Fungerande IT-Lösningar

Varför ska alla inte vara administratörer?

Det är självklart att var och en ska ha det behörigheter och rättigheter som krävs för att kunna utföra de arbetsuppgifter som behöver utföras. Annars blir det liksom ingen mening med att gå till jobbet.

Däremot så blir det ett lika stort problem om en administratör får virus eller en trojan i sin maskin eller om en administratörs lösenord kommer på villovägar. Sker detta för en användare med fullständiga administrativa rättigheter kan ett helt system bli komprometterat.

Grundprincipen
Alla system skall tillåta ett misstag. Ett system som är så beroende av den mänskliga faktorn att ett felaktigt klick riskerar att äventyra verksamhetens fortsatta framlevnad är inget man önskar sig. Genom att bygga ett system där säkerhet ligger i lager och där principen minsta möjliga privilegier råder kan man tillåta ett misstag utan att hela verksamheten blir lidande.

Detta har inget med tillit att göra utan är praktiska sätt att minimera risker precis på samma sätt som bara en begränsad del av medarbetarna har rättighet att teckna firman eller har access till företagets bankkonton.

Administratör
I gamla nätverk och gamla system finns vanligtvis ganska få nivåer för användares behörigheter, ofta bara användare och administratör. I moderna system finns möjlighet att delegera ansvar på ett helt annat sätt.

En person kan ges behörigheten att administrera en skrivare och nollställa lösenord för en grupp av användare utan att för den skull få administrativa behörigheter till övriga delar.

Dessutom är det troligen så att väldigt få individer har behov av att ändra trådarnas prioritet för processerna i SQL servern eller att bestämma var spärrlistan för utfärdade certifikat skall ligga.

Delegering
Lösningen heter delegering. Det gäller att se till att de användare som skall utföra speciella arbetsuppgifter eller administrativa uppgifter i nätverket får rätt behörighet delegerad till sig så att de kan utföra sina arbetsuppgifter inom de områden som de har behov av.

Spårbarhet
Om något skulle gå dåligt är det viktigt att alla händelser går att spåra. Man måste i efterhand kunna kontrollera vad det var som hände. Denna kontroll är inte till för att hitta syndabockar utan den är det främsta verktyget för att kunna förebygga att det händer igen.

Ett konto, en användare
Nyckeln till spårbarhet ligger i att varje användare får ett eget konto och att enbart den användaren känner till lösenordet för detta konto.

Förutom att detta ger bra spårbarhet så underlättar det högst avsevärt om en dator kommer på villovägar eller om en användares lösenord blir allmänt känt. Då är det bara ett konto eller en funktion som blir påverkad. Det är mycket enklare än att behöva hantera flera personer som använder samma konto och/eller konfigurera om flera tjänster som är beroende av kontot.

Ordentliga lösenord
Då delar av informationen är tillgänglig utifrån via t ex webb mail eller VPN ställs krav på att alla användare har riktiga lösenord. Med riktigt lösenord menas ett lösenord som innehåller en blandning av versaler, gemener, siffror och specialtecken och dessutom är minst 8 tecken långt. Dessutom behöver man byta dessa regelbundet.

Det är väl numera riksbekant vad som händer om man använder t ex sigge som användarnamn och också har sigge som lösenord.

Fjärranslutning
Fjärranslutning utgör i sig ett problem. Om man låter maskiner, över vilka man saknar kontroll, ansluta sig utifrån till det lokala nätverket, finns risk för att dessa maskiner innehåller virus eller trojaner. Dessutom finns en potentiell risk att information kopieras till dessa maskiner och sedan kommer på villovägar.

Särskilt jobbigt blir det om den fjärranslutna maskinen ansluter till nätverket med ett administratörskonto samtidigt som den innehåller någon form av virus, trojan eller malware. Konsekvenserna av detta kan bli förödande.