Konta administratorów – jak ograniczyć dostęp i nie stracić kontroli

Najgroźniejsze konto w firmie często nie ma żadnej specjalnej nazwy. To zwykły użytkownik, który od lat jest lokalnym administratorem, ma dostęp do panelu Microsoft 365, zna hasło do NAS-a, loguje się na serwer przez SSH i jeszcze używa tego samego konta do poczty.

Takie środowisko działa do pierwszego incydentu. Jeżeli komputer administratora złapie malware, hasło wycieknie z przeglądarki albo ktoś przejmie skrzynkę pocztową, atakujący od razu dostaje ścieżkę do najważniejszych systemów. Dlatego konta administratorów trzeba traktować jako osobny temat bezpieczeństwa, a nie jako dodatek do zwykłych użytkowników.

Microsoft w materiałach Zero Trust podkreśla trzy zasady: zakładaj naruszenie, zawsze weryfikuj i dawaj tylko potrzebne uprawnienia. NIST SP 800-63B opisuje poziomy siły uwierzytelniania i wskazuje, że dla wyższych poziomów wymagane są różne czynniki uwierzytelnienia oraz odporność na phishing. W praktyce małej firmy przekłada się to na kilka konkretnych zasad.

1. Konto codzienne i konto administracyjne to nie to samo

Administrator nie powinien czytać poczty, przeglądać internetu i pracować na dokumentach z konta, które ma pełne uprawnienia do serwerów albo chmury.

Prosty podział:

  • tomasz.kowalski – konto zwykłe do poczty i codziennej pracy,
  • adm.tomasz.kowalski – konto administracyjne do zmian w systemach,
  • osobne konto awaryjne, zabezpieczone i używane tylko w procedurach odzyskania dostępu.

Na Linuksie nie loguj się codziennie jako root. Używaj zwykłego konta i sudo. Na Windowsie nie pracuj cały dzień z konta Domain Admin. W Microsoft 365 nie używaj global admina do czytania poczty.

2. MFA dla kont uprzywilejowanych

MFA powinno być obowiązkowe dla:

  • kont administratorów Microsoft 365 / Entra ID,
  • kont VPN,
  • paneli hostingowych,
  • paneli DNS,
  • paneli backupu,
  • paneli firewalli i usług chmurowych,
  • kont do zdalnego dostępu.

Jeżeli usługa obsługuje klucze FIDO2 albo passkeys, warto je rozważyć dla najważniejszych kont. SMS jest lepszy niż samo hasło, ale nie powinien być pierwszym wyborem dla kont krytycznych, jeżeli dostępna jest bezpieczniejsza metoda.

Praktyczna zasada: najpierw włącz MFA tam, gdzie przejęcie konta daje największe szkody. Nie zaczynaj od najmniej ważnego systemu tylko dlatego, że jest najłatwiejszy.

3. Najmniejsze wymagane uprawnienia

Nie każdy administrator musi być administratorem wszystkiego.

Przykłady:

  • osoba od faktur nie musi mieć lokalnego admina,
  • helpdesk nie musi mieć Domain Admin,
  • konto do backupu nie musi mieć prawa kasowania wszystkich kopii,
  • konto do monitoringu nie musi mieć uprawnień zapisu,
  • konto do odczytu logów nie powinno móc zmieniać konfiguracji serwera.

W Microsoft Enterprise Access Model widać podział na różne płaszczyzny dostępu: kontrola tożsamości, zarządzanie infrastrukturą oraz dane i aplikacje. W małej firmie nie trzeba od razu budować wielkiej architektury, ale warto zrozumieć zasadę: konto, które zarządza tożsamością, jest krytyczne. Konto, które zarządza backupem, też jest krytyczne. Konto do zwykłej pracy nie powinno mieć dostępu do obu tych obszarów.

4. Koniec ze wspólnym kontem admin

Wspólne konto admin jest wygodne tylko do momentu, gdy trzeba ustalić, kto zmienił regułę firewalla, usunął użytkownika albo wyłączył backup.

Zamiast tego:

  • każdy administrator ma własne konto,
  • logi pokazują konkretnego użytkownika,
  • wspólne konto awaryjne jest zamknięte i opisane procedurą,
  • hasła są w menedżerze haseł z kontrolą dostępu,
  • dostęp byłego pracownika można wyłączyć jednym ruchem.

Jeżeli system wymusza jedno konto lokalne, przynajmniej ogranicz jego użycie, włącz MFA tam gdzie to możliwe i zapisuj, kto pobrał hasło.

5. Konta serwisowe wymagają osobnego porządku

Konta serwisowe są często gorsze niż konta ludzi. Działają latami, mają hasła bez rotacji i nikt nie wie, do czego są używane.

Dla każdego konta serwisowego zapisz:

  • nazwa konta,
  • właściciel techniczny,
  • do czego służy,
  • gdzie jest używane,
  • jakie ma uprawnienia,
  • kiedy zmieniono hasło lub klucz,
  • co się stanie po jego wyłączeniu.

Jeżeli konto służy tylko do odczytu, nie dawaj mu zapisu. Jeżeli służy do backupu, nie dawaj mu pełnej administracji domeną. Jeżeli używa klucza API, zapisz gdzie ten klucz jest zapisany i jak go wymienić.

6. Regularny przegląd uprawnień

Raz w miesiącu albo raz na kwartał zrób prosty przegląd:

  • kto ma lokalnego administratora,
  • kto jest w Domain Admins,
  • kto ma Global Administrator w Microsoft 365,
  • kto ma dostęp do backupu,
  • kto ma dostęp do DNS i domen,
  • kto ma dostęp do panelu hostingu,
  • jakie konta są nieaktywne,
  • jakie konta nie mają MFA.

Na Windowsie sprawdzisz grupy w AD albo Entra ID. Na Linuksie zacznij od:

getent group sudo
getent group adm
getent passwd
lastlog

Dla SSH:

sudo find /home /root -path "*/.ssh/authorized_keys" -type f -print

Nie chodzi o raport na 40 stron. Chodzi o szybkie wykrycie kont, które mają więcej dostępu niż powinny.

7. Logowanie i alerty

Samo MFA nie wystarczy. Trzeba widzieć, że ktoś używa konta administratora.

Warto monitorować:

  • logowania kont uprzywilejowanych,
  • logowania z nowych lokalizacji,
  • nieudane próby logowania,
  • dodanie użytkownika do grupy administratorów,
  • wyłączenie MFA,
  • utworzenie nowego konta serwisowego,
  • zmianę reguł VPN i firewalla.

W małej firmie wystarczy zacząć od powiadomień z Microsoft 365, logów VPN, Zabbixa, sysloga albo prostych alertów z panelu dostawcy. Ważne, żeby ktoś te alerty czytał.

8. Procedura awaryjna

Ograniczanie dostępu nie może skończyć się tym, że nikt nie potrafi odzyskać administracji po odejściu pracownika albo awarii telefonu z MFA.

Minimalna procedura:

  1. Gdzie jest konto awaryjne.
  2. Kto może użyć konta awaryjnego.
  3. Gdzie jest zapisany recovery code albo zapasowy klucz.
  4. Jak odtworzyć dostęp do DNS, hostingu, poczty i backupu.
  5. Jak wyłączyć dostęp byłemu pracownikowi.
  6. Kogo powiadomić po użyciu konta awaryjnego.

Konto awaryjne nie powinno być używane do codziennej pracy. Po użyciu zmień hasło, sprawdź logi i zapisz powód.

9. Typowy plan wdrożenia

Nie trzeba robić wszystkiego jednego dnia.

Kolejność, która zwykle działa:

  1. Spisz najważniejsze systemy i konta adminów.
  2. Włącz MFA dla kont najbardziej krytycznych.
  3. Rozdziel konta codzienne i administracyjne.
  4. Usuń wspólne konta albo ogranicz je do procedury awaryjnej.
  5. Przejrzyj grupy administratorów.
  6. Opisz konta serwisowe.
  7. Włącz alerty logowania.
  8. Zapisz procedurę utraty dostępu.
  9. Ustal cykliczny przegląd uprawnień.

Największy efekt daje zwykle MFA, usunięcie zbędnych administratorów i koniec z jednym wspólnym hasłem do wszystkiego.

Na co uważać

  • Nie wyłączaj starego konta admina, zanim nowe konto nie jest sprawdzone.
  • Nie włączaj MFA bez zapisania metod odzyskania dostępu.
  • Nie przechowuj recovery codes w tej samej skrzynce pocztowej, którą chronią.
  • Nie dawaj kontu backupu prawa kasowania kopii, jeśli nie musi go mieć.
  • Nie zostawiaj byłych pracowników w grupach administracyjnych.
  • Nie używaj konta global admin do codziennej pracy.
  • Nie zakładaj, że brak incydentu oznacza brak problemu.

Podsumowanie

Bezpieczeństwo kont administratorów nie polega na jednym ustawieniu. To zestaw prostych decyzji: osobne konta, MFA, najmniejsze uprawnienia, brak wspólnych loginów, opisane konta serwisowe, logi i procedura awaryjna.

W małej firmie nie trzeba od razu wdrażać rozbudowanego systemu PAM. Wystarczy zacząć od porządku: kto ma dostęp, po co go ma, jak go odebrać i co zrobić, gdy główny administrator traci telefon albo odchodzi z firmy.

Źródła

  • NIST SP 800-63B Digital Identity Guidelines: https://pages.nist.gov/800-63-4/sp800-63b.html
  • Microsoft Zero Trust Guidance Center: https://learn.microsoft.com/en-us/security/zero-trust/
  • Microsoft Enterprise Access Model: https://learn.microsoft.com/en-us/security/privileged-access-workstations/privileged-access-access-model
☕ Postaw mi kawę