Inloggen Geen profiel? Registreer hier.

Controle op superusers en ict partner

Auteur Bericht
katleen roelants V-ICT-OR Lid
Posts
1
Organisaties
Limburg.Net Ov CVBA
#1 — 05/12/2017 15:12
Wij zijn momenteel bezig met een doorlichting van gebruikersrechten omdat door de jaren heen wat te soepel is omgegaan met verlenen van machtigingen in sleutelapplicaties. Wij willen uiteindelijk nog slechts 2 'superusers' overhouden die het hoogste machtigingniveau in de organisatie hebben. Ik stel mij nu de vraag hoe wij controle kunnen uitoefenen op deze superusers? Hoe pakken andere besturen dit aan? Oefenen jullie ook controle uit op de gebruikersrechten van ict partners en hoe kan die controle praktisch uitgevoerd worden?
Mvg, Katleen
 
Onbekende Gebruiker
#2 — 06/12/2017 11:55
Een zeer interessante vraag. Het is soms een strijd tussen IT en leverancier om bepaalde zaken af te kunnen dwingen. Wij staan absoluut ook nog niet waar we zouden willen.Een aantal jaren terug hebben we sterk ingezet op segmentatie van applicaties, dwz: Iedere leverancier trachten we zijn eigen VLAN te geven. Als er nood is aan bvb SQL server, dan krijgen ze hun eigen SQL Server.  (SQL Express is vaak goed genoeg). Leveranciers zijn dan soms server-admin.Vanuit de Firewall kunnen we toegang geven aan een leverancier tot die vlan/zijn eigen server via Webportaal (HTML5 RDP bvb) of SSL VPN Tunnel. Is op basis van Active Directory-credentials.  Zo hebben we een redelijke scheiding/oplossing, maar het kan zeker nog wat beter. Bvb Sessie logging, notificaties wanneer leveranciers aanmelden, het kunnen afdwingen van bepaalde mogelijkheden of betere alternatieven voor teamviewer-achtige toepassingen. Ze bestaan, maar we hebben het nog niet.  Bvb https://www.screenconnect.com/Remote-Access-Solutions

En onze antivirus geeft nog altijd waarschuwingen bij remote-support oplossingen van sommige softwarehuizen... Misschien kan een "code of conduct" met standaard oplossing vanuit V-ICT-OR in samenwerking met de voornaamste leveranciers een interessante piste zijn?
 
Andries Verlinden V-ICT-OR Lid
Posts
15
Organisaties
Gemeentebestuur Wingene
#3 — 29/11/2018 23:46
Hey, ik denk dat de eindgebruikers het best altijd aanmelden in applicaties via AD, waar mogelijk uiteraard. 
Verder hebben externe leveranciers zoals Cevi en C/S geen rechtstreeks toegang in ons netwerk. Er moet gebeld worden met de IT-dienst om een sessie te kunnen openen naar de servers. 
Sommige zaken zijn wel toegankelijk van extern.
 
David Tamsin V-ICT-OR Lid
Posts
2
Organisaties
Provincie West-Vlaanderen
#4 — 06/12/2018 10:39
Onze admins loggen in met een account in de vorm van LSA[initialen]. Op die manier kunnen we in de logging traceren wie van de admins iets wijzigde op de servers. Met hun gewone ad-account [initialen] hebben ze geen admin rechten, ook niet op eigen pc. Externe leveranciers geven wij admin rechten op een virtuele desktop met een support-account. Van daaraf kunnen ze via RDP inloggen op bepaalde servers. De SQL servers zijn bereikbaar via SQL server management studio, niet rechtstreeks. Reden : het zou niet de eerste keer zijn dat een leverancier extra software installeert rechtstreeks op een SQL server.