FOA — Forum for offentlige anskaffelser

Til kapitteloversikt

NSM-veileder

2.6.5 Minimer rettigheter på drifts-kontoer.

NSM: Grunnprinsipper for IKT-sikkerhet · 2024-06-05

FOA-vurdering

Minimer rettigheter og sporbarhet på driftskontoer

Kapitlet viser at driftskontoer skal ha så få rettigheter som mulig, slik at en kompromittert konto ikke gir tilgang til hele systemet. Det betyr også at ulike driftsoppgaver bør ligge på ulike kontoer, for eksempel backup, brukeradministrasjon, klientdrift og serverdrift. Kontoer med domene-admin-rettigheter skal bare brukes i et minimum av driftsoperasjonene. De bør ikke brukes interaktivt på klienter og servere, fordi det øker konsekvensene ved misbruk og angrep. Teksten peker også på at upersonlige kontoer svekker sporbarheten. Bruk personlige brukeridentiteter der det er mulig, og logg inn med personlig bruker før en eventuell upersonlig konto brukes.

Betydning for anskaffelser

Kilden brukes når anskaffelsen eller kontrakten skal stille krav til tilgangsstyring, privilegier og sporbarhet i leveransen. Den er særlig relevant ved vurdering av sikkerhetskrav, driftsrutiner, tilgangskontroll og hvordan administrative kontoer skal håndteres i systemer som skal leveres eller driftes.

Sentrale kildepunkter

  • Driftskontoer skal ha avgrensede rettigheter.
  • Ulike driftsoppgaver bør fordeles på ulike kontoer.
  • Domene-admin-rettigheter skal brukes bare i et minimum av driftsoperasjoner.
  • Domene-admin-kontoer skal ikke brukes interaktivt på klienter og servere.
  • Upersonlige kontoer bør unngås for å sikre sporbarhet.
  • Hvis upersonlig konto må brukes, bør innlogging skje via personlig bruker først.

Berørte bestemmelser

  • NSM: GRUNNPRINSIPPER FOR IKT-SIKKERHET § kap. 2.6.5 – Bestemmelsen angir krav til minst mulig rettigheter på driftskontoer, begrenset bruk av domene-admin og bedre sporbarhet.
Fulltekst

(selv om det kanskje er samme person som reelt sett utfører oppgavene), slik at kompromittering av en konto ikke gir fulle rettigheter til hele systemet. Dvs. forskjellige drifts-kontoer for backup, brukeradministrasjon, klientdrift, serverdrift, mm. b) Begrens bruken av kontoer med domene- admin rettigheter til kun et minimum av virksomhetens drifts-operasjoner. Spesielt bør kontoer med domene-admin rettigheter aldri benyttes interaktivt på klienter og servere (reduserer konsekvensene av «pass the hash» angrep). c) Unngå bruk av upersonlige kontoer («backup_arne» er bedre enn bare «backup») slik at man har god sporbarhet og lettere kan deaktivere kontoer når noen slutter. Hvis det er vanskelig å unngå å ha en upersonlig konto bør man først logge seg inn med en personlig bruker for å ivareta sporbarhet.