Loginbeheer

Het principe van het minste privilege (least privilege) is bedoeld om gebruikers alle rechten te geven die zij nodig hebben om hun werk te doen, maar niets meer. Dit voorkomt dat een gecompromitteerde account of geïnfecteerde machine toegang krijgt tot gegevens of programma's.

Met het model van de minste rechten voor toegang tot informatie kan het aanvalsvector van een gecorrumpeerd account worden verkleind zonder de dagelijkse behoeften van gebruikers te schaden. Het weigert toegang tot gegevens die niet relevant zijn voor het gebruikersprofiel.

Er zijn enkele technieken om het principe van de minst bevoorrechte positie in te voeren:

  • HR zou een privilege audit moeten uitvoeren : Door te beoordelen wie toegang heeft tot wat betreft de betreffende privileges, zorgen we ervoor dat niemand toegang heeft tot meer dan wat hij zou moeten hebben. Dit proces dient regelmatig te gebeuren.
  • Alle accounts moeten beginnen met least privilege : de hoge privileges moeten alleen worden toegevoegd wanneer dat nodig is in plaats van alle accounts met admin toegang te starten.
  • Een tijdsbestek zou moeten volgen op een tijdelijk hoger privilege : aflopende privileges en one-time-gebruiksreferenties kunnen in deze context worden gebruikt.
  • Scheiding van privileges moet worden afgedwongen: standaard accounts moeten worden gescheiden van admin-accounts, evenals een hoger niveau systeem van lagere accounts.

Zoals NIST het zegt: "Standaarden, richtlijnen, referentie-implementaties en validatieprogramma's met betrekking tot Persoonlijke Identiteitsverificatie (PIV) van medewerkers en aannemers zijn cruciaal voor het beveiligen van de toegang tot computerapparatuur en fysieke faciliteiten."