Håndtering av passord for privilegerte brukere

Hvordan sikre at oppbevaring og distribusjon av passord til privilegerte brukere skjer slik at sannsynligheten for kompromittering blir minimal.

Definisjoner

Med privilegerte brukere menes her

  • Kontoen «root» på tjenermaskiner som kjører Linux
  • Kontoen «Administrator» på tjenermaskiner som kjører MS Windows
  • Systemkontoer og «tjeneste-kontoer» på alle tjenermaskiner
  • Systemkontoer i databaser
  • Systemkontoer på nettverksutstyr
  • Passord for krypterte forbindelser
  • Systempassord på annen infrastruktur.

Fellestrekk er at det er kontoer som direkte eller indirekte lar deg kontrollere en eller flere kontoer med lavere privilegier.

Ved tvilstilfeller skal denne prosedyren følges til annet er avklart med IT-sikkerhetssjef.

Innledning

Passord er fremdeles den primære metoden for å autentisere seg i våre IT-systemer. Passord til privilegerte brukere er spesielt sensitive fordi de gir tilgang til kontoer som har rettigheter til å se og endre brukeres data, og ofte har de også rettigheter til helt eller delvis slette spor.

Det er derfor meget viktig at disse passordene kun besittes av de som har rettmessig behov for dem.  Oppbevaring, endring og overlevering skal skje iht. denne prosedyren for å minske risikoen for at de kommer på avveie.

Når skal passord skiftes

Passordskifte for privilegerte brukere skal skje når:

  • Det foreligger mistanke om kompromittering av passord
  • Når folk med kjennskap til passordet slutter, endrer rolle, går ut i permisjon eller ved andre forhold som gjør at de ikke lenger skal ha kjennskap til passordet.
  • Minimum hver 6. måned for kontoer som benyttes interaktivt.
  • Minimum hver 12. måned for kontoer for tjenestekontoer
  • Oftere hvis det fremgår av driftsavtale eller at det foreligger spesiell grunn til det.

Passordgenerering, passordkompleksitet og bruk

Et passord skal ha tilstrekkelig kompleksitet til å sikre at et «brute force» angrep på passordet er usannsynlig/umulig innenfor passordets levetid. Kompleksiteten skal i tillegg avveies mot muligheten til å huske passordet, for på den måten sikre at det ikke noteres eller oppbevares på andre usikre måter. Passordfraser skal benyttes der det er støttet av operativsystemet.

Passord for privilegerte kontoer skal ha følgende egenskaper:

  • Minimum 15 tegn, der dette er støttet.
  • Minst samme passordkompleksitet som for brukerpassord, dvs. minimum 3 av de 4 gruppene små tegn, store tegn, tall og symboler.
  • Være en passordfrase der det er støttet av systemet
  • Passordet skal kun benyttes til ett formål. Dvs. et passord til en priviligert konto skal ikke også være passord for et sertifikat eller en privat nøkkel.
  • Hvis passordgeneratorer benyttes så skal disse kjøres lokalt på en maskin en stoler på, og en skal være sikker på at det genererte passordet ikke blir lagret eller blir eksponert for uvedkommende i prosessen.

Passord for interaktive privilegerte brukere

Passord for interaktive høypriviligerte brukere vil typisk være passord for «root» Linux-systemer, passord for «Administrator» eller tilsvarende på Windows-systemer, oracle-brukeren på Oracle-databaser o.l.

Fellestrekket er at det er et passord som benyttes regelmessig i drift av systemer og at det har høye tilgangsrettigheter - enten direkte eller indirekte.

Der det er mulig skal det søkes å ha personlige brukere som kan knyttes til en enkeltperson. Der dette ikke er mulig skal det til enhver tid finnes en oppdatert liste over hvem som har kjenskap til passordet og hvem som har lov til å gi tilgang til dette.

Disse passordene skal:

  • Kun benyttes fra maskiner en stoler på.
  • Kun benyttes av rettmessig innehaver av passordet - det skal ikke deles eller lånes ut.
  • Kun oppbevares på godkjent måte. Se eget punkt om oppbevaring.

Passord for ikke-interaktive privilegerte brukere

Passord for ikke interaktive privilegerte brukere er typisk passord som benyttes av en tjeneste. Det kan være en «service account» på en Windows-maskin, en databasebruker, en bruker for LDAP oppslag, backup eller lignende.

Fellestrekket er at det er et passord som ikke benyttes av personer i deres daglige virke, men benyttes i integrasjon av systemer.

Disse passordene skal i tillegg til overnevnte egenskaper også:

  • Deles med så få personer som mulig - bør derfor ikke ligge i felles passorddatabase.
  • Lagres for disaster/recovery formål - slik at de kan fremskaffes ved behov.
  • Kun oppbevares på godkjent måte. Se eget punkt om oppbevaring.
  • Hvis de må lagres i skript, konfigurasjonsfiler el. så skal ekstra beskyttelsestiltak være gjort - slik at det krever tilganger av samme nivå eller høyere for å få kjennskap til passordet.
  • Ikke benyttes av personer til daglig drift.

SSH-nøkler

SSH-nøkler benyttes i noen tilfeller av automatiske jobber for filoverføringer ol.

SSH-nøkler skal oppbevares og behandles som passord dvs:

  • Den private nøkkelen skal skiftes når noen som har hatt tilgang til denne slutter.
  • Passordfrase skal følge samme regler som passord mtp. styrke og lengde.
  • Skifte av passordfrase skal skje like ofte som skifte av passord.
  • Der det teknisk er mulig skal ekstra beskyttelsestiltak iverksettes, dvs.: benytt "from=..." i nøkkelen og benytt ssh-agent
  • SSH-nøkler i ssh-agent skal lastes inn med passordfrase ved hver omstart av maskinen og kan ligge lagret i ssh-agent frem til neste omstart.

Se forøvrig Retningslinjer for sikker bruk av ssh og screen

Passordoppbevaring

Med oppbevaring mener vi her oppbevaring andre steder enn i systemet som benytter passordet. Dvs. oppbevaring av passord for å kunne fremskaffe det til en gjenoppbygging av et system ved en katastrofe, eller oppbevaring fordi det ikke er hensiktsmessig å lære alle passord utenat.

For privilegerte passord stiller vi en rekke krav til hvordan de skal oppbevares.

Elektronisk oppbevaring

Privilegerte passord som skal oppbevares elektronisk skal:

  • Lagres kryptert med godkjent kryptering - se liste over passord-lagringsprogrammer
  • Beskyttes med et passord / passordfrase som har styrke minst like god som passordene som skal oppbevares.
  • Lagres på sted som normalt sett ikke er tilgjenglig for andre enn bruker - f.eks. på hjemmeområde eller på kryptert harddisk på bærbar.

Oppbevaring på papir

Privilegerte passord som skal oppbevares på papir skal:

  • Oppbevares i låst safe, stålskap eller tilsvarende.
  • Oppbevares på en slik måte at ikke flere enn de som har rettmessig behov for det har tilgang. Dvs. ikke ligge i en safe som deles med andre som ikke skal ha tilgang til passordet.
  • Deles passord ut på papir så skal papiret makuleres så fort det er lagt inn i passord-lagringsprogram.

Passorddistribusjon

Passorddistribusjon av privilegerte passord skal kun skje ved personlig overlevering. Passord skal kun distribueres av de som har rett til å dele ut passordet. Overlevering kan enten skje ved direkte overlevering av passord, eller ved at passord distribueres kryptert elektronisk og så overleveres passord for å åpne denne fila personlig.

Hvis en ikke kjenner vedkommendes identitet så skal det fremvises gyldig legitimasjon.

 

 

 

Publisert 2. apr. 2017 20:31 - Sist endret 4. jan. 2018 12:40