image

Security Tip van de Week: log niet in als administrator

maandag 29 april 2013, 11:20 door Klaas van Buiten, 14 reacties

In de Security Tip van de week geeft elke week een andere professional, expert, onderzoeker of lezer een security tip. Persoonlijke tips, variërend van het veilig configureren van Windows, een handige security tool of het juist instellen van een firewall, waarmee de tipgever zijn systeem, applicatie of netwerk veiliger maakt.

Heb jij ook een leuke, originele, maar bovenal goede security tip die niet mag ontbreken, stuur dan een mail naar redactie@security.nl.

Deze week de tip van Klaas Van Buiten

Meld je niet aan als 'administrator' of 'root'
Tenzij er echt geen andere mogelijkheid is om voor jezelf of je bedrijf aanpassingen te doen aan je systeem, werk dan met een account dat je daarvoor hebt aangemaakt dat net voldoende rechten heeft en niet met root (A/L) respectievelijk administrator.

Zo'n account krijg je bij de meeste Mac OSX-releases automatisch (althans degene die ik ken [zit nog op het oude vertrouwde 10.6] en bevindt zich in de groep met de naam 'Staff'). Met behulp van het sudo-commando kun je vrijwel alles. Mocht je zover willen gaan dat je diep in je systeem wil ingrijpen, wat mij nog niet is overkomen en je wilt root toch activeren en zelfs gebruiken, doe dat dan offline en sluit na een uitvoerige test je systeem helemaal af, herstart en maak nogmaals een veiligheidskopie. Vooraf had je dat natuurlijk al gedaan mag ik hopen.

Bij Windows was het, wat ik me van Vista nog kan herinneren, een klein beetje anders: Ik had hier voor onder andere FreeBasic het account administrator echt nodig.

Ik heb voor diverse klusjes een stuk of vijf accounts aangemaakt met redelijke rechten, zoals het gebruiken van objecten en applicaties, alleen lezen van (een selectie van) gegevens en te hooi en te gras wat mogelijkheden om in hun eigen mappen wat toe te voegen, te veranderen en bij uitzondering te wissen.

Ook hier weer: maak zowel vooraf als achteraf één of meer veiligheidskopieën van met name gegevens, syste(e)m(en) en wat dies meer zij. Sla ze op USB, DVD en/of 'in een cloud' op. Naar je eigen mail-adres(sen) sturen als bijlage kan natuurlijk ook.

Klaas van Buiten is een MetaDataBase Administrator & ICT Consultant.

Dit artikel is geschreven op persoonlijke titel van de auteur en reflecteert niet noodzakelijk de zienswijze van Security.NL.

Reacties (14)
29-04-2013, 12:20 door Spiff has left the building
Door Klaas van Buiten:
Bij Windows was het, wat ik me van Vista nog kan herinneren, een klein beetje anders: Ik had hier voor onder andere FreeBasic het account administrator echt nodig.
Ik begrijp dat dat geruime tijd geleden was? Hoe lang geleden?
Toen Vista net uit was, was het werken in een standaardgebruikersaccount nog ongebruikelijk, en diverse programma's waren er nog gebrekkig of helemaal nog niet op toegerust. Voor de meeste programma's is dat daarna veranderd en die kunnen nu prima gebruikt worden onder een standaardgebruikersaccount. Uitzondering zijn uiteraard die programma's die nadrukkelijk bedoeld zijn om beheershandelingen mee uit te voeren, dergelijke applicaties moeten veelal wél met Administrator-rechten worden uitgevoerd om ze te kunnen toepassen.
Met FreeBASIC heb ik geen ervaring, maar mogelijk kan ook dat inmiddels met beperkte rechten toe?
29-04-2013, 13:16 door Anoniem
Zo'n account krijg je bij de meeste Mac OSX-releases automatisch (althans degene die ik ken [zit nog op het oude vertrouwde 10.6] en bevindt zich in de groep met de naam 'Staff'). Met behulp van het sudo-commando kun je vrijwel alles. Mocht je zover willen gaan dat je diep in je systeem wil ingrijpen, wat mij nog niet is overkomen en je wilt root toch activeren en zelfs gebruiken, doe dat dan offline en sluit na een uitvoerige test je systeem helemaal af, herstart en maak nogmaals een veiligheidskopie. Vooraf had je dat natuurlijk al gedaan mag ik hopen.

Als Mac user en op basis van ervaring met Mac OS X heb ik wel een vermoeden in welke security richting het advies wijst, evengoed is me op basis van de tekst niet geheel duidelijk wat hierboven exact bedoeld / beweerd wordt.

Waarom één en ander niet wat exacter en specifieker omschreven en begrijpelijk voor iedereen geïllustreerd?
Op welke OS-en heeft de professionele ervaring van de ICT consultancy specifiek betrekking?

Mac gebruikers raad ik dringend aan direct de bron (Apple) te raadplegen ( document versie afhankelijk van je OS X versie natuurlijk) ;

" SnowLeopard_Security_Config_v10.6.pdf "

Hoofdstuk 6 : "Securing Accounts"
En bijvoorbeeld pagina's 151 t/m 153, "Securing User Home Folders"

+ Punt van standaard account aanmaken kan inderdaad niet vaak genoeg herhaald worden ,
nu zelfs 2x in 24 uur : https://www.security.nl/artikel/46030/1/Apple_negeert_wachtwoord-lek_in_Safari.html .
29-04-2013, 13:35 door Leen_T
Nuttige tip. Helaas wil windows tig keer per sessie administrator rechten hebben om weer iets te installeren of te veranderen. Zodat dat mijl op zeven is. Voor Linux is het al niet anders, al is het met sudo wel een klein beetje beter. Misschien is een sudo voor windows iets?
29-04-2013, 13:48 door swake
Bij Windows was het, wat ik me van Vista nog kan herinneren, een klein beetje anders: Ik had hier voor onder andere FreeBasic het account administrator echt nodig.

Waarom heb je dan het verborgen administratorsaccount niet zichtbaar gemaakt in Windows zelf, en na de klusjes terug verborgen?

Naar je eigen mail-adres(sen) sturen als bijlage kan natuurlijk ook
En dat is volgens jou een Security tip.
29-04-2013, 14:16 door Spiff has left the building
Door Klaas van Buiten:
Bij Windows was het, wat ik me van Vista nog kan herinneren, een klein beetje anders: Ik had hier voor onder andere FreeBasic het account administrator echt nodig.
Door swake:
Waarom heb je dan het verborgen administratorsaccount niet zichtbaar gemaakt in Windows zelf, en na de klusjes terug verborgen?
Omdat het verborgen Administrator-account normaal gesproken niet nodig is, wellicht?
Het 'gewone' Administrator-account in Windows Vista, 7 en 8 staat onder controle van UAC, maar dat weerhoudt je niet van het met Administrator-rechten uitvoeren van een applicatie, je hoeft UAC slechts een bevestiging te geven.
Ik zie niet waarom je voor gewone beheershandelingen of voor andere applicaties die Administrator-rechten verlangen het verborgen Administrator-account nodig zou hebben.

Daarnaast, buiten dat Klaas van Buiten wellicht niet doelde op het verborgen Administrator-account maar wellicht op het 'gewone' Administrator-account in Windows Vista, gaf hij aan dat FreeBASIC eerder Administrator-rechten nodig had onder Vista en ik gaf aan dat dat ondertussen mogelijk best al wel veranderd zou kunnen zijn.
Ik zou daarom voorstellen de actuele versie van FreeBASIC eens te proberen, en te zien of die functioneert onder een standaardgebruikersaccount.
Voorstellen het verborgen Administrator-account te gebruiken dat staat daar juist volkomen haaks op.
29-04-2013, 17:58 door Above
Pffff. Moet je zeggen tegen die lui van Exact Globe en Cadcenter. Volgens hun heb je juist administrator rechten nodig als gebruiker om problemen te voorkomen.
29-04-2013, 18:10 door Anoniem
Hier op ons werk heeft iedereen user rechten. Ook de beheerders.
Wil je iets doen met waarvoor je meer rechten nodig hebt dan kan je naar een jumpserver (terminal server). Deze heeft application whitelisting en geen internet toegang. Log hier met je persoonlijke admin account aan en voer je taak uit.
30-04-2013, 11:55 door Anoniem
In dezelfde lijn ligt: alleen internet-toegang indien nodig voor een specifiek doel. Dat zou veel ellende voorkomen.
30-04-2013, 14:59 door Patio
Door swake:
Bij Windows was het, wat ik me van Vista nog kan herinneren, een klein beetje anders: Ik had hier voor onder andere FreeBasic het account administrator echt nodig.

Waarom heb je dan het verborgen administratorsaccount niet zichtbaar gemaakt in Windows zelf, en na de klusjes terug verborgen?

Naar je eigen mail-adres(sen) sturen als bijlage kan natuurlijk ook
En dat is volgens jou een Security tip.

1. Dat heb ik gedaan. Het weer onzichtbaar maken is wat teveel van het goede. Ik kan me niet herinneren of dat kon in mijn systeem.

2. Weleens van ironie cq cynisme gehoord?

Zie Wikipedia. Alternatief: Een goed woordenboek thuis, op school, kantoor of in de bibliotheek.
30-04-2013, 15:04 door Patio
@anoniem 29-4-2013,13:16

Dank voor de aanvullende links. Ik hou van kort en bondig, ook wel KISS genoemd, formuleren wat soms ten koste gaat van de helderheid.

Alle andere reagerenden ook hartelijk dank voor bijdragen aan dit onderwerp.

Klaas.
30-04-2013, 15:41 door swake
Omdat het verborgen Administrator-account normaal gesproken niet nodig is, wellicht?
Het 'gewone' Administrator-account in Windows Vista, 7 en 8 staat onder controle van UAC, maar dat weerhoudt je niet van het met Administrator-rechten uitvoeren van een applicatie, je hoeft UAC slechts een bevestiging te geven.

Ik heb nog nooit Freebasic gebruikt, dus even geïnstalleerd.
De applicatie kon niet gebruikt worden als standaardgebruiker , ook al voerde ik het wachtwoord van het verborgen administratorsaccount in. De applicatie was ook niet te gebruiken met een aangemaakt administratorsaccount , ook al voerde ik
ik het wachtwoord in van het verborgen administratorsaccount. Met het verborgen administratorsaccount heb ik Freebasic kunnen openen.
Ken je trouwens de reden waarom er zoveel Windows computers met virussen en andere malware besmet zijn?
Met een administratorsaccount hoef je enkel te bevestigen. Een verdacht uitvoerbaar bestand waarin een virus verscholen zit , ga je met een administratorsaccount
bevestigen dat het bestand mag uitgevoerd worden, met het resultaat dat het virus zich met jouw toelating geactiveerd heeft en over alle rootrechten beschikt.
Bij gebruik van een standaardgebruikers account , word eerst naar een wachtwoord van een administratorsaccount gevraagd, voor het bestand zal kunnen uitgevoerd worden.
Bij Linux is het nog anders. Daar mag je jou aanmelden met administratorsrechten, om iets uit te voeren ga je nog altijd het wachtwoord moeten invoeren van
het account met Root rechten. Bij het laatste Mac OS is dit nu ook van toepassing.

Ik had hier voor onder andere FreeBasic het account administrator echt nodig.
Waarom je Freebasic nodig hebt is voor mij nog een raadsel.
Wie nog iets afweet van DOS commando's zal weten dat vanuit de opdrachtprompt met administratorsrechten , ook kan gecompileerd worden.
30-04-2013, 21:58 door Anoniem
@ Klaas (schrijver artikel) , van Anoniem maandag 29.04.2013,13:16

Beste Klaas,

Hartelijk dank voor je reactie,
alsnog een nadere toelichting op mijn eerdere reactie lijkt me op zijn plaats.

Ik las onderstaande
Zo'n account krijg je bij de meeste Mac OSX-releases automatisch (althans degene die ik ken [zit nog op het oude vertrouwde 10.6] en bevindt zich in de groep met de naam 'Staff').
als " ... althans degene die ik ken , zit nog op het oude vertrouwde 10.6, ... "

Ik verkeerde daarmee in de veronderstelling dat je doelde op een Kennis (iemand die je kent) die nog werkte met het 'oude vertrouwde OS X 10.6' *

Gecombineerd met de zinsnede
Bij Windows was het, wat ik me van Vista nog kan herinneren,..
deed mij in verwondering afvragen met welk OS de schrijvende ICT Consultant dan wel werkt / ervaring heeft.

OS X dus, typisch geval van TSG (Te Snel Gelezen), excuus daarvoor.


Risico's van onduidelijk advies rondom gebruik Sudo en permissie wijzigingen :

Werken met Sudo is Bepaald Niet Zonder Risico gezien de Destructieve Puinhoop die het oplevert wanneer er Fouten worden gemaakt met het Permissie-Beheer.
Dat gaat echt veel te snel en makkelijk (te effectief!) met een verkeerd Sudo commando of verkeerd gekozen directories.
En permission repair van Mac OS X helpt je niet om die (ACL's) weer te herstellen, dit is een Error-gebied waar je een (Trial-) gebruiker niet in wil hebben en vereist verstand van zaken om dat weer recht te trekken (zijn ook wel dummie commando's voor, je bent er dan nog niet).

Wat dan nog het beste helpt (voor dummies) is een totale backup van je systeem om terug te kunnen zetten, geen onnodig risico's nemen met selectieve backups.
Want , verwacht niet dat 'dummies' slim kunnen kiezen (op zich niet erg want niet vereist) welke systeem/library/enzovoort-bestanden wel of niet nodig zijn voor recovery.
(Zie ook eerder achtergrond artikel , inclusief OS X lezers feedback : Security Tip van de Week: maak off-site back-ups).


KISS? & verschil van inzicht (maar wie ben ik) :

Als KISS (security for dummies) het uitgangspunt is, werken illustraties (simpele voorbeelden, klein houden en concreet maken) m.i. het best.
Je vermijdt (waar het kan) de terminologie en enthousiasmeert die gebruiker met voorbeelden het gegeven advies ook meteen uit te proberen en toe te passen.
En dat is denk/hoop ik wat je wil als je de moeite neemt advies te geven.

Anders heeft m.i. alleen het aanstippen in KISS-vorm 'minder' effect ; voor dummies valt uit de overgebleven algemene samenvatting geen concreet en constructief advies te herleiden en leidt waarschijnlijk minder snel tot het toepassen van je advies (aannames weliswaar).

Reden daarom mijn reactie wat krachtiger (in de vorm van dringend advies) neer te zetten.

Vriendelijke & Anonieme groet van
een docent 'in ruste' / Mac discovery- recovery 'expert'

'Anoniem' verricht o.m. regelmatig herstel werkzaamheden i.g.v. Mac-calamiteiten (met name un supported Os X-en / 'garantie vrije' Mac's) of biedt Mac / applicatie support voor o.m. dummies (niet uitgevoerd onder enig officieel "ICT ' / 'Consultancy' label : just supporting dummies tegen navenante vergoeding ;-)


* (? Dat zou dan eerder Leopard zijn; na Tiger de basis voor de OS X-en die erop volgden, niet belangrijk verder, kon het niet plaatsen).
03-05-2013, 10:16 door Anoniem
Ken je trouwens de reden waarom er zoveel Windows computers met virussen en andere malware besmet zijn?
Met een administratorsaccount hoef je enkel te bevestigen. Een verdacht uitvoerbaar bestand waarin een virus verscholen zit , ga je met een administratorsaccount
Onzin, dat kun je gewoon instellen.
Normaliter krijgen administrators een "consent prompt" maar desgewenst kun je hier een "credential prompt" van maken. Je kunt dan alle administrators (en ja zelfs de verborgen admin) ook gewoon expliciet credentials op laten geven.
07-05-2013, 14:50 door stuffy
Gaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaap


Wie dat niet weet is een systeemprutser, en is nog verre weg van systeemadministrator!


Mocht je zover willen gaan dat je diep in je systeem wil ingrijpen, wat mij nog niet is overkomen en je wilt root toch activeren en zelfs gebruiken, doe dat dan offline en sluit na een uitvoerige test je systeem helemaal af, herstart en maak nogmaals een veiligheidskopie. Vooraf had je dat natuurlijk al gedaan mag ik hopen.

Dat is ook alleen nodig als je niet weet waar je mee bezig bent.....

Alks ik zo zou moeten werken, ben ik 7 uur van me werktijd bezig met veiligheids kopien. 7 uur duimen draaien.... zal de baas leuk vinden.

Heb maar 1 antwoord eigenlijk: Als je niet weet waar je mee bezig bent, blijf dr dan met je vingers vanaf!

En zit je in een leerproces, doe dat dan op een pc, die offline kan gaan, en niet op een server die druk bezocht, danwel gebruikt word.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.