i skolans verksamhet.

Det blir väldigt dyrt om en IT-tekniker ska behöva gå in och fjärrstyra någon som vill installera ett program för undervisningen varenda gång det ska köras, för att inte tala om tidsineffektivt för läraren.

Det är det jag menar, de resurserna kan istället läggas på något som ger bättre utväxling säkerhetsmässigt.

Jag tror dock att vi landat i en sak som vi i alla fall kommer överens om, *alla* ska inte ha local admin. Den som ska ha local admin måste ha någon slags anledning. Hur bra och utförlig den anledningen behöver vara är ju dock upp till organisationen.

Permalänk
Medlem

Innan man implementerar sånt här så måste man motivera för vilken hotmodell det skyddar mot, om det kommer påverka användarvänligheten och om det är värt minskningen av användarvänligheten. Förutsatt att det inte är chromebooks det handlar om så lär borttagningen av local admin på i princip BYOD datorer bara leda till ett helvete för både användare och IT avdelningen. Antar att huvudargumentet(och kanske det enda semi-giltiga) för är att skydda (okunniga)användare från sig själva och således minska supportärenden men det räcker ju inte riktigt med att bara frånta adminprivilegier. Exempelvis använder mycket malware UAC-bypasses så man måste kombinera det med typ antingen application whitelisting eller ta bort trust även från Windows system applikationer(tror inte någon gör det utan local admin, hade blivit riktigt jobbigt för IT-avdelningen ). Oavsett vad man gör kommer det leda till att IT-avdelningen får mer supportärenden när målet troligtvis var att minska.

Troligtvis bäst att köra på Chromebooks om de uppfyller kraven för vad elever ska använda datorerna till och målet är att skydda användare från sig själva.
Tycker också man bör tänka på elevernas integritet, dessa datorer används i princip som personliga. Ska man göra något sånt här så måste man enligt mig förklara så att alla förstår att de inte är på något vis alls personliga och att andra har full kontroll över dem, att säkerheten och all data på datorn hänger helt på hur duktiga IT-avdelningen är etc.

Visa signatur

5600x, x470-f, 3080 10GB

Permalänk
Medlem

Skummade igenom tråden snabbt och fick känslan av att de flesta fokuserar på att de mer tekniskt kompetenta eleverna kan kringgå de flesta skyddsmekanismer. Så är det förstås - och som någon annan sa - med fysisk access är det i regel game over. Men det gör inte skyddet som mer nedlåsta system ger meningslöst, för det syftar ju även till att skydda utrustning som tillhör "vanliga" användare (som, dessutom, kanske inte riktigt hänger på vad det egentligen innebär att klicka sig förbi en UAC-ruta).

Trådskaparen förklarade inte varför eleverna behöver- eller inte behöver admin-konton, men generellt skulle jag säga att det är en god idé att tillämpa principen om lägsta nödvändiga behörighetsnivå. Om det inte finns någon specifik anledning till att samtliga elever skall ha admin-behörighet så ska de inte ha det. Om det sedan visar sig att 1, 10 eller 100 elever behöver det så kan de väl få det, medan de ~900 andra eleverna fortfarande har kvar det utökade skyddet.

Permalänk
Medlem
Skrivet av felplacrd:

Skummade igenom tråden snabbt och fick känslan av att de flesta fokuserar på att de mer tekniskt kompetenta eleverna kan kringgå de flesta skyddsmekanismer. Så är det förstås - och som någon annan sa - med fysisk access är det i regel game over. Men det gör inte skyddet som mer nedlåsta system ger meningslöst, för det syftar ju även till att skydda utrustning som tillhör "vanliga" användare (som, dessutom, kanske inte riktigt hänger på vad det egentligen innebär att klicka sig förbi en UAC-ruta).

Trådskaparen förklarade inte varför eleverna behöver- eller inte behöver admin-konton, men generellt skulle jag säga att det är en god idé att tillämpa principen om lägsta behörighetsnivå. Om det inte finns någon specifik anledning till att samtliga elever skall ha admin-behörighet så ska de inte ha det. Om det sedan visar sig att 1, 10 eller 100 elever behöver det så kan de väl få det, medan de ~900 andra eleverna fortfarande har kvar det utökade skyddet.

Kanske skyddar någon, men finns malware som kringgår UAC helt genom att exempelvis använda redan pålitliga Windows processer. Det behövs också exempelvis application white listing.

Visa signatur

5600x, x470-f, 3080 10GB