Beperk de lokale beheerdersrechten van gebruikers. Waarom en hoe?

De standaard implementatie is gevaarlijk

De standaard ‘setup’ van Windows 10 apparaten in de Azure Active Directory is gevaarlijk! Die standaard geeft gebruikers lokale beheerdersrechten, een risico dat uitgesloten moet worden. Dat kan op verschillende manieren, maar elke oplossing heeft zijn voor- en nadelen. Implementeer AppLocker.

Wat is er gevaarlijk aan?

Heeft de gebruiker lokale beheerdersrechten, dan kan hij of zij bijvoorbeeld software installeren. Op zich prachtig als je gebruikers de vrijheid wil geven om te kiezen wat het beste bij hun werk past, maar hoe zit het met de bescherming van data en het naleven van de privacyregels? Voor je het weet ligt gevoelige data onbewust en ongezien bij een ander, bij de softwareleverancier bijvoorbeeld. Ook kan ‘kwaadwillende’ software de beheerdersrechten gebruiken zonder dat de gebruiker het doorheeft. En dan kan er van alles gebeuren. Het is niet anders, de vrijheid van gebruikers wordt minder door de risico’s die aan die vrijheid kleven.

Het beste voor de gebruiker

Welke rechten gebruikers mogen krijgen wordt bepaald door een risicoanalyse. Kijk bij het vaststellen van de risico’s naar de belangen van de gebruikers, dus kijk vanuit een business-perspectief. Neem ook de AVG-richtlijnen en de ‘security control-sets’ en ‘security categories’ van ISO27001 mee bij het bepalen van de maatregelen. Een van die maatregelen zal zeker het inperken van de beheerdersrechten zijn, maar misschien niet voor elke gebruiker. Een risk assessment met een ‘business view’ houdt rekening met de rol en identiteit van de gebruiker.

Hoe dan?

Zoals gezegd zijn meerdere oplossingen. Bijvoorbeeld door Microsoft Defender Advanced Threat Protection (MDATP) of een oplossing van een derde partij die mogelijke ‘inbreuken’ detecteert op alle apparaten zodat je snel actie kan nemen. Maar de beste oplossing is om de beheerdersrechten van gebruikers in te trekken en een aantal basisregels voor AppLocker te implementeren zodat voorkomen wordt dat ongewenste software wordt uitgevoerd op de apparaten. En als er al rechten worden uitgedeeld dan doen we dat tijdelijk en in combinatie met Endpoint Detection and Response (EDR) functionaliteit. MDATP is een EDR product.

In deze blog bespreken we de functionaliteit van AppLocker, de manier om ‘policies’ te implementeren, beperkingen en de voor- en nadelen. Ervaringen opgedaan in de praktijk.

Insight24 helpt

Verbeter de beveiliging van de IT-omgeving met AppLocker, maar het is een eerste stap. Windows Defender Application Control (WDAC) implementeren is een goed vervolg. Versterk de beveiliging stap voor stap en met onze oplossing voor Workplace Security ben je zeker van een gerichte implementatie afgestemd op de business. Vooraf een risicoanalyse uitvoeren vanuit een business perspectief is zeer aan te bevelen.