H?ndtering av passord for privilegerte brukere

Hvordan sikre at oppbevaring og distribusjon av passord til privilegerte brukere skjer slik at sannsynligheten for kompromittering blir minimal.

Definisjoner

Med privilegerte brukere menes her

  • Kontoen ?root? p? tjenermaskiner som kj?rer Linux
  • Kontoen ?Administrator? p? tjenermaskiner som kj?rer MS Windows
  • Systemkontoer og ?tjeneste-kontoer? p? alle tjenermaskiner
  • Systemkontoer i databaser
  • Systemkontoer p? nettverksutstyr
  • Passord for krypterte forbindelser
  • Systempassord p? annen infrastruktur.

Fellestrekk er at det er kontoer som direkte eller indirekte lar deg kontrollere en eller flere kontoer med lavere privilegier.

Ved tvilstilfeller skal denne prosedyren f?lges til annet er avklart med IT-sikkerhetssjef.

Innledning

Passord er fremdeles den prim?re metoden for ? autentisere seg i v?re IT-systemer. Passord til privilegerte brukere er spesielt sensitive fordi de gir tilgang til kontoer som har rettigheter til ? se og endre brukeres data, og ofte har de ogs? rettigheter til helt eller delvis slette spor.

Det er derfor meget viktig at disse passordene kun besittes av de som har rettmessig behov for dem.  Oppbevaring, endring og overlevering skal skje iht. denne prosedyren for ? minske risikoen for at de kommer p? avveie.

N?r skal passord skiftes

Passordskifte for privilegerte brukere skal skje n?r:

  • Det foreligger mistanke om kompromittering av passord
  • N?r folk med kjennskap til passordet slutter, endrer rolle, g?r ut i permisjon eller ved andre forhold som gj?r at de ikke lenger skal ha kjennskap til passordet.
  • Minimum hver 6. m?ned for kontoer som benyttes interaktivt.
  • Minimum hver 12. m?ned for kontoer for tjenestekontoer
  • Oftere hvis det fremg?r av driftsavtale eller at det foreligger spesiell grunn til det.

Passordgenerering, passordkompleksitet og bruk

Et passord skal ha tilstrekkelig kompleksitet til ? sikre at et ?brute force? angrep p? passordet er usannsynlig/umulig innenfor passordets levetid. Kompleksiteten skal i tillegg avveies mot muligheten til ? huske passordet, for p? den m?ten sikre at det ikke noteres eller oppbevares p? andre usikre m?ter. Passordfraser skal benyttes der det er st?ttet av operativsystemet.

Passord for privilegerte kontoer skal ha f?lgende egenskaper:

  • Minimum 15 tegn, der dette er st?ttet.
  • Minst samme passordkompleksitet som for brukerpassord, dvs. minimum 3 av de 4 gruppene sm? tegn, store tegn, tall og symboler.
  • V?re en passordfrase der det er st?ttet av systemet
  • Passordet skal kun benyttes til ett form?l. Dvs. et passord til en priviligert konto skal ikke ogs? v?re passord for et sertifikat eller en privat n?kkel.
  • Hvis passordgeneratorer benyttes s? skal disse kj?res lokalt p? en maskin en stoler p?, og en skal v?re sikker p? at det genererte passordet ikke blir lagret eller blir eksponert for uvedkommende i prosessen.

Passord for interaktive privilegerte brukere

Passord for interaktive h?ypriviligerte brukere vil typisk v?re passord for ?root? Linux-systemer, passord for ?Administrator? eller tilsvarende p? Windows-systemer, oracle-brukeren p? Oracle-databaser o.l.

Fellestrekket er at det er et passord som benyttes regelmessig i drift av systemer og at det har h?ye tilgangsrettigheter - enten direkte eller indirekte.

Der det er mulig skal det s?kes ? ha personlige brukere som kan knyttes til en enkeltperson. Der dette ikke er mulig skal det til enhver tid finnes en oppdatert liste over hvem som har kjenskap til passordet og hvem som har lov til ? gi tilgang til dette.

Disse passordene skal:

  • Kun benyttes fra maskiner en stoler p?.
  • Kun benyttes av rettmessig innehaver av passordet - det skal ikke deles eller l?nes ut.
  • Kun oppbevares p? godkjent m?te. Se eget punkt om oppbevaring.

Passord for ikke-interaktive privilegerte brukere

Passord for ikke interaktive privilegerte brukere er typisk passord som benyttes av en tjeneste. Det kan v?re en ?service account? p? en Windows-maskin, en databasebruker, en bruker for LDAP oppslag, backup eller lignende.

Fellestrekket er at det er et passord som ikke benyttes av personer i deres daglige virke, men benyttes i integrasjon av systemer.

Disse passordene skal i tillegg til overnevnte egenskaper ogs?:

  • Deles med s? f? personer som mulig - b?r derfor ikke ligge i felles passorddatabase.
  • Lagres for disaster/recovery form?l - slik at de kan fremskaffes ved behov.
  • Kun oppbevares p? godkjent m?te. Se eget punkt om oppbevaring.
  • Hvis de m? lagres i skript, konfigurasjonsfiler el. s? skal ekstra beskyttelsestiltak v?re gjort - slik at det krever tilganger av samme niv? eller h?yere for ? f? kjennskap til passordet.
  • Ikke benyttes av personer til daglig drift.

SSH-n?kler

SSH-n?kler benyttes i noen tilfeller av automatiske jobber for filoverf?ringer ol.

SSH-n?kler skal oppbevares og behandles som passord dvs:

  • Den private n?kkelen skal skiftes n?r noen som har hatt tilgang til denne slutter.
  • Passordfrase skal f?lge samme regler som passord mtp. styrke og lengde.
  • Skifte av passordfrase skal skje like ofte som skifte av passord.
  • Der det teknisk er mulig skal ekstra beskyttelsestiltak iverksettes, dvs.: benytt "from=..." i n?kkelen og benytt ssh-agent
  • SSH-n?kler i ssh-agent skal lastes inn med passordfrase ved hver omstart av maskinen og kan ligge lagret i ssh-agent frem til neste omstart.

Passordoppbevaring

Med oppbevaring mener vi her oppbevaring andre steder enn i systemet som benytter passordet. Dvs. oppbevaring av passord for ? kunne fremskaffe det til en gjenoppbygging av et system ved en katastrofe, eller oppbevaring fordi det ikke er hensiktsmessig ? l?re alle passord utenat.

For privilegerte passord stiller vi en rekke krav til hvordan de skal oppbevares.

Elektronisk oppbevaring

Privilegerte passord som skal oppbevares elektronisk skal:

  • Lagres kryptert med godkjent kryptering - se liste over passord-lagringsprogrammer
  • Beskyttes med et passord / passordfrase som har styrke minst like god som passordene som skal oppbevares.
  • Lagres p? sted som normalt sett ikke er tilgjenglig for andre enn bruker - f.eks. p? hjemmeomr?de eller p? kryptert harddisk p? b?rbar.

Oppbevaring p? papir

Privilegerte passord som skal oppbevares p? papir skal:

  • Oppbevares i l?st safe, st?lskap eller tilsvarende.
  • Oppbevares p? en slik m?te at ikke flere enn de som har rettmessig behov for det har tilgang. Dvs. ikke ligge i en safe som deles med andre som ikke skal ha tilgang til passordet.
  • Deles passord ut p? papir s? skal papiret makuleres s? fort det er lagt inn i passord-lagringsprogram.

Passorddistribusjon

Passorddistribusjon av privilegerte passord skal om mulig kun skje ved personlig overlevering. Passord skal kun distribueres av de som har rett til ? dele ut passordet. Overlevering kan enten skje ved direkte overlevering av passord, eller ved at passord distribueres kryptert elektronisk og s? overleveres passord for ? ?pne denne fila personlig.

Hvis en ikke kjenner vedkommendes identitet s? skal det fremvises gyldig legitimasjon.

Om overlevering ikke kan skje personlig, s? skal det kun skje n?r en er sikker p? identiteten til mottaker. F.eks. ved telefon eller videosamtale med noen en kjenner.

 

 

 

Publisert 2. apr. 2017 20:31 - Sist endret 12. jan. 2024 10:08