Kirotut Admin-oikeudet

Centeron guru, Janne Tjäder, kiroilee admin-tunnuksista.

 

Mikä on suljettu ympäristö?

Suljetulla ympäristöllä tarkoitetaan työasemaympäristöä, missä loppukäyttäjille ei ole annettu ylläpitäjän oikeuksia.  Tämä tarkoittaa käytännössä sitä, että käyttäjä ei omalla tunnuksellaan pysty suorittamaan mitään ylläpitäjän tunnuksia vaativia toimenpiteitä kuten vaikka sovelluksen asennusta tai verkkoasetusten muutosta.

Tämä on usein vähänkin suuremmissa ympäristöissä tavoiteltu tilanne, koska työasemaympäristön vakiointitaso (eli eri työasemien samankaltaisuus) halutaan pitää mahdollisimman korkeana. Näin saavutetaan parhaalla mahdollisella tavalla toimivat työasemat ja vikatilanteiden määrä vähenee.

Suljetussa ympäristössä on kuitenkin omat haasteensa.  Miten toimia, kun henkilö on työmatkalla ja pitäisi asentaa jokin sovellus tai vaikka kytkeytyä asiakkaan verkkoon?  Miten tämän kaltaiset tilanteet hoidetaan, jos käyttäjän omalla tunnuksella eivät oikeudet riitä?  Usein käyttäjälle annetaan koneen paikallisen ylläpitäjän tunnuksen salasana, mutta voidaanko sen jälkeen enää puhua suljetusta ympäristöstä? Ei voida.

Kaikkihan myös tietävät, että tietoturvan suurin uhka on yrityksen työntekijät ja heidän huolimattomuutensa.

Tämä pätee valitettavasti myös ylläpitäjätunnusten käyttöön eli vakiointiasteen lisäksi tietoturvataso kärsii lähes poikkeuksetta – ei tosin ainoastaan käyttäjien huolimattomuuden, vaan myös teknisten syiden vuoksi. Monet virukset ja haittaohjelmat hyödyntävät juurikin ylläpitäjätason tunnuksia ja niiden haittavaikutukset ilmenevät vain, jos työasemaa käytetään ylläpitäjätason tunnuksin.

 

Suorita ylläpitäjätasoisia tunnuksia vaativia toimenpiteitä missä tahansa, milloin tahansa – ilman niitä tunnuksia 

Carillon_blogi_kuva2Edellä kuvattuun ongelmaan on kehitetty mahdollisimman pitkälle viety täsmätyökalu eli Centero Carillon.  Otetaan heti alkuun esimerkki. Esimerkkiyritys nimeltä Centerock Oy on ottanut Carillon tuotteen käyttöön, ja luonut sen avulla suljetun ympäristön. Käyttäjillä ei siis ole ylläpitäjätasoisia oikeuksia omaan koneeseen.  Kun käyttäjä on työmatkalla ja rupeaa asentamaan tulostinta, tulee näytölle käyttöjärjestelmän antama ilmoitus oikeuksien riittämättömyydestä (kts. kuva vasemmalla). Kuten kuvastakin voi huomata Windows 7:n User Account Control (UAC) -ikkunasta löytyy myös Centero Carillon -vaihtoehto ylläpitäjän tunnustietojen syöttämiseen.

Carillon_blogi_kuva1

Tässä vaiheessa käyttäjä soittaa oman organisaationsa IT-tukeen ja ilmoittaa että on asentamassa tulostinta, mutta oikeudet eivät riitä toimenpiteeseen. IT-tuki luo tarvittavan aktivointikoodin, antaa sen käyttäjälle, joka syöttää koodin Centero Carillon -kenttään (kts. kuva vasemmalla) ja painaa ”Yes” niin asennus käynnistyy ja myös onnistuu (kts. kuva alla vasemmalla).

 

 

Carillon_blogi_kuva3Ja kuten huomataan, käyttäjä ei missään vaiheessa saanut ylläpitäjätasoisen tunnuksen salasanaa tai edes tunnuksen nimeä, vaan ainoastaan syötti valintaruutuun pelkästään koodin, joka on voimassa vain yhden toimenpiteen ajan tai se voidaan tarvittaessa myöntää pidemmäksikin aikaa. Valinnan aktivointikoodin voimassaoloajasta tekee aina koodin luoja, joka useimmiten on IT-tuki. Koodin käyttäminen ei vaadi verkkoyhteyttä eli se toimii vaikka työasema ei olisi verkossa lainkaan.

 

Mitä hyviä asioita tässä tapahtui?

Käyttäjä sai helposti tulostimen asennettua, vaikkei hänellä ollutkaan ylläpitäjätasoisia oikeuksia omalla tunnuksella

Käyttäjä ei silti saanut tietoonsa ylläpitäjän tasoista tunnusta tai salasanaa,  vaan pelkän aktivointikoodin jota ei voi käyttää kuin kerran

IT-tuki kirjasi aktivointikoodin luomisen yhteydessä merkinnäin siitä, mihin tarkoitukseen koodi myönnettiin ja kuinka pitkäksi ajaksi.

Kaikista tapahtumista on siis jälki tietokannassa, jolloin myöhemmin voidaan tarkastella kuinka paljon ja mistä syistä väliaikaisia ylläpitäjäoikeuksia on jouduttu myöntämään.

Joku sivistyneempi nykyaikainen käyttäjä voisi toki yrittää tehdä niin, että hakee itselleen väliaikaiset ylläpitäjän oikeudet ja lisää sitten oman tunnuksensa pysyvästi ylläpitäjän oikeudet antavaan ryhmään.  Centero Carillon -järjestelmässä kuitenkin hallitaan myös sitä, kenellä saa tai pitää olla jatkuvat ylläpitäjän oikeudet. Käyttäjän tunnus poistetaan ryhmästä minuutin sisällä, mikäli se ei ole määrityksien mukainen.

Carillon_blogi_kuva4Tässä esimerkissä käyttöjärjestelmä pyysi tunnuksen tietoja tulostimen asennusvaiheessa koska käyttäjän tunnuksella ei tarvittavia oikeuksia ollut.  Carillon laajentaa myös itse käyttöjärjestelmän kirjautumisen valikkoa, eli aktivointikoodilla voidaan tarvittaessa myös kirjautua työasemaan (kts. kuva).

 

 

Lisätietoa Centero Carillonista

Centero Carillon tuotteen avulla voidaan luoda helposti ja nopeasti suljettu ympäristö, missä loppukäyttäjät voivat pyytää väliaikaisia ylläpitäjän oikeuksia.  Samalla tuotteella voidaan myös hallita paikallisia ryhmiä, tunnuksia ja salasanoja ja se sisältää laajat raportointiominaisuudet.

>> Lue lisää Centero Carillonista

Laske säästösi

Automatisoi sovelluspäivitykset ja lopeta pikkusoftien kanssa painiminen. Centero Software Manager säästää aikaa, rahaa ja hermojasi.

« Edellinen artikkeli: Vakiosovellukset hallintaan
» Seuraava artikkeli: PKI for Dummies :)