De zeven doodzonden van systeembeheerders

(NOTE: Een vertaling van het artikel  Security 101 – The seven deadly sins geschreven door Casper Manis)

De zeven hoofdzonden van systeembeheerders, iets waar helaas vele systeembeheerders zich aan schuldig maken. Maar waarom zouden we ons hierom bekommeren? Omdat elk zonde direct kan leiden tot een veiligheidsincident. Of het nu een hack, data diefstal, lekke van vertrouwelijke document, integriteit of beschikbaarheid is, is een deuk in het image van een systeembeheerder. En omdat vele systeembeheerders persoonlijk begaan met de omgeving(en) waar men werkt is één of meer van onderstaande zonde een zeer dodelijke zonden.

1. Niet patchen

Er zijn drie manieren systemen waarop een systeem kan worden gehackt. Door middel van buitgemaakte inloggegevens, Malware en het gebruik maken van kwetsbaarheden in het systeem. Er is een gemakkelijke manier om één van deze deuren te sluiten. Patchen, Ja Serieus enkel en gewoon patchen. Als in deze huidige tijd een applicatie problemen heeft bij het installeren van een patch, de-installeer applicatie!!! Want als je niet patch, kan het tot data verlies of uitval de systemen leiden. Dit kan gezichtsverlies leiden en misschien wel je baan kosten.

2. Standaard configuraties/wachtwoorden

Zoek op internet maar eens op “standaard wachtwoord” en je zult uiteindelijk duizenden resultaten vinden waarmee men kan inloggen. Het advies, verander alle standaard administratie wachtwoorden op printers, access points, routers, enz, enz… En waarom niet, het kan nooit kwaad!!

3. Werken als admin

Of het nu aanmelden bij een andere sessie, RunAs, sudo of wat ook nodig is. Doe je regulier werk zoals het openen van e-mails, surfen op het web, enz. NOOIT NOOIT maar dan ook NOOIT met een admin account. Als een gebruiker met admin rechten een fout maakt of iets verdachts klikt/geopend is er veel meer schade dan als je aangemeld als een gewone gebruiker.

De zeven doodzonden van systeembeheerders

4. Niet documenteren

Niet documenteren kan tot grote schade leiden,  documenteer daarom alle wijzigingen, configuraties, support contacten, garanties, licentiesleutels, IP-adressen enz, en bewaar het ergens waar iedereen die nodig heeft er bij kan. Wiki’s zijn hiervoor uitermate geschikt, en ze hebt ze in allerlei vormen van freeware t/m SharePoint. Het juiste moment om documenteren  zal altijd moment dat je met werkzaamheden bezig bent. Zeker nooit achteraf want die tijd komt waarschijnlijk nooit.

5. Geen logbestanden controleren

Western Digital, Seagate, Dell, NetApp, en alle andere storage-leveranciers zullen u bedanken voor het verzamelen van logbestanden. Schroef het loggen op naar het hoogste niveau zodat je een berg aan gegevens hebt, en dat ze zullen in de komende kwartalen storage blijven verkopen.
Ook hackers zullen u graag bedanken voor nooit controleren van de logbestanden, omdat het betekent dat ze voor maanden hun gang kunnen gaan! Serieus, kijk maar eens de persberichten over de belangrijkste hacks van het afgelopen jaar, waaronder Sony, Target, en het Amerikaanse ministerie van Personeel Management. Een belangrijk feit is dat de aanvallers al maanden op de systemen actief is. Hoe hebben ze dit uiteindelijk boven water gekregen? Door eindelijk toch eens de logbestanden te onderzoeken.

6. Het delen van inlog gegevens

Pop Quiz! Wat is het beheerders wachtwoord van de firewall? Als er iets te binnen schiet, dan doe je het verkeerd. Net als binnen de Active Directory waar elke gebruiker eigen wachtwoord heeft wat alleen bij hen bekend, zou dit ook voor applicaties, netwerk componenten enz… moeten gelden. Als twee admin’s hetzelfde wachtwoord kent, dan kunt u nooit weten wie wat deed. Voor wachtwoorden geldt het zelfde als bij tandenborstels: nooit delen, en regelmatig verwisselen.

7. Vragen om wachtwoorden

U besteedt dagen met het opruimen van de laatste succesvolle phishing-aanval omdat iemand online weer eens was bedrogen. Daar zit je dan, met de vraag of een gebruiker zijn wachtwoord wilt afgeven, zodat u onder zijn naam kan inloggen om het probleem voor hen op te lossen. Nooit, nooit en onder geen enkele omstandigheid, vraagt men het wachtwoord van een gebruiker. En daar is geen uitzondering op, nooit.

SQL Express Installatie

Regelmatig komt het voor dat ik een SQL (Express) installatie nodig heb. Of het nu is omdat ik me niet kan vinden in de SQL Express installaties welke met softwarepakket worden meegeleverd of omdat ik graag zelf de controle wil behouden over wat er op mijn systemen gebeurd wil.

Nu zijn er natuurlijk meerdere wegen die naar Rome leiden, maar dit is zoals ik de installatie meestal uitvoer.

Een SQL Express is hier gratis te downloaden en start het bestand op. Kies vervolgens voor een Custom installatie.

Geef de gewenste locatie aan waarnaar alle media bestanden worden gedownload en klik op install.

Vervolgens worden alle benodigde media bestanden gedownload waarnaar de installatie proces zal worden opgestart.

Klik op New SOL Server standalone installation or add features to an existing installation om de installatie verder op te starten.

NOTE: Het is ook aan te bevelen om de Install SQL Server Management Tools te downloaden en te installeren om de database beter te kunnen beheren

Vervolgens accepteren we de licentie voorwaarden en vervolgens Next.

De volgende stap zal er op Product Updates worden gecontroleerd

Vervolgens zal het installatie proces controleren of het systeem aan alle de eisen voldoet.

Deselecteer de optie Azure Extension for SQL Server en klik op Next.

In de volgende stap worden de onderstaande opties geselecteerd en de installatie map voor de instance opgegeven. Ik persoonlijk van dat programma’s op een andere schijf staan dan de data bestanden. Klik vervolgens op Next.

Vervolgens kan de instance worden opgegeven. Normaal gesproken laat kan je deze gewoon op SQLEXPRESS laten staan, maar je kan hier van alles opgeven.


De “Service Accounts” laten we voor wat het is (maar natuurlijk kan men deze naar wens aanpassen) en kiezen we de “Collation” tab.

Deze laat ik meestal voor wat het is en klikken we op {Next}

Vervolgens geven we de juiste permissies aan. Meestal kies ik hier alleen voor de “Windows authentication mode” en geef rechten aan de builtin administrators groep. Men kan voor de zekerheid de “Mixed mode” kiezen en een SQL SA account creëren.

Vervolgens geven we de locatie van de database bestanden op.

Hierna zal het installatie proces starten.

Als alles succesvol is verlopen zal het installatie proces het volgende scherm tonen.

De database kan vervolgens worden gebruikt.  Veel succes met het toepassen van deze handleiding en suggesties zijn altijd van harde welkom.

Robert Collewijn