Unused User Account

ประเด็น

จากการตรวจสอบไฟล์ล็อก (Log) ของการพิสูจน์ตัวตน (Authentication) การเข้าใช้งานของระบบปฏิบัติการ “AIX” พบบัญชีผู้ใช้ไม่ได้ถูกใช้งานดังตัวอย่างดังต่อไปนี้

• บัญชีผู้ใช้ไม่เคยเข้าใช้งาน (Unused user accounts)
• บัญชีที่ไม่ใช้งานเกินกว่า 1 ปี (Dormant user accounts)
• บัญชีผู้ใช้ไม่สามารถระบุผู้ใช้ (Unidentified user accounts) หรือวัตถุประสงค์ของการใช้งาน รวมถึงเอกสารหลักฐานที่ได้รับจากผู้มีอำนาจในการสร้าง หรือใช้งานบัญชีผู้ใช้งานดังกล่าว

ติดตามตัวอย่างไฟล์ “/etc/passwd” และ “/var/adm/wtmp” ได้ที่ http://blog.itselectlab.com/?p=2205

ผลกระทบ

บัญชีผู้ใช้ที่ไม่ได้ใช้งาน (Unused user accounts) ไม่ได้ใช้งานยาวนาน (Dormant user accounts) หรือไม่สามารถระบุเจ้าของ (Unidentified user account) อาจเปิดโอกาสให้ผู้ไม่มีสิทธิเข้าใช้งานแต่เคยหรือล่วงรู้ถึงรหัสผ่านสามารถนำบัญชีดังกล่าวไปใช้งาน เช่น บัญชีผู้ใช้ของ “Vendor” บัญชีผู้ใช้ของพนักงานที่ลาออกไปแล้ว (Resigned staff) ซึ่งอาจส่งผลกระทบต่อความน่าเชื่อถือของระบบ การเปิดเผยความลับของข้อมูลบริษัท รวมถึงความถูกต้องครบถ้วนของข้อมูลที่ถูกใช้งานในระดับระบบปฏิบัติได้

ข้อแนะนำ

1.  กำหนดนโยบายสำหรับการบริหารจัดการบัญชีผู้ใช้ (User account management) โดยกำหนดถึงจำนวนวันของการระงับการใช้งาน (Disable user accounts) หรือ จำนวนวันที่ต้องถอดถอนออกจากระบบ (User accounts removal) และประกาศบังคับใช้นโยบายอย่างเป็นทางการ
2. ตรวจสอบความจำเป็นการใช้งานของบัญชีผู้ใช้ไม่เคยเข้าใช้งาน (Unused user accounts) บัญชีผู้ใช้ที่ไม่ได้ใช้งานเป็นเวลาเกินกว่านโยบายสำหรับการบริหารจัดการบัญชีผู้ใช้ที่กำหนด และบัญชีผู้ใช้ไม่สามารถระบุเจ้าของหรือวัตถุประสงค์
3. จากนั้นทำการระงับการใช้งาน (Disable) หรือลบออกจากระบบ (Removal) โดยทันที
4. กระบวนการตรวจสอบในข้อ (2) ควรมีการจัดทำเพื่อใช้เป็นขั้นตอนปฎิบัติ วิธีการตรวจสอบ และกำหนดรอบระยะเวลาสำหรับขั้นตอนในการตรวจสอบตามรอบเวลาอย่างเป็นทางการ

---

ขั้นตอนการตรวจสอบ

วัตถุประสงค์การตรวจสอบ

• จะต้องไม่มีบัญชีผู้ใช้ที่ถูกสร้างไว้แต่ไม่เคยใช้งาน (Unused user accounts)
• บัญชีผู้ใช้ที่ถูกสร้างไว้และไม่ได้ใช้งานเวลานานจะต้องถูกระงับ (Disable) หรือ (Removal) ออกจากระบบโดยทันทีตามกำหนดเวลาของนโยบายสำหรับการบริหารจัดการบัญชีผู้ใช้ (User account management) ตัวอย่างเช่น 60 วันระงับไว้ และ 90 วันถอดถอนออกจากระบบ เป็นต้น
• ทุกบัญชีผู้ใช้จะต้องมีผู้ถือครอง (Account owner) และวัตถุประสงค์ของการใช้งาน (Purposes)

ขั้นตอน

1. รวบรวมข้อมูลบัญชีผู้ใช้จากไฟล์ “/etc/passwd”
2. รวมรวบข้อมูลของ “Log” เพื่อสนับสนุนว่ามีการใช้งาน “root” หรือ บัญชีผู้ใช้อื่นๆ จากไฟล์ “/var/adm/wtmp”
3. ตรวจสอบข้อมูลบัญชีใน (1) เทียบกับ (2) โดยที่
   • ค้นหา “Last Login” ของแต่ละบัญชี ถ้าพบให้ตรวจสอบวันที่และสถานะของบัญชีผู้ใช้ ถ้าเกินกว่าที่กำหนดและบัญชีผู้ใช้อยู่ในสถานะพร้อมใช้งาน ให้ถือว่าเป็นประเด็น
   • ถ้าไม่พบแสดงว่ามีการสร้างปราศจากการใช้งาน
4. จากนั้นสัมภาษณ์วัตถุประสงค์การใช้งานในแต่ละบัญชีผู้ใช้กับผู้ดูแลระบบ
5. รวบรวมเอกสารการร้องขอสำหรับการใช้งานบัญชีผู้ใช้ (User requests) เพื่อวิเคราะห์วัตถุประสงค์ของแต่ละบัญชีผู้ใช้ และเปรียบเทียบข้อมูลกับ (4)
6. ถ้าไม่สามารถตรวจพบหลักฐานที่สามารถระบุผู้ใช้ (Unidentified user accounts) หรือวัตถุประสงค์ของการใช้งานให้เป็นประเด็น