Veel organisaties zijn op zoek naar het juiste recept voor dé veilige computer. Het ontwerpen van een goed beveiligd systeem heeft veel overeenkomsten met de kookkunst. Je krijgt een heleboel mogelijkheden aangeboden en dan moet je kiezen. Een beetje als in het wokrestaurant waar ik onlangs heb gegeten. Je krijgt de keuze tussen een heleboel ingrediënten. Sommige passen heel goed bij elkaar en andere juist weer niet. Als niet professionele kookkunstenaar probeer je je keuze te bepalen en de kunst van het weglaten te kopiëren van de kok. Wat past wel bij elkaar en wat niet en misschien wel nog belangrijker: Wat vind ik lekker?
Door Raymond P.L. Comvalius
De gemiddelde organisatie waar beveiliging van het netwerk hoog op de agenda is komen te staan, staat ook voor deze keuzes. Welke componenten moeten op de werkstations worden geïnstalleerd en welke niet? Welke componenten zijn potentieel onveilig en wat hebben we nodig als organisatie. Net zoals onze smaken verschillen, verschilt ook per organisatie de verwachte functionaliteit van het IT platform. Het grote dilemma hierbij is met name de tegenstelling tussen beveiliging en functionaliteit. Grofweg geldt hier namelijk de gouden regel: hoe meer functionaliteit het systeem biedt, hoe onveiliger het wordt. Legendarisch voorbeeld hiervan vond ik altijd de C2-certificering die eind jaren 90 werd toegekend aan Windows NT 4.0. Dit beveiligingsniveau kon met dit OS worden bereikt als het niet werd aangesloten op een netwerk. Ik denk niet dat Microsoft vandaag de dag een dergelijke prestatie nog zou durven te presenteren.
Het liefst zou de gemiddelde organisatie gewoon een goed kookboek halen en hieruit a la de "Naked Chef" hun recept halen voor hun overheerlijk beveiligde netwerk dat is samengesteld met simpele componenten. Zelf knutselen leidt soms tot vermakelijke situaties. Zo heeft ooit een van mijn clienten besloten dat hun netwerk op geen enkele manier mag worden gekoppeld aan het Internet. Deze variant op "naked cooking" had niet het gewenste resultaat. Doordat er geen Internet connectie was, was het erg moeilijk om de systemen up-to-date te houden. Dit gebeurde dan ook steeds minder. Inmiddels is het netwerk al drie keer getroffen door een worm infectie. Nu wordt het besluit over de Internetverbinding opnieuw overwogen.
Een ander geval van "naked cooking" trof ik bij een overheidsonderdeel waar de beveiliging van het netwerk een hoge prioriteit kreeg in de ontwerpfase. Het aantal gebruikers dat gebruik kan maken van externe opslagmedia als floppies en USB disks, moet in de hand gehouden worden. Om dit te bereiken wordt speciale software geïnstalleerd en wordt middels groepen in Active Directory geregeld wie van externe opslagmedia gebruik kan maken. Onlangs mocht ik inventariseren hoeveel gebruikers inderdaad van deze functie gebruik maakten. Het blijkt dat meer dan 98% van de gebruikers toegang heeft tot externe opslagmedia. Het beperken van deze groep heeft dus tot nu toe maar weinig effect gehad.
Waar "naked" doorgaans wel het gewenste effect heeft, is bij het inloggen van gebruikers. De naked user heeft geen kleren aan (geen privileges) en werkt zo soepel met zo min mogelijk weerstand op zijn systeem en voert zijn werk uit. Waneer hij taken om het bad heen moet uitvoeren (beheerwerkzaamheden) trekt hij kleren aan en doet wat daar moet gebeuren. Zodra de zaken buiten het bad zijn geregeld gaan de kleren weer uit en gaat de gebruiker weer lekker zwemmen. Veel organisaties zijn inmiddels zo ver dat eindgebruikers naked hun werk doen. Hiermee wordt veel potentiële schade - zoals ongewenste installatie van spyware - voorkomen.
Als nu ook nog de beheerders van het netwerk uit de kleren gaan, zijn we een heel stuk in de goede richting.
Raymond Comvalius is Microsoft Certified Professional/Trainer en werkzaam als zelfstandig consultant/trainer op het gebied van Active Directory en beveiliging. Raymond is mede-auteur van het Handboek Windows Security van WEKA Uitgeverij. zijn website is te vinden op www.xpworld.com (US)