Жергілікті әкімші ұйымдардағы әзірлеушілерге қолжетімділік кеңінен қолданылады ма?

Компанияда шамамен 1000+ қызметкер бар. Қазіргі уақытта бізде веб-негізделген жобаларда жұмыс істейтін бағдарламаларды дамыту персоналы бар (шамамен 50 адам).

Қауіпсіздікке байланысты біздің АТ және Қауіпсіздік департаментіміз жергілікті әкімгерлердің машиналарға кіруіне мүмкіндік бермейтін шектеулер енгізді. Бүкіл компания жұмыс станциялары мен серверлер үшін Windows OS жүйесін іске қосады. Мен әкімшімді жою туралы шешіммен толығымен келісемін, адал деп ойлаймын, бұл ұзақ уақытқа созылды деп ойладым (мысалы, компания пациенттер туралы деректермен айналысады және HIPAA талаптарына сәйкес келеді). Өкінішке орай, менің ойымша, олар шешім қабылдады тым алыс. Мен топқа немесе AD тобына пайдаланушыларға әкімшілік қатынасын сақтауға болатын Техникалық топ сияқты өз жұмысын (EX бағдарламалау командасын жасау) қол жеткізу үшін заңды түрде қажетті әкімші қол жетімділігі үшін жасайтын болатынын болжадым. Дегенмен, бұл жағдай болмады, тек Network Network және Help Desk қызметкерлері үшін арнайы әкімшілік тобын құрды.

Негізгі мәселе - веб-әзірлеушілер жергілікті әкімшіге кіруді талап ететін бағдарламалар іске асырады, және, өкінішке орай, оларсыз әкімші ретінде жұмыс істей алмайды. Мысал бағдарламаларға ASP.NET веб-әзірлеуі үшін Visual Studio, жергілікті даму үшін MAMP, композитор және т.б. кіреді. Мен бұл бағдарламаларға әкімшілік қатынасын қажет ететін негізгі себеп, себебі олар жергілікті IIS, пәрмен жолы және т.б.

Негізінен, жергілікті әкімші қатынасы жойылған кезде қысқа хабарлама пайда болды. Жақында екі күн бойы жұмыс жасай алатын командада суда өлімге ұшырап, мені және басқа командалық жетекшілерді негізінен АТ-ның қызметкерлеріне шешім қабылдауға шақыруды сұрап, кричит, олар соңында келісіп, әкімшіге белгілі бір бағдарламалардың администратор ретінде жұмыс істеу мүмкіндігін жасауға мүмкіндік беретін өту арқылы жұмыс істейді, бірақ бізде жергілікті әкімшінің қатынасы жоқ.

Өкінішке орай, жергілікті әкімшіге кіру үшін пайдаланатын бұл бағдарлама беделді дереккөзден емес, өте қатал және сенімді емес, алайда ол жерде баламалы нұсқалар көп болмайды. (Мен қолданатын бағдарламаны жарияламауды қалаймын).

Менің сұрағым бар ма, бағдарламашылар/әзірлеушілерге компанияның немесе корпорациядағы жергілікті әкімшінің кіруіне жол бермеу тән емес пе? Егер бұл әдеттегі іс-тәжірибе болса, онда әзірлеушілер жергілікті әкімші ретінде қажет бағдарламаларды қалай жүзеге асырады?

Желілік ортамыз туралы қосымша мәлімет (бұл шынымен мен оны қосатынымды ойлаған мәселемен шынымен байланысты емес):

  1. Бекітілген тізімде емес, бағдарламаларды блоктау үшін AppBlocker қолданамыз.
  2. Біз сканерлеу және тіркемелерді PDF-ге түрлендіру және т.б. сияқты нәрселерді жасайтын электрондық пошта қауіпсіздігінің блокаторын қолданамыз.
  3. Бізде барлық жұмыс станцияларында кемінде 2 негізгі антивирустық бағдарлама бар.
  4. Желі және оның серверлері өте бөлінген, пайдаланушылар тек белгілі бір серверлерге, қалталарға және дерекқорларға қол жетімділікке рұқсаты бар.
113
Менің жұмысымда әрдайым әкімшілік қол жетімді болды. Бір компания бұл мәселені бізден алып тастауға тырысады, бірақ джн-ны іске асырғаннан кейін ғана тезірек тоқтап, жұмысын тоқтатады. Олар қалағандықтан емес, жұмыс істей алмағандықтан емес. Мәселен, кем дегенде менің жеке тәжірибемнен (Германияда) әзірлеушілерге әкімшінің қолы жетерлік. (Мен СЕЙІМДІ гейлерден білетінмін, олар VM-ді (әкімші құқықтарымен) күшті қауіпсіздік ортасы үшін ымыраластыру ретінде пайдалану керек
қосылды автор Majin Magu, көзі
Мен қорғаныс өнеркәсібінде келісім-шартты бағдарламашымын. Мен жұмыс істеп жатқан әрбір компания қауіпсіздіктің себептері бойынша қабылданған әрекеттерге кіру кезінде уақытша әкімшілік құқықтарын беретін бағдарлама бар. Сіздің сұрағыңызға жауап беру үшін: «бұл жалпы?» - Ия, бірақ бұл шынымен жақсы анықталған қауіпсіздік мәселесі (ешқандай заңсыз әрекет)
қосылды автор JW., көзі
Жергілікті әкімшілер ретінде жұмыс жасайтын бағдарламалық жасақтама әзірлеушілерінің біреуі төменде аталған құқықтар жоқ болғанда ғана болатын соңғы пайдаланушы мәселелерімен кездеспеуі мүмкін. Мен бұны бірнеше рет көрдім.
қосылды автор Benjamin Podszun, көзі
WAAS соңғы нүктелерін пайдаланушы/топқа http://+: 80 /? Қатынасын беру үшін орнатуды көрдіңіз бе? Google үшін «netsh http urlacl қосу» ...
қосылды автор Haakon, көзі
Анекдот: Мен ешқашан өз жұмысшыларын осылай құлыптаған компания үшін жұмыс істедім. Мен жұмыс істеп жүрген кез-келген компания өз жұмысшыларына жұмыс істеуді қиындатып, негіздер бойынша сәтсіздікке ұшырады. Сондай-ақ, мен ешқашан мұндай компания үшін ешқашан жұмыс жасамайтынымды айтайын. Мен әркімнің уақытында бюрократиялық ысыраппен айналысқаннан гөрі шын мәнінде мағыналы жұмыс жасайтын болар едім.
қосылды автор idrosid, көзі
@atdre Компрессорлық инженерлерді жалдау. Сонымен қатар, егер заттар дұрыс орнатылса, сіз жай ғана шағымданған нәрселердің ешқайсысы нақты тәуекелге жатпайды.
қосылды автор idrosid, көзі
Есептік жазбаның әкімшісі болмаса, кейбір әзірлеу құралдары іске қосылмайды. Бұл бағдарламалық жасақтама құралдарының ескіргені дұрыс.
қосылды автор alexis.kennedy, көзі
Appdevs ladmin машиналарына рұқсат берсеңіз, онда олар FTP, RSH, Webmin, Jenkins, Tomcat, ColdFusion, JBoss/WildFly, Splunkd, ElasticSearch және т.б. - және олар ешқашан жаңартылмайды. Олар желіде (немесе олардың бөліктерінде) жергілікті файлдық жүйеге оқуға-жазуға рұқсат беру үшін SimpleHTTPServer, SMB, AFP және/немесе NFS-ді баптайды, содан кейін олар сол қабықшалардағы сценарийлер мен негізгі материалдарды қалдырады . Олар дерекқорлармен және желілік розеткаға қосылатын басқа нәрселермен бірдей болады.
қосылды автор Rufo Sanchez, көзі
@Brad: 300-ге жуық қызметкер, бұл мүмкін емес. Киберқауіпсіздіктің тіпті жалған фишингке және найзағай фишингіне де ұшыратқаны туралы дәлелдер бар. Қаржылық мақсатқа негізделген актерді немесе ұлттың мемлекетін бір адамға қарсы жұмсаған кезде - әдетте үңгір адам. Жоқ, бұл әрқашан. Windows Server орман ортасында кеңейтуді кеңейту қаупін төмендететін туралы естіген дұрыс «орнату» жоқ. Microsoft тіпті біреуін сатпайды.
қосылды автор Rufo Sanchez, көзі
Ид, сенде тамаша идеялар бар, бірақ мен оларды ешқашан жақсы көрген емеспін. Менің ойымша, JitJea-ді іске асыруға болады. Ешкім тіпті ұзын (секунд) уақытта әкімшімен, әсіресе, жергілікті әкімші емес, үлкен жұмыс станциясына немесе домен әкімшісіне/кең ауқымды желілерге дейін басқаруға болмайды.
қосылды автор Rufo Sanchez, көзі
Кәсіпорын дұшпандарды проблема ретінде көргендіктен, шешім ретінде емес (бәлкім, сіздің басшыыңыз естімеген немесе естімеген), мен басқа жерде әзірлеушілер үшін ыңғайлы ортаны іздеймін. Біз Stackexchange-да болғандықтан, біздің негізін қалаушыларымызда Сіздің компанияңыз сізді қалай қабылдайтыны туралы .
қосылды автор Kromster, көзі
Мен сенің «типтік» екендігіңді шынымен білгіңіз келеді деп ойламаймын. Бірақ дәлірек, ол ақтайды және құны қандай? Менің тәжірибемде бұл ірі ұйымдар үшін бұл біршама кең таралған. Шығындар өте жоғары және ол Әзірлеушілер үшін өнімділікті айтарлықтай әсер етеді, бірақ «қауіпсіз адамдар» әдетте СЭП алаңында қоршалғандықтан (Біреулердің басқа мәселесі) қамқорлық жасайды. Егер сіз осыдан құтылғыңыз келсе, бұл әдеттегі емес екенін анықтауға тырысыңыз, бірақ ол EXPENSIVE. Компаниялар қымбат тұрады.
қосылды автор Steve Sether, көзі
@Jacco Мен көп келісе алмады. Мен мұны істеген ұйым үшін жұмыс істеп едім, ол дәл сіз айтып отырған үйкеліс тудырды. Big Evil Corp бұл іске асыруға тырысқан кезде, менің алғашқы ойларым қоршаудан секірдім. Кез-келген білікті әзірлеуші ​​жартысы оншақты жолмен тосқауылдың осы түрлерін біршама күш жұмсамау арқылы пайда болуы мүмкін.
қосылды автор Steve Sether, көзі
Жүйеде екі бөлек антивирустық бағдарламаға ие бола отырып, жақсы нәрседен гөрі көп зиян келтіреді. АВ-бағдарламалық жасақтаманың өзінде осалдықтарыңыздың әсерін екі есе көбейтіп, сонымен қатар зардап шеккен жүйелерді айтарлықтай баяулату кезінде анықтаудың шамалы өсуін аласыз.
қосылды автор Valerie Anderson, көзі
@Jacco Әзірлеушіге өз машинасымен сенім артпайтын және бір уақытта оларды компанияның серверлерінде іске қосылатын теңдестірілген кодты әзірлеуге және соңғы пайдаланушыға құпия ақпараттарды өңдейтін когнитивті диссонанс туралы айтуға болмайды. Егер олар вирусын өз машиналарын қорғаныссыз ұстай алмаса, мен оларды қолданбау үшін айыппұл сала алатын қосымшаларды дамытқым келеді деп ойламаймын.
қосылды автор jpmc26, көзі
@Neil Ия, сіз iis менеджерін ашу үшін немесе iIS жұмысшы процесіне отладчик қосу үшін жергілікті әкімші болуыңыз керек.
қосылды автор Obviously_Anon, көзі
@Neil IIS Express бағдарламасын пайдалана алмағаныңыздан басқа, мысалы, сіз басқа компьютерге қолданып, жұмыс станцияңызға қосылсаңыз.
қосылды автор Obviously_Anon, көзі
@Neil Бұл интеграциялық мәселе емес; егер бағдарламаны іске қосқан әзірлеуші ​​оны «интеграция» жасамас бұрын тестілеу үшін жергілікті деңгейде жұмыс жасайтынын ойласаңыз. Әзірлеушілердің жергілікті әкімші қажет ететін басқа да көптеген нәрселері бар және жергілікті әкімші болмаса, өндіріс болу үшін қатал кедергі болып табылады, ол көптеген әзірлеушілер онымен аяқталуы мүмкін (және мен бір жерде жұмыс істемейтінмін) 't).
қосылды автор Obviously_Anon, көзі
АТ және даму арасындағы үйкелістілікті ынталандыратын компания саясаты тәуекелдік саясат болып табылады. Егер АТ бөлімінің қауіпсіздік күштеріне айтарлықтай зиян келтіретін бір топ адамдар болса, бұл әзірлеушілер болады. Компанияның жақсы саясаты АТ және Дамудың жалпы қауіпсіздікті нығайту үшін олардың ұжымдық білімдерін біріктіруге бағытталған. АТ-ны даму үшін кедергілерді қоюға мәжбүрлеу бұл нәтижеге кері әсер етеді. Насихаттау жеткілікті болғандықтан, адамдар шығармашылық шешімдерді іздей бастайды. Әзірлеушілердің шығармашылық шешімдері жалпы қауіпсіздікке зиян тигізеді.
қосылды автор Brythan, көзі
@matwonk Мәселе қалай ойнатылғанына байланысты бізге хабарлаңыз.
қосылды автор Brythan, көзі
Бірдей мәселе емес, бірақ өте жақын болды, мен екінші жағында болдым (IT-ның жағы, ал IT-адамдар жиі осындай ақылсыз саясатпен келіспейді): security.stackexchange.com/questions/135359/& hellip;
қосылды автор grochmal, көзі
Қандай да бір қасіретке айналған кез-келген қиян-шіркіште машинада тамырға қол жеткізуге болады
қосылды автор Navin, көзі
Бұрын мен мұны қалай шешкенімді, бұл басшылыққа АТ қауіпсіздік қызметкерлерінен жоғары қызметкерге/режиссерге өте қарапайым көңіл бөлу. Бұл келесідей: «Менде проблема бар, ол маған ешқандай жұмысты жасай алмайды дегенді білдіреді, бірақ мен шешімімді анықтадым және оны жүзеге асыру үшін сіздің мақұлдауыңыз қажет.» Күлкілі жеткілікті, компанияны әрқашан ақша табу қажеттілігі АТ қауіпсіздік қызметкерлері өздерінің дракониялық шараларына негізделген экзистенттік қауіп-қатерді ұрлайды. Дегенмен: әрдайым жағымды болыңыз - сіздер АТ-қауіпсіздік тобын ұзақ мерзімділікпен күтесіз.
қосылды автор user128064, көзі
@atdre Мүмкіндігінше, өзіңізді жақсы ұйымдастыру керек. Үлкен бағдарламалық жасақтама дүкенінде жұмыс істеген кезімде, әрбір жоба IT-қатысты мәселелерде толықтай бөлінген «виртуалды компания» болды, бұл өз серверлері, командасы және толығымен оқшауланған инфрақұрылымы. Кез-келген желіге барлық уақытта қажеттілік туындаған жоқ. Бұл ғажайыптар. Сондай-ақ, команданы кез-келген жерде өз жұмысын бұзбастан немесе орталық серверге қол жеткізуге мәжбүр ете алмадық - біздің кеңселеріміздің бірі өртеніп кеткенде, біз кибер-кафеде кеңістікті жалға алып, заттар өзгергенше жүрдік.
қосылды автор T. Sar, көзі
@atdre Сондай-ақ, инфрақұрылымдарды толықтай бөліп, әр топта жаңартулар мен әртүрлі параметрлерді іске қосуға болады. IT-тобы сондай-ақ «виртуалды компанияға» арналған компартименталды болғандықтан, әр мамандық әрдайым қамқорлықпен айналысты.
қосылды автор T. Sar, көзі
Кейде отладтау үшін қажет. Мысалы, жергілікті әкімші құқықтары жоқ Visual Studio пайдалану кезінде сіз басқа пайдаланушының астында басталған процесті отладка алмайсыз. Бірақ компания белгілі бір пайдаланушы үшін жұмыс станциясында уақытша жергілікті әкімші құқықтарын сұрату үшін кейбір процесті орната алады.
қосылды автор Confutus, көзі
Ескерту: Visual Studio-ді «Әкімші ретінде» іске қосуға рұқсат етсеңіз, пайдаланушы «Әкімші ретінде» кодты іске асыра алады. Администратордың артықшылықтары бар коды SeDebug артықшылығын қалаған кез-келген қауіпсіздікке тағайындай алады, демек, әзірлеуші ​​құрылғыдағы жалпы бақылауға ие.
қосылды автор Galaxy, көзі
Сонымен қатар, антивирустық өнімдерді қосу жүйені неғұрлым қауіпсіз ете отырып, жаңылысты тексере алмайды.
қосылды автор Galaxy, көзі
Көптеген компанияларда девальдер сисадминдер ретінде екі есе артады, олар әрине артықшылықтарға ие болады.
қосылды автор Charlotte Vandersleyen, көзі
Бұл, әдетте, жұмыс сұхбаттарында сұрайтын сұрақтардың бірі, егер жауап жоқ болса, әзірлеушілерге жергілікті әкімшілік құқықтарына рұқсат берілмейді, содан кейін мен одан әрі қарай жалғастырудан бас тартамын.
қосылды автор user149010, көзі
Бұл негізінен секторға байланысты. Банкинг, әскери, коммуналдық қызметтер - бәрі басқаларға қарағанда әлдеқайда шектеулі болуы мүмкін. Бағдарламалық қамтамасыздандыру - кез-келген салаға көшуге болатын дағды, бірақ әрдайым жеке меншік емес
қосылды автор user155848, көзі
Сіз/шынымен/ASP.NET/IIS пайдалану үшін әкімші қатынасы қажет пе? Мен осы жобаларды 10 жылдан бері жасап келе жатырмын және әкімшілікке кіруге ешқашан қажет болмады. Мен әзірлеушілермен жұмыс істеймін (сол кодтық негізде), бірақ бұл әдетте олар өздері жазған «құралдар» болғандықтан.
қосылды автор Dan Roberts, көзі
@Andy Немесе жай IIS Express пайдаланыңыз, содан кейін сіз.
қосылды автор Dan Roberts, көзі
@Navin кейбір жерлерде сізге P45-ге жету үшін HR-ге қысқа сапар жасайды. Иә, шынымен де!
қосылды автор Dan Roberts, көзі
@Andy Бұл дамуға емес, интеграциялық мәселелерге ұқсас. Әзірлеуші ​​жұмысыңыздың 100% әкімші құқықтарынсыз жасалуы мүмкін.
қосылды автор Dan Roberts, көзі

19 жауаптар

Қауіпсіздікке қызығушылық танытатын бағдарламалық жасақтамадан бір деректер нүктесі. Мен осындай ұйымдарда кең таралғанын білемін.

Бірқатар желілер бар. Олар физикалық бөлініп, әуе кемелеріне түседі, әртүрлі түсті кодталған желілік кабельдерді басқарады.

Әрбір қызметкерге электронды поштаны жіберу үшін Интернетке (прокси арқылы) қосыла алатын «әкімшілік» машинасы бар. Барлық пайдаланушылар қатаң түрде құлыпталып, қатаң құрылғы және кіруді бақылау бар.

Бұдан басқа, әрбір әзірлеушіде «инженерлік» машина бар. Бұл әкімшінің толық қолжетімділігі және пайдаланушы өз қалауынша жасай алады. Дегенмен, ол инженерлік желісіне ғана байланысты (Интернетке жол жоқ).

Бағдарламалық қамтамасыз етуді дамыту контексттерінің көпшілігінде бұл экстремалды болып көрінуі мүмкін, бірақ жоғары қауіпсіздіктің және әзірлеушілердің еркіндігіне қатысты қайшы талаптарға ие, бұл жалпы шешім.

Сұрағыңызға жауап беру үшін, иә идентификатор әзірлеушілерге әкімшіге рұқсат беру үшін ортақ болып табылады, бірақ бұл әрқашан ақпараттық қауіпсіздік мәселелерін тудыруы мүмкін компьютерге әкімші қатынасын білдірмейді.

110
қосылды
@Deduplicator дегеніміз не? Материалдарды USB дискілері арқылы жеткілікті түрде оңай көшіре аласыз. Бұл кездейсоқ ретсіз қалтаға басу және барлық нәрселерді орнатудың орнына шын мәнінде не қажет екенін ойлауға мүмкіндік береді. Әкімшінің жетіспеуі мені пакеттердегі жүктемелерімді ұйымдастыруға мәжбүр етті, сондықтан мен өзім орнатқан нәрсемен әлдеқайда селективті боламын.
қосылды автор plusplus, көзі
@Flater қауіпті болса да,
қосылды автор plusplus, көзі
+1 Міне, сол сияқты Infosec/A/V жеткізушісі де солай істеді. Олар желілік сегменттеуді өте байыппен қабылдады - бұл құрылғыға pro/ішкі инфрақұрылымдық желіге қосылу үшін терминалдың қателігі болды, мен оны жасау үшін біреуден көп әзірлеушіге баруға тура келді. Дегенмен, менің ойымша, бұл мәселені ең жақсы, әзірлеуші-ең дұрысы - деп ойлаймын. «Сіздің дев-желіде сіздің дев-ноутбугыңыз бар және сіз өзіңіздің жұмысыңызды жақсы орындау үшін қажет болатын рұқсаттарыңыздың бұзылуына әкелетін барлық нәрселерден ажыратамыз. «
қосылды автор Shawn, көзі
Мен DoD мердігерінде жұмыс істегенде, маған біршама ұқсас жүйеде жұмыс істеуге тура келді. Бұл жағдайда менің негізгі құрылғым басты желіге, Интернет желісіне қосылған және жергілікті әкімші болған. Өндірістік машиналар дүниеден құлыпталған есіктердің артынан ұшып кетті және жаппай құлыпталды. Ең алдымен менің бастапқы/алғашқы тестілеуді қолдана аламын, бұл әдетте ауырсынуды азайтты, бірақ уақыт өте келе қолданылмайтын мөлдір деректер жиынтығын жасау мүмкін болмады, мен жоғары жағында бәрін жасауға тура келді. Бұл қасірет еді, себебі ол кем дегенде 20 фут қашықтықта Интернетке қосылған ДК-ге дейін жетіп, тек қана хэндвичке көшірді.
қосылды автор Brendan Long, көзі
@Nelson Бұл тәсіл іс жүзінде өте ауыр болады. Бүгінгі күні дамуды жеделдету үшін шеңберлерді қолдану кең таралған. Көптеген заманауи шеңберлер көптеген кітапханаларға тәуелді болады және оларды USB құрылғысына сақтап қалу үшін сіз қолданатын шеңбердің нақты тәуелділіктерін анықтау қиын және қате болуы мүмкін. Сіз сондай-ақ маңызды қауіпсіздік құралдарына осылайша қол жеткізе алмайсыз. Кейбір заманауи пакет менеджерлері сіздің тәуелділіктеріңізде қауіпсіздік ескертулері бар-жоғын автоматты түрде тексере алады және солай болса, оларды жаңартады. Егер сіз мұны басқа машинада істеу керек болса, онда бұл машина сіздің нақты фабрикаңызға айналады.
қосылды автор Valerie Anderson, көзі
+1, біздің компанияның кейбір даму топтары сол тәжірибені пайдаланады. Дегенмен, біз әуе желісін дамытпаймыз. Біз оны VLAN-ді пайдаланамыз.
қосылды автор Philipp, көзі
@NickT Sourcecode ағып кету әдетте екінші мәселе болып табылады. Немесе көптеген ұйымдарда ешқандай алаңдаушылық жоқ, өйткені олардың бағдарламалық қамтамасыз етуі соншалықты мамандандырылған, себебі ол ешкімге емес, олардың клиентіне құндылығы жоқ. Барлығына әсер ететін қауіп-қатер зиянкес бағдарламаларды тарату болып табылады. Толық әкімші артықшылықтарымен жұмыс істейтін және ІТ бөлімі тексермеген бағдарламалық жасақтамамен Интернетке кіруге арналған құрылғы зиянды бағдарламалар магниті
қосылды автор Philipp, көзі
Шынымды айтсам, мен осы саясатты енгізген сәтте өзімнің назарымды аударатын едім ... Ғаламат машинаға интернетке кіруге рұқсат жоқ, жай ғана ақылсыздық.
қосылды автор Abdul, көзі
«Инженерлік желі» шынымен де өндірістік желі ме? Сізге шынымен екі қорап керек, біреуі құжаттарды оқып, екіншісі коды бар ма? Егер ол үлкен/сынақ желісі болса, шабуылдаушыларға кодты енгізу туралы алаңдаушылық туғызады. Кодын жасыру (сіздің девсыңыз шамамен 5 секундта жұмыс істейтін болады)? Өндіріс желісі болса, инженерлерге мүлдем рұқсат бермеуі мүмкін (QA/ops продляцияға енеді).
қосылды автор The Lazy DBA, көзі
Менің жұмыс орнымда USB (және басқа алынбалы медиа) өшіріледі (жұмыс істеуге шектеулі уақытқа арналған құрылғылардың ақ тізіміне ғана рұқсат етіледі), бірақ бізде 2 тіркелгі бар, жұмыс істемейтіндер үшін Интернетке кіруге рұқсат жоқ және интернетті көре алатын төмен рұқсат пайдаланушы. 2 машинаның қажеті жоқ.
қосылды автор Landmaster, көзі
Hm, интернетке қосылыс болмайтын әзірлеу машиналары айтарлықтай шектеу болып көрінеді.
қосылды автор Deduplicator, көзі
Мұндай орналастыруды көрген жерлердің көпшілігі пайдаланушы машиналарының тұжырымдамасынан жақсы және шоттар тұжырымдамасына жақсы түседі: олардың барлығы ВМ-лерді немесе Желі кең басқарылатын бухгалтерлік есеппен ортақ сақтаумен жұмыс істейді. Әкімші компьютеріңіз NAS-ке RW-ке оңай қол жеткізе алады, тіпті VM VPN/SSH мақсатына ие болуы мүмкін, ол тек бөлмені бір клиентті іске қосу үшін рұқсат етіледі (оны тіркеуден шығатын адамдарды тоқтату үшін). Әдетте бұл әдеттен тыс, өйткені IT кез-келген жүйеден әкімге қол жеткізе алады, Devs арқылы орнатуға болады, бірақ алдымен std пайдаланушы тіркелгісінен әкімші пайдаланушысын анықтайтын кіру қажет.
қосылды автор Jack, көзі
Ашық ғаламторға кіруді бұғаттау, әрине, ақылсыздық болып табылады, бірақ егер сіз қауіпсіздікті сақтау кезінде әкімшілік ортасында қалғыңыз келсе, барлық адалдықтарыңызда, сіздің АТ корпусыңыз виртуалды бөлмені виртуализациялауы керек, сонда ол құм жәшікке салынған әкімшіге қол жетімді болуы мүмкін. Бұл сізді VM-ден сыртқы қатынасты басқаруға шектеу қойып, кез-келгенеуін айтпай-ақ, ортақ сақтауға вирус алуды шектеп, әкімшілік жұмыс істеу мүмкіндігін береді.
қосылды автор Jack, көзі
@Nelson, шын мәнінде, қауіпсіздікті жақсарту үшін инженерлік ортадағы барлық USB порттары өшірілуі керек, олар қауіпті емес. Сыртқы жаңартулардың бақыланатын жүктелуіне мүмкіндік беретін Деректер Диодын пайдалану әлдеқайда пайдалы әрі қауіпсіз болатын еді. en.wikipedia.org/wiki/Unidirectional_network
қосылды автор MathEW, көзі
@Nelson: USB-тақтадан көшіріп жатқан нәрсеңізді қалай қауіпсіз етуге болады? Әкімшілен инженерліктен көшіруге рұқсат берілу қажет болғанымен; әкімшілік машинаны to көшіруге мүмкіндік бересіз бе? Егер сіз екіге рұқсат берсеңіз, таяқшадағы деректер дербес желі кабелінде (тікелей екі машина арасында) деректермен алмасқандай қауіпсіз болса, бұл жай процесс болып табылады.
қосылды автор user180510, көзі
Бұл жеңіл шешім қабылдау емес. Дамуға айтарлықтай ықпал болады. Мұны істеу мүмкін емес, жай ғана кейбір салдарға нұсқау. Nuget/npm пакеттері сияқты техникалық нәрселерден (қоғамдық жаңалықтарға нақты уақытта қол жеткізе алмайсыз және барлығын қолмен көшіруіңіз керек), сонымен қатар аса маңызды мәселелерді (әзірлеушілер StackOverflow бағдарламасынан көшіру/көшіру мүмкін емес). Бұл жерде шын мәнінде, біз бәрін де істейміз, тіпті егер кодты тексеру қажет болса (бұл имо, ол), қолмен барлық нәрсені теру керек, тиімді жұмысқа қолайлы болмайды).
қосылды автор user180510, көзі
Қызметкерлер үшін екінші компьютер/ноутбукты сатып алу қажет, адамдарға өнімділікті төмендететін өте қымбат тәсіл
қосылды автор public wireless, көзі

Менің тәжірибемде әзірлеушілер өздерінің машиналарында әкімшіге қол жетімді болуы әдеттегідей. емес үшін өздерінің машиналарында әкімшіге қол жеткізу үшін олар де ортақ . Дегенмен, соңғы жағдайда кейбір үй-жайлар көбінесе үйкеліссіз жұмыс жасай алады.

Жұмыс кеңістігінде (VMWare немесе Windows жүйесімен бірге келген Hyper-V нұсқасы) жұмыс бекетінде Hypervisor қатынасына рұқсат беретін өте қарапайым орналастыру - бұл гипермизордағы VM жасау және жою үшін қажетті арнайы рұқсаттармен қажет болған жағдайда ( Hyper-V / VMWare ) , соның ішінде жасау VM қондырғылары қонақтардың ОС жүйесіне әкімшілік құқықтарына ие. Әдетте, бұл ВМ-лердің кейбірі ұзақ уақыт бойы жұмыс істемейді, тіпті олар барлық уақытта жұмыс істемесе де, әкімшілік артықшылықтарды қажет ететін нәрсемен тез тестілеуді жасау үшін барлық VM-ті дайындауды қажет етпейтін мәселе болмайды.

Hypervisor өзінің ВМ-лары үшін Интернетке кіруге мүмкіндік беру үшін конфигурациялануы мүмкін; Мен бұл екі жолды да көрдім, бірақ мен өзімнің интернет-қолжетімділікті керек рұқсат етемін ... кем дегенде, ең тәжірибесі бар даму түрлері үшін. Бірақ Интернетке қол жеткізу, ең болмағанда, корпоративтік желінің қалған бөліктерінен бөлек VM-ді арнайы вланға айналдыруға болады және қажет болуы керек. Мен бұл тікелей Hyper-V немесе VMWare арқылы жүзеге асыруға болатынына сенімді емеспін, бірақ кейбір желілерге рұқсат етілмеген машиналардан, соның ішінде devloper VM-лерге кіруді болдырмау үшін көптеген желілік қосқыштар үшін порттарда 802.1x пайдалануға болады. Содан кейін әзірлеушілерге виртуалды тегтерді VM-ге қалай орнату керектігі туралы үйретуге және олардың коммутатор портында қандай флаг тегтеріне рұқсат етілетінін білуге ​​мүмкіндік беріңіз. Мен мұны техникалық шаралар арқылы емес, саясат туралы декрет ретінде қарастырдым.

Және, әрине, бұл әзірлеушілерге бір уақытта бірнеше ВМ іске қосу үшін жеткілікті қуатты машиналармен қамтамасыз етумен сәйкес келеді.

66
қосылды
Бұл жақсы шешім ретінде жақсы шешім - өте жақсы шешім - бірақ менің іс жүзінде осындай жұмыс істейтінін білу үшін жеткілікті Windows admin-foo жоқ (ерекше артықшылықтар немесе ВМ-нің жалпы жергілікті әкімшінің преференциялары) - сондықтан IMO бұл жауапты кейбір құжаттамаларға/ақ қағаздарға/кітабының элементтеріне сілтемелер арқылы жақсартуға болады немесе бұл дәлелдейді.
қосылды автор Grant Collins, көзі
Ия, керемет сілтеме! Бен Армстронг - баратын жігіт! Сонымен қатар, VLAN-дің материалдары туралы мәліметтер.
қосылды автор Grant Collins, көзі
VM-лер әзірлеушілерге басқа да артықшылықтар береді. Бір физикалық компьютер бірнеше ВМ-ді қабылдауы мүмкін, түрлі операциялық нұсқаларын іске қосады немесе тестілеу кезінде бағдарламалық жасақтама нұсқалары болады. Бір рет пайдаланылатын болғандықтан, таңдалған бақылау орнына қайта оралу арқылы сынақты қайталау оңайырақ.
қосылды автор Raedwald, көзі
@davidbak Жақсы?
қосылды автор Phonon, көзі
@davidbak Мен әкімші құқығына ие болмаған кезде гипервизормен (VirtualBox) орнатылған машинада жұмыс істедім
қосылды автор Naoise Golden, көзі

Мен өте үлкен инвестициялық басқару фирмасында жұмыс істеймін (~ 6000 қызметкер) және әзірлеушілер жергілікті әкімшіге қол жеткізу үшін біз бекітетін топтардың бірі болып табылады. Біз оларға кез-келген бағдарламалық жасақтаманы орнатпауды айтамыз, себебі ол жергілікті жұмыс үстеліне/бағдарламалық жасақтамаға сәйкестік.

Сондай-ақ, бізде жергілікті әкімші талап етпестен, өз машиналарында орындалу саясатын өзгертуге мүмкіндік беретін Developers AD Group бар.

44
қосылды
@Steve - өкінішке орай, бұл өте қауіпті экстремалды көзқарас. Ұйымдарды ішкі қауіп-қатерден қорғау үшін параноидтар емес. Шын мәнінде көптеген адамдар үшін бұл олардың ең үлкен қатері.
қосылды автор Rory Alsop, көзі
@TomK. Ол «Неліктен менің ұйымым менің өмірімді өте қиын, өте маңызды емес деп ойлаймын және бұл туралы не істеуім керек?» Деген сұраққа жауап береді. ОП мұны (оның ашық, әдемі және параноидтық) практикасын өзінің дүниетанымына сәйкес келтіруге тырысады. Адамдар өздерінің ұйымдары Параноидальдық қауіпсіздік адамдарын Әзірлеушілердің нақты өмірлік қажеттіліктерімен теңдестіруге тырысады.
қосылды автор Steve Sether, көзі
Бұл сұраққа жауап бермейді. Бұл егер ол «типтік» болар еді, не болмаса түсініктеме бермейді.
қосылды автор Sean, көзі

Менің мансабымда шағын компаниялармен (100 адамнан кем) бізде әрқашан жергілікті әкімшілік құқықтар болған. Бізде де АТ-да жұмыс істейтін нақты жұмыс үстелі машиналары бар, бірақ құқықтарын алдық, немесе біз өзіміз басқаратын барлық түрдегі виртуалды машиналарға ие болдық.

If we had not local admin access, we would try all sorts of bad "solutions" which, as in your case, leads to less security. This is one of those cases, that restrictions actually lead to the opposite of their intention.

27
қосылды
@TomK. Сауалнаманың кейбір түрлеріне тән емес екенін білудің ешқандай мүмкіндігі жоқ, сондықтан мәселенің бұл бөлігіне жауап берілмейді.
қосылды автор Obviously_Anon, көзі
@TomK. Бұл сауалнамалар немесе зерттеулер, егер олар тіпті бар болса, үнемді болмақ. Сіз қалай айттыңыз, бұл «типтік» болуы мүмкін және тек бір нәрсе тән болғандықтан, ол дұрыс жолды білдірмейді дегенді білдіреді.
қосылды автор Obviously_Anon, көзі
Бұл сұраққа жауап бермейді. Бұл егер ол «типтік» болар еді, не болмаса түсініктеме бермейді.
қосылды автор Sean, көзі
@ PeterA.Schneider: Дұрыс, әдетте, ешбір адам өзінің тәжірибесі сияқты жаһандық сұраққа жауап бере алмайды. Бақытымызға орай, «ең жақсы тәжірибе» деп аталатын мұндай нәрселер бар, олар жазылып, тексеруге ашық. Басқа мүмкіндіктер - зерттеулер немесе мақалалар. Тек «Мен үшін бұл сияқты» дегені жеткіліксіз.
қосылды автор Sean, көзі
@Andy дұрыс. Бұл зерттеулер немесе зерттеулерді ғалымдар жиі жасайды немесе жиі-жиі тәжірибелі мамандар жасайды. Осы жақсы тәжірибелерге немесе зерттеулерге сілтеме жасау дұрыс жауап болып табылады.
қосылды автор Sean, көзі
@TomK. Бұл ішінара жауап береді. Егер 10-нан 10-ы «Мен әрдайым әкімшілік құқықтарым бар болса» деген жауап болса, жауап бірге . Бірде-бір адам осы сияқты жаһандық сұраққа жауап бере алмайды; Әрбір жауап бір дәрежеде анекдотал, бұл Джо деп аталатын «деректер нүктесі». (Джо сонымен қатар «Мен бұны басқа индивидуализмде жиі кездестіремін» деп мәлімдеді, «мен білетінім»).
қосылды автор Bobas_Pett, көзі

Үлкен ұйымның кішігірім бөлімінде (бөлімде ~ 100, толық ұйымда 3500) орта шешімінде таңдадық:

  • sysadmins-де әкімшілік емес тапсырмалар (пошта, құжаттың шығарылымы және т.б.) үшін пайдаланылған біреуі (жергілікті әкімші емес) және AD әкімшісімен бір AD (AD әкімшілігі үшін пайдаланылатын)
  • барлық басқа пайдаланушылардың тек бір ғана әкімші тіркелгісі болған жоқ
  • devs (және кейбір power users ) жергілікті компьютер әкімшісінің артықшылықтары бар жергілікті есептік жазбамен қамтамасыз етілді. Жергілікті әкімшілік талап етілгенде сирек пайдаланылуы тиіс еді.

Әкімшілерге құқықтарды бас тартудан бас тарту өнімділіктің жоғалуына себеп болады және кез-келген ұйым үшін дереу шығынға ие болады. Жергілікті машинаға бастапқы шотқа немесе қосалқы шотқа әкімші артықшылықтарын беру әкімшінің операциялық жиілігіне байланысты болуы керек:

  • Күніне бірнеше рет артық болса, негізгі есептік жазбаны пайдалануды ұсынамын.
  • Аптасына кем дегенде бір рет қайталама есептік жазбаны қолданамын.

Егер сіз ортасында болсаңыз өзіңізді таңдаңыз ...

27
қосылды
Қарастырулар: AD есептік жазбасы үшін Интернетке қолжетімділік. Менің жұмыс орнымда менің AD-ге ғаламторға қатынау жоқ (Visual Studio жаңартулары қоспағанда). Мен үнемі интернет-шотыңызды/жүктеуді/т.б. пайдалануым керек.
қосылды автор julionc, көзі
Бүгін біз осы мәселе бойынша АТ-командамызбен кездестік, мен бұл жауапты жауап ретінде қарап отыруға тырысамын, өйткені бұл біз үшін пайда болған шешім.
қосылды автор David, көзі
Иә, біз мұны жасадық. AD әкімші тіркелгілерінде әр компьютерде жергілікті домен әкімшісінің артықшылықтары болғанымен (доменнің/жарнаманың бөлігі болған).
қосылды автор Sami Liedes, көзі

Жергілікті әкімшіге рұқсат беретін және тыйым салған тәжірибемде, соңғы кездегі лас кіре берістер сияқты кең таралған. - Сондықтан өзіңізге:

Сіздің желіңізге қандай қауіп жергілікті әкімші құқықтарымен нашарлайды?

Жауабы келесідей болуы мүмкін: NONE - Сіздің желіңіздегі ресурстарға қол жеткізу әр пайдаланушы негізде шектелуі керек, егер бұл пайдаланушыда жергілікті түбір, әкімші немесе MasterOfTheUniverse қол машина. Егер пайдаланушы желіңізді жарылуға құқықты болса, онда жергілікті вирус әкімшіге кіруді қажет етпейді, ол тек желідегі желдету үшін пайдаланушының тіркелгісін қолдануы мүмкін. - Егер пайдаланушы тіркелгісі желідегі нәрсеге қол жеткізе алмаса, жергілікті әкімші құқықтары бұл туралы ештеңе өзгертпейді.

Сіз өзіңіздің девелоперіңізге өзіңіздің машинаңызды жауапкершілікпен басқаруға сенуіңіз керек және компанияңыздың жергілікті әкімшілік құқықтарында ақылға қонымды қауіпсіздік конфигурациясы бар бір ғана нәрсе үшін қауіпті болуы керек: жергілікті құрылғы. Сондықтан, жергілікті әкімшіңізді беру арқылы қабылдайтын жалғыз тәуекел - әзірлеуші ​​өз машинасын бұзады (ол қазірдің өзінде бір шыныаяқ кофемен жасай алады).

Addendum: You should grant your developers the possibility to use local-admin rights whenever they need to. This doesn't mean they should be logged in with an unsecured admin-account all the time, but you should trust them to use it sensibly whenever they need it - without asking for permission every time.

Неліктен әзірлеушілердің жергілікті әкімші құқықтары болуы керек

Сіздің әзірлеушілеріңіз - сіздің бизнесіңіздің негізгі операцияларын жобалауға сенетін адамдар. Көптеген компаниялар бүгінгі күннің өзінде бағдарламалық жасақтамаға өте тәуелді, сондықтан әзірлеушілер компанияңыздың маңызды бөлігін қалыптастыру үшін маңызды ресурс болып табылады.

Біріншіден, өнімділіктің жоғарылауы пайда болады, себебі әзірлеуші ​​өзінің жергілікті машинада қажет ететін барлық нәрселерін ғана конфигурациялауы, орнатуы және сынауы мүмкін. Оның бағдарламалық жасақтамасының белгілі бір аспектілерімен тәжірибе жасау үшін белгілі бір бағдарламалық жасақтамаға, көмекші құралдарға немесе ерекше конфигурацияларға қажет болуы мүмкін (мысалы, оның бағдарламалық жасақтамасын операциялық жүйенің ескі нұсқасында немесе бұрынғы нұсқасы/SDK).

Екіншіден, әзірлеушілерге олардың қалай бағалайтынын көрсететін пайда (менің ойымша, тіпті үлкенірек) пайда болады. Сіз оларға өз машиналарымен сенетіндігіңізді көрсетесіз - сіз әзірлеушілерге өздерінің машина бақшасы жоқ басқаруға қабілетті IT-savy адамдар ретінде қарайтын боласыз. (Көптеген компанияларда жергілікті әкімші болмаған көптеген компанияларда олар қажет ететін әрбір орнату/конфигурация үшін техникалық қолдауды немесе қауіпсіздікті сұрайды және көптеген жағдайларда бұл техникалық қолдау адамдар сіздің бағдарламалық жасақтама туралы аз біледі сіздің жетекші әзірлеуші , бірақ олар әлі де өз жұмысын қажет ететін нәрселерді сұрайды, бұл өте өкінішті болуы мүмкін.)

16
қосылды
@Downvoter менің жауапымды қалай жақсартуға болатынын түсіндіруге тырысады не неге сіз оны мүлдем дұрыс емес деп ойлайсыз?
қосылды автор Tim Jansen, көзі
@JamesSnell Мен қорғаныстың кең жақтаушысы болып табыламын, бірақ жергілікті жабдықтан басқа кез-келген құндылықты қамтамасыз ететін жергілікті шектеулі есептік жазбаны көрмеймін. Бизнес құндылықтарының кез келгеніне пайдаланушы құқықтарымен кіруге болады xkcd.com/1200
қосылды автор Tim Jansen, көзі
Мен үшін қорғаныс шифрланған қатты дискіні, жергілікті шотта күшті парольді, қауіпсіз аппараттық модульді қамтиды ... Бірақ жергілікті пайдаланушыға арналған ноутбуктың жергілікті шектеуі қауіпсіздік театры
қосылды автор Tim Jansen, көзі
@JamesSnell машина қалай қорғалған? Құрылғыдағы пайдаланушы құқықтарына ие шабуылдаушы желіңізге толық шабуыл жасау үшін жеткілікті. Ноутбук әкімшіге кіру рұқсатынсыз жұқтырған хост болады.
қосылды автор Tim Jansen, көзі
@JamesSnell IRI-ді жергілікті әкімші құқықтарсыз орнатуға болатын IDE ;-) Бірақ мен сіздің ойыңызды білемін: Ия шабуылдың ықтимал бетін кеңейтеді, бірақ кішігірім маржамен ғана. Егер сіздің әзірлеушілеріңіз жергілікті әкімшіге ие болмаса және айналасында жұмыс істеу үшін кейбір «көмекші құралдарды» жүктеп алсаңыз, сізде шабуылдардың беті көп болуы мүмкін. - Әзірлеушілер өз жауапкершілігіне сенетін болса, машинаны өз жауапкершілігін сезінудің орнына жауапты болса, сауалнаманы көргім келеді.
қосылды автор Tim Jansen, көзі
@JamesSnell Әрбір әзірлеуші ​​өзінің еркін еркімен де, егер оған сенсеңіз. Жергілікті әкімші «түбірін әрқашан пайдаланады» дегенді білдірмейді, бірақ «қажетті түбірді қолдануы мүмкін»
қосылды автор Tim Jansen, көзі
Мүмкін, бұл түсінікті айқындау үшін менің редакциямды түзетуге болады - менің ойымша, әзірлеушілер әдеттегідей қорғалған есепті қолдануы керек, бірақ қажет болған жағдайда жергілікті әкімшіге рұқсат беру нысанын толтырып, рұқсат сұрауға мүмкіндік беруі керек. Мен оларға осы артықшылықты ақылға қонымды және сақтықпен пайдалану үшін сенемін
қосылды автор Tim Jansen, көзі
Қысқаша айтқанда, бұл жауап ең аз артықшылығы мен толық қорғаныс тұжырымдамасын бұзады. Жергілікті әкімшіні шектеудің себебі - шабуылдарды азайтуға көмектесу, ал жақсы дьявиттер оны түсінеді. Егер көрнекі қажеттілік бар болса, онда бұл басқа да балғамен, көбінесе жергілікті әкімші есебімен кездесуге болады, сондықтан жоғары артықшылықтарды пайдалану уақытша болып табылады; бірақ ОС өздерінің веб-әзірлеушілері екенін айтады, сондықтан жергілікті әкімшілік құқықтарына өте аз қажет. security.stackexchange.com/a/190182/17321 бөлімін қараңыз
қосылды автор Martin Spamer, көзі
@Falco - нүкте шабуылдарды іске қосу үшін платформа ретінде пайдалануға кедергі келтіреді ... байланысты мәселені оқыңыз.
қосылды автор Martin Spamer, көзі
@Falco - ол шабуыл бетін азайтады, сіз жауапты жауапты оқымадыңыз ба? Қосымша ... theregister.co.uk/2018/07/25/developers_malware_vectors
қосылды автор Martin Spamer, көзі
@Falco - бұл сенім мәселесі емес. Мен өз жүйелерімді осы жолмен басқарамын. Мен оларға қажет емес болған кезде өзімнің құқықтарымды шектеймін.
қосылды автор Martin Spamer, көзі
@JamesSnell Visual Studio жергілікті әкімші құқықтарын қажет етеді, яғни Visual Studio сценарийі жоқ болғандықтан, бұл үлкен себеп болып табылады. Пікіріңіз қалғанымен келіспей, тек жергілікті әкімші құқықтарының қажеттілігі.
қосылды автор user180588, көзі

Үлкен ұйымдар үшін жұмыс істеген тәжірибемде, әзірлеушілерге дамудың нақты ресурстарынан басқа кез-келген нәрсеге толық құқылы болу мүлдем жоқ.

Ұйымыңыз шағын және үлкен шекарада орналасқан сияқты, сондықтан да ...

Сіздің ұйымыңыздың кейбір жетілдірілген даму тәжірибелерін жасау уақыты келді.

Әділ болу үшін, мұндай өзгеріс - операциялық топтар сіздердің іс-әрекеттеріңізде орын алғандай, даму топтарын таң қалдыруы керек емес.

Қауіпсіздік және әзірлеушілердің өнімділігі сіздің компанияңызға қарсы болмауы керек. Сіз өзіңіздің негізгі іскерлік желіңіздегі ресурстарға қол жеткізе алмайтын желідегі даму әрекеттеріңізді орындау арқылы бұл келіспеушіліктен мүлдем аластауға болады.

Сіз өзіңіздің өндірістік активтеріңіздің дамуына қарсы емессіз бе?

Егер сіз болсаңыз, сіз болмауыңыз керек - сіздің активтеріңізге, әсіресе, олардың қол жетімділігіне елеулі тәуекелді енгізеді.

Өте жақсы тәжірибе - функционалдылық пен деректер жиындарының негізгі бөліктерін (сіздің компанияңыздағы нақты тұлғалар туралы жеке мәліметтерді көрсетпестен) көбейтудің толыққанды даму ортасын орнату. Бұл қайталанған орталар бөлуді өте оңай етеді. Сіздің әзірлеушілеріңіз осы әзірлеу ортасындағы машиналарды толығымен басқаруды қажет етеді. Олар даму ортасынан тыс активтерді толық бақылауға мұқтаж емес.

Жеке даму ортасын іске асырудың бірқатар жолдары бар:

  • Интернетке қосылған жабдықты (жұмыс станцияларын, серверлерді, желі құрылғыларын және т.б.) толықтай бөліңіз
  • Виртуалды орталар (виртуалды желілерді қоса алғанда); жабдықта немесе бұлт қызметі провайдерінде және Интернетке кіру мүмкіндігі бар немесе жоқ
  • Жоғарыдағы екі тәсілдің тіркесімі

Сондай-ақ, даму ортасына кіріп-шығуды қажет ететін кез-келген бөлісу үшін кейбір түрдегі көпірді (егер қазірдің өзінде сіз қандай да бір қызмет түрін пайдаланбасаңыз) жүзеге асыра аласыз.

Даму орталары көптеген желілер сияқты қорғалуы керек. Тек қана сіздің кодының және дамудың барлық активтерін онлайн режимінде бақылауға немесе негізгі қауіпсіздік шараларын қолдана алмайды.

Мен сондай-ақ кейбір жерлерді осы бір қадамға алып, олардың барлық кодын бір ортада жаздық, содан кейін интеграциялық тестілеу үшін оны толықтай бөлек ортаға салады/орналастырады.

12
қосылды
GDPR дәуірінде, әзірлеушілерді өндіріс жүйелерінен аулақ ұстау заңға тәуелді. Заңдар туралы жақсы нәрсе олар ішкі компания саясатын ұрып-соғуы мүмкін.
қосылды автор Martin Marconcini, көзі

Жауапыңызды оқу үшін немесе сіздің нүктеңізді табу үшін үлкен және қалың мәтін қажет емес.

қосылды автор Luc, көзі
Мен өзімнің жауабымды жазғаннан гөрі, осыған негізделгім келеді. Менің жұмысымда біз: 1) Даму серверлері, 2) Басқа өндірістік емес (QA, TST және т.б.) серверлер, және 3) Өндіріс. Әзірлеушілер әзірлемелерді жасау үшін әкімшіге қол жеткізе алады, бірақ олардың кодтарын және басқа да активтерін жинақтап, оларды басқа өнімді емес орталарда қолдануды және кез-келген операциялық жүйе туралы жасалсын. Мен 2-топтың мақсатын бұзатын Prod-тан айырмашылықтарды енгізетін 2 топтағы жүйеде де қаламаймын.
қосылды автор KS.Pan, көзі
Бұл дұрыс жауап. Әзірлеушілер өздерінің жұмыс станцияларына әкімші қол жеткізуі керек, бірақ бұл жұмыс станцияларынан өндіріс жүйелеріне, құпия ақпаратпен және т.б.
қосылды автор Galaxy, көзі

Ең алдымен сіз «жалпыға» немесе «типтік» деген маңызды емес екенін білуіңіз керек, себебі: әдетте мұндай жағдайлар қатал түрде өңделеді . Сіз бұл мәлімдемеге ең жақсы жағдай жасайсыз.

Егер адамға жергілікті әкімшіге қол жеткізу қажет болса (ол мердігер немесе қызметкер бола ма), онда қауіпсіздік саласының командасы/тұлғасы - кімге белгілі бір аумақты басқаратыны - шешім табу . Мұнда көптеген шешімдер бар: оқшауланған VLAN жасау, виртуалды машиналар және басқалары осында аталды.

Басқа ұйымдарға «біздің машиналарда әкімшілік құқықтарымыз бар» деген ақпаратты ғана естуге болады. дәл инфрақұрылымын сіз өзіңіз сияқты бірдей таба алмайсыз. Қауіпсіздік тобы/адам қауіпсіздікті басқаруды жоспарлайды, содан кейін бұл осы нақты ұйымындағы ақпараттық технологияларды таратумен жүзеге асырылады.

Егер орындалатын шешім дұрыс жұмыс істемесе және сіз жұмыс істей алмасаңыз, оны қайтадан қауіпсіздік тобына/адамға жеткізіңіз. Егер бұл жұмыс істемесе, оны басшыға немесе келісімшартқа жіберіңіз.

Қазір істеп жатқан нәрсе ақша жұмсап, ештеңе жоқ. Егер осы ойынның басқа қатысушылары қазірдің өзінде бұл мәселені шеше алмаса, ол жаман. Бірақ егер мұны жақсы болса.

10
қосылды
Сұраққа жауап бермеу және басқа көзқарас беру немесе ОР-ны басқа жарықта көрсету әрекеті арасындағы айырмашылық бар.
қосылды автор Sean, көзі
Барлық шындықта, Марсельдің жауабына жауап бергеніңізден кейін: сіздің жауапыңыз жауапқа жауап бермейді және шын мәнінде мұны бас тартады. Егер ОС-қа басқа, неғұрлым маңызды сұрақ қоюды ұсынғыңыз келсе, оны түсініктемеде жасаңыз.
қосылды автор Bobas_Pett, көзі

Бұл негізінен контекстен, әсіресе сіздің қатерлі моделіңізге байланысты.

Кейбір ұйымдарда әзірлеушілерге өздерінің жұмыс станцияларын толық бақылауға, өздерінің ОЖ-ны орнатуға мүмкіндік беретін нүктеге жеткізуге болады.

Кейбір ұйымдарда барлық дамуы ауа ағыны бар ортада жасалуы керек, электронды құрылғылардың ешқайсысына кіруі немесе одан шығуы мүмкін емес.

Көптеген ұйымдар осы екі шектен тыс бір жерге түседі. Даму ортасын неғұрлым құлыптаған сайын, әзірлеушілеріңіз неғұрлым өнімді болмақ, және ең жақсы талантыңызды жоғалтасыздар. Сіздің ұйымыңыз қауіпті жұмыс істейтін жұмыс станциясының ықтималдығы мен ықпалын бағалауы керек және бұл тәуекелді азайту үшін әзірлеушілердің өнімділігін төмендетуге қаншалықты дайын.

7
қосылды

Іс жүзінде бар мәселе құзырлы АТ - сүйекпен басқарылатын ережені қолдануға тырысады. Сіз шынымен бір ғана таңдауға ие боласыз, әзірлеушілерге тиімді әкімші қатынасын беріңіз.

Мен сол кеңесті қайта-қайта қайталауды жалғастырамын, әзірлеушіде әкімші бар, бірақ интернетті жоқ екінші машинаға қайнайды. Егер сіз Швейцарияның сырты болуды қаласаңыз, онда бұл жол бар. Типтік әзірлеуші ​​компьютерінде орнатылған бағдарламалық жасақтамалардың тізімі әдетте экраннан көп. Олардың көпшілігі жаңартуларды тексеру үшін тек бір ғана опция - Интернет. Сіз WSU арқылы оларды түзете алмайсыз, себебі WSU олардың бар екенін білмейді.

Міне дәлелдер түсінбейді: әзірлеушінің жеке шоттарын бұзу іске қосу нүктесі емес; бұл джекпот. Сол жерден әкімге баруға ешқандай себеп жоқ. Бүлінген блоктарда кілтсөздерді өзгертуге мүмкіндіктері бар. Әзірлеушінің қорабында әкімші алу - бұл әлдеқайда қызықты емес.

Әкімшінен бас тартқыңыз келгенде, сіз не қорғайсыз? Біреу кодтық негізге қол жеткізе ме? Жоқ. Оны іске қосу нүктесі ретінде пайдаланасыз ба? Өндіріс LAN сіздің құрылғыңыздан қорғалмаған болса, сіз дұрыс емес нәрсе жасайсыз. Әзірлеушілер материалды орнату керек емес пе? Жоқ. Құрамында компилятор жұмыс істейді және компилятор арқылы кодты шығарады. Бұл расталмаған бағдарламалық жасақтаманың анықтамасы болуы мүмкін.

Көптеген әңгімелер мен әңгімелер әңгімелесушінің әкімшілігіне айналмайтындығы туралы әңгімелердің көбін тыңдадым, бірақ Дағдарлар қауіпсіздік саясатын құлатқан кезде АТ тәжірибесі басқаша қарады. Мен көп нәрсені білмеймін, тіпті білмеймін. Мен девианның басқарушысының кейбіреулерін қауіпсіздік дисктерін айналып өту туралы айтқандарын естідім.

Ерте ме, кеш пе, ұйымдар әзірлеушілерге әкімші беруді үйренеді. Көптеген адамдар, бәлкім, оны білмей-ақ жасай алмады.

Ғаламторға және жергілікті доменге қосылған бір қорапта жергілікті әкімшіге жай беру және оның салдары қандай болатынын шешу үшін дайын болыңыз. Оның орнына өндірісті қорғаңыз. Өндірісті жоғары деңгейде қолжетімділікке қол жеткізу үшін аз адамдар бар, сондықтан құлыптау оңайырақ, ал құзыретті ұйымдар мұны істеуге үйренеді.

Бірақ кенеттен әкімшісін алып тастау, бұл әрдайым әрдайым маңызды девс жоғалтуға әкеледі. Сіз мұны қаламайсыз.

Windows сайттары туралы сөйлескіңіз келгендіктен, адамдардың көпшілігінің деректерінен асып түсетін бір анекдот бар. Microsoft өзінің жергілікті әкімшісін береді. Windows-ті жасаушы, әмиянның әкімшісіне құндылық жасау үшін бермеу үшін жеткіліксіз пайда болғанын анықтады. Сондықтан сіз солай істеуіңіз керек.

6
қосылды

Мен жұмыс істейтін екі тәсілдемін көрдім.

  1. Әзірлеушілерге өз машиналарына әкімшіге рұқсат беріңіз. Бұл ең қарапайым және кең таралған тәсіл. Әдетте бұл ең жақсы таңдау
  2. Әзірлеушілердің әкімшінің рұқсатынсыз жұмыс істей алатындығын қамтамасыз ету үшін барлық тапсырмасы бар ұйымдағы топты жасаңыз. Бұл команда әдетте 3-4 адам болады. Сіз әзірлеушілердің аппараттық талаптары контейнерлерді немесе VM-ті пайдаланатын болсаңыз, соншалықты күрт артады, сондықтан барлық әзірлеушілерге арналған жаңа жабдық сатып алу үшін бюджет. Шығарған кезде, ертерек қолданылатын топпен бастаңыз, содан кейін біртіндеп барлық әзірлеушілерді әкімші қатынасы жоқ машинаға жылжытыңыз. Бұл процесс кем дегенде алты айға созылады.

Егер сіз өзіңіздің компанияңыз қазір не істеп жатқанын шешсеңіз, онда сіздің әзірлеушілеріңіз оны бір айға дейін жұмсайды немесе жаңа жұмыс іздей бастайды.

5
қосылды
Кез келген басқару құралдарына әкімшінің қандай да бір қолжетімділігі қажет емес. Әзірлеушілердің қораптарын құру және қолдау үшін жауап беретін IT тобы, бағдарламалық құралдарды қайта конфигурациялау немесе инфрақұрылымның қауіпсіздігіне қауіп төндірмей, құралдардың жұмыс істеуі үшін тиісті интерфейстерді виртуализациялау мүмкіндігіне ие болуы керек.
қосылды автор Mike Caron, көзі
@UEFI: орнына сізге вирустарды орнатып, барлық жоғалған даму уақытын және активтерді жоғалтуымен айналысатын адамдарды әрдайым жасаушы машиналарды қайта бейнелеу үшін қолдануға тура келеді ... Re: отладтау, әрине, рұқсат етілетін теңшелетін саясат болуы керек әкімші емес пайдаланушылар өздерінің процестерін күйінде келтіруге мүмкіндік береді.
қосылды автор Mike Caron, көзі
@UEFI: Жоқ, өйткені JS пайдаланушы тіркелгісінің артықшылық доменінде жұмыс істемейтін кіріктірілген тіл болып табылады. Браузер іске асыратын күрделі артықшылық доменінде жұмыс істейді. Шын мәнінде, браузердегі құм жәшігінің қашқақтауы осымен басқа процестерді жөндеу үшін векторлар болады (бірақ құм жәшігінің қашуы жағдайында сізді шабуылдау үшін жақсы векторлар бар). Осылайша, қатайту үшін отладчик үшін пайдалы - саясатты қолдануға мүдделі емес пайдаланушылар үшін конфигурациялануы мүмкін. Бірақ бұл артықшылық моделінің маңызды аспектісі емес.
қосылды автор Mike Caron, көзі
3-4 адам, толық уақытты ?! Бұл жақсы ақша жұмсауға болатын көптеген ақша. Сіз сондай-ақ әкімші рұқсаттарын беру неге ең жақсы таңдау деп ойлайсыз.
қосылды автор Luc, көзі
@Luc Көптеген даму құралдары жергілікті әкімшінің артықшылықтарына сүйенеді. Мысалы, MS Visual Studio барлық жергілікті әкімші артықшылықтарын дұрыс іске қосуды қажет етпейді, бірақ кейбір әкімші артықшылықтарына қажет. DEBUG_SE отладки үшін, басқару үшін сервис - жақсы басқарушы қызметтер, деректер базасын құру құқықтарын және мен жасай аламын. Енді әзірлеуші ​​деректер базасының сценарийін іске қосуға қабілетсіз екенін анықтап, бағдарламаны жөндеу немесе қызметті орнату өте көп уақытты алады және бұл аталған әзірлеушінің уақыты немесе арнайы қызметкердің уақыты.
қосылды автор Jeff, көзі
@R .. Мен жүйелі түрде бағдарламаны бастаймын, содан кейін бағдарламаның ішкі күйін оқи аламын, оны орындауды кідіртіп, еркін кодты жасай аламын. Бұл әкімшіге кіруді талап етеді. Маған осыдан бас тартуға тыйым салсаңыз, өнімділік төмендейді.
қосылды автор jagsler, көзі
@Luc Әдетті әкімшіге қол жетімділік беру жақсы, себебі ол арзанырақ. Демек, әзірлеуші ​​машиналарын жұмыс істеп, қауіпсіздік саясатына шағымдану үшін сіз 3-4 адамға толық уақыт жұмсамаңыз.
қосылды автор jagsler, көзі
@R .. Менің веб-шолғышым Java-сценарийін іске қосып, жүйемдегі басқа бағдарламаның ішкі күйіне, мысалы, құпия сөз реттеушісіне қалай кіруге болады? Осыған байланысты ешқандай қауіпсіздік мәселелерін көрмеймін ....
қосылды автор jagsler, көзі
@R «devops» -те оқуды қаласаңыз, онда қазіргі заманғы әзірлеушілердің әкімшіге кіруді қалайтыны үшін өте ақылға қонымды себептері бар. Менің жеке мен үшін машинаны басқармаған қызыл жалау үлкен. Алдын ала айтылса, жұмыс орнынан бас тартамын, егер болмаса, менің алғашқы екі аптаым менің соңғы болады.
қосылды автор Douwe, көзі

Иә және жоқ - біздің аға буындарда қажет болғанда оларды көтеруге және қосымшаларды/жаңартуларды орнатуға мүмкіндік беретін бөлек әкімші тіркелгісі бар. Олар компьютерге тіркелгі арқылы кіруге рұқсат етілмейді. Олардың әкімшілік есептік жазбалары сонымен қатар АТ командасынан өтуге қарағанда, оларға жылдам қолдауды қамтамасыз ету үшін әдеттегі компьютерлерге қатынасуға рұқсат береді.

Мұның бәрі ақ/қара тізім, күшті құпия саясаттары, алынбалы құрылғыға тыйым салу, шлюз проксиі, DLP саясаттары, қатаң AV ережелері және тағы басқалармен біріктірілген. Олардың машиналары үнемі тексеріліп, АТ топтарының көрінуі жоғары.

Өз қалауым бойынша, әкімшілердің жергілікті әкімшіге кіруін қаламаймын. Біз UAC-ға қажет бағдарламаларды зерттей аламыз (ол қажет қалталарды, regkeys-ді және т.б.) және UAC шақыруын жұмсартады, бірақ бұл уақытты және зерттеуді талап етеді және барлық компаниялардың бұл үшін ресурстары жоқ. Осылайша, біз оларға жарты жолда кездесеміз және екі жақты сенімді күтеміз. Біз сондай-ақ көптеген ережелерді орындау үшін бірнеше корпоративтік өнімдерді пайдаланамыз, осылайша, кейбір жеңілдету бар.

4
қосылды
Бұл сұраққа жауап бермейді. Бұл егер ол «типтік» болар еді, не болмаса түсініктеме бермейді.
қосылды автор Sean, көзі

Қауіпсіздікке сенетін компанияға біраз уақыттан бері қызмет еттім (немесе ойлағандай).

Бір кездері олар боулинг ойнау сияқты әлеуметтік іс-шара ұйымдастырады. Біріктіру тегін болатын, бірақ өзіңіздің есіміңізді ортақ қалтада орналастырылған Excel файлындағы тізімге қосу керек болды. Бұл қалта әлеуметтік оқиғаларға арналды, ештеңе қалған жоқ.

Сонымен, сіз боулинг ойнауды қалайсыз ба? Осы тізімге өз атыңызды қосқыңыз келе ме? Оххххххххх, қымбаттым ... Олар бұл файлды редакциялауға мүмкіндік бермейді, олар ма? Сізге тиісті рұқсаттар қажет.

Бұл рәсім:

  • Компанияның сайтын ашыңыз
  • Толтыруға дайын модульдермен бөлімді табыңыз
  • «Шығарылым парағы» деп аталатын құжатты табыңыз және жүктеңіз
  • басып шығарыңыз
  • Сұранысты толтырыңыз және оған қол қойыңыз
  • оны хатшысына тапсырыңыз
  • хатшы барлық осы өтініштерді менеджерге келесі күні таңертең таңертең алады.
  • Ерте ме, кеш пе менеджер оны қолдайды
  • Сізге хатшы оны қайтарады
  • Осы сәтте оны сканерлеуге болады
  • Билеттерді өңдеу үшін АТ пайдаланатын сайтты ашыңыз
  • Қажетті нәрсені сипаттайтын (жасаңыз) билет жасаңыз және сканерленген релиз парағын тіркеңіз. Бір сағатдан екі аптаға дейін жеделдікті ұмытпаңыз.
  • Ақыр аяғында IT (мұны үміттенеді)

On average, it would take 3-4 days to get it done. In some cases, weeks. Really efficient, eh? Hey, you asked for access to a certain folder but forgot to mention the subfolder? HA! You've won another round! And, guess what? Since they were following some QA process, they were organizing documents in a lot of different folders. When a new colleague came, he could easily spend weeks trying to get all the permissions he needed.

Қазір.

  • Сіз қалай ойлайсыз, менеджерлер қол қойған нәрселерді тексеруге тырысады? Әрине, жоқ. Олар Release Sheet-ді таниды, және бұл сол еді.
  • Сіз қалай ойлайсыз, хатшылар әлдеқайда көп тексерді? Мүмкін, олар тырысты, бірақ шын мәнінде олар түсіну мүмкін бе оқу/жазу рұқсатын беру белгілі бір қалтаға белгілі бір машиналар? Әрине жоқ.
  • Сіз қалай ойлайсыз, АТ маңыздылығы туралы батылдық берді? Әрине жоқ.

Сонымен, бұл тәсіл неге әкелді? Егер сіз компанияны жасаған барлық нәрсені ұрлағыңыз келсе, сізге USB-дискіні алып, компьютеріңізге қосуға тура келді. «Confidential_Documents» қалтасына кіруге болмайды? Тек сұраңыз, олар оған қол қояды. Егер шұғыл болса? «Сәлеметсіз бе, маған бұл құжат қажет, бірақ мен оған қол жеткізе алмаймын, маған пароль бересіз бе?»

Осылайша, бұл «қауіпсіздік моделі» керемет баяу, мазасыз және көңілі қалдырды, және ол олардың мүліктерін қорғауға мүлдем болмады, бірақ кем дегенде ешкім боулинг оқиғасына қатысушыларды оңай алмас еді ( міндетті xkcd ).

Пожалуйста, бұл компания емес. Өзгелер айтқандай, бұл жалпы (ол) бар ма, жоқ па, жай ғана сұраңыз. Жауап: жоқ, жоқ, егер сіздің компанияңызға жағылатын ақша ұнаса.

4
қосылды

Бағдарламалық жасақтаманың әзірлеушілері сияқты бір қайықтамын. Біздің компания жақында виртуалды машиналарға қол жеткізе отырып, жұмыс станцияларынан шыққан. Бұл біздің жұмыс үрдісімізге қатты әсер етті, себебі мен өзіме ештеңе жасамады деп ойладым, бірақ АТ бөліміне мақала оқыдым.

Менеджмент пайда болған нәрсе екі виртуалды машина әдісі болды.

Виртуалды машиналардың бірі электрондық пошта, Web Access және Microsoft Suite арқылы негізгі бизнес машинасы болды. Бұл қарым-қатынас жасау қажеттілігіне қанағаттанған.

Басқа виртуалды машинаға жергілікті әкімші құқықтары ие болды, бірақ интернеттен толығымен ажыратылды . Осындай машинада ештеңені жүктей алмадық. (Дегенмен біз оны басқа көшіріп алдық және көшіріп алуды көшіріп алдық ..) Біз ішкі сайттарға қол жеткіздік және көрнекі студиялардың бірнеше түрін (Nuget, Symbols және т.б.) ақ тізімге енгіздік.

Бұл әдіс АТ бөлімінің қауіпсіздігімен қанағаттандырды, сонымен қатар біздің әкімшімізге қол жеткізді.

Жалғыз жағымсыз нәрсе - біз екі мониторды бір ғана құрылғыға пайдалана алмаймыз, өйткені біз әрбір машинаны өзіміздің мониторымызда ұстауды қажет еткен едік, бірақ әдетте біз кодты бір экран, ал екіншісі веб-браузерлер үшін қолдандық.

3
қосылды

Short answer: Yes, it is common to have local admin access to selected groups, such as developers or IT admins. Basically, people whose day job is a lot easier with admin access while the usual office worker would need it at most once a month and typically much less than that.

Long answer: It depends...

Жалпы пайдаланушылық популяция үшін, әкімшінің қатынасы қате болып жатқан нәрселер үшін үлкен әлеуетке ие екенін және осы тәуекелді өтеудің аз артықшылықтарын түсіну үшін толық тәуекелді талдауды жүргізудің қажеті жоқ.

Дегенмен әзірлеушілерге (және басқа да бірнеше топтарға) тәуекелдерді талдау міндетті түрде талап етіледі және мәселе бойынша фактілерді, жағдайларға, қауіп-қатер тәбетіне және қауіп-қатер жағдайына негізделген дұрыс шешім қабылданады. «Ең жақсы практикаға» және бос орынды бір өлшемді-барлық қадамға қол жеткізу - әдетте, ақпараттық қауіпсіздікті қамтамасыз ететін жауапты адам (дар), сандарды іске қосу және/фактілерге негізделген тәуекелді өңдеу туралы шешім.

That doesn't necessarily mean that they are wrong. A full analysis could very well lead to the same conclusion.

Сіз жазғаныңыздан бастап, сіз белгісіз, бұл белгісіз. Сіз өзіңіздің сараптамалық білімдеріңізді теңдеудің жеңілдетілген жағынан шығындардың бағасына қосып, жоғалған өнімділікті және қолданыстағы шараның басқа да әсерлерін енгізуді талап ете аласыз. Бұл ақпараттың қауіпсіздігі адамдар анықтайтын тәуекелге қарағанда таразылау қажет.

Сондай-ақ, басқа да шаралар бар. Кейде ұсынатын әдеттегі шешімді (мен мамандығы бойынша ақпараттық қауіпсіздік сәулетшісімін, сондықтан мен осы сұрақтарды жүйелі түрде сұраймын) әдеттегі кеңсе желісінен әзірлеуші ​​желісін жоғары қауіпті аймақты қамту үшін бөлуге болады. Әзірлеушілердің машиналарын жеткілікті түрде қатайтыңыз, жергілікті брандмауэрлер мен заманауи вирустардан қорғауды талап етіңіз және әдеттегі шабуылдар сценарийлеріне қарсы тұрсыз. Егер сіздің компанияңыздың сыртқы экспозициясы болса, сіз әзірлеушілерге қосымша хабардарлық тренингтерін қосасыз, сондықтан олар мақсатты шабуылдарға оңай түседі.

Мен әртүрлі әзірлеуші ​​орталарына жеке бақылау жасадым және жақсы жұмыс істеу үшін аз күш-жігер жұмсалуы мүмкін. Тек жұмыс істеп тұрған жұмыс түріне арналған штепсельді тартып алу оны нашарлатып, сіз бөлігіңіздің артқы жағын күтуіңіз керек еді. Бірақ, жасалып жатқан нәрсе жасалып, болашаққа ұмтылуға болмайды.

3
қосылды

Біз бұл мәселені Виртуалды машина арқылы шештік.

Әрбір әзірлеуші ​​әдеттегі пайдаланушы тіркелгісін әкімші құқығына ие жоқ. Бұл пайдаланушы тіркелгісінде интернетке қосылусыз виртуалды құрылғы бар. Виртуалды машинаның ішінде әзірлеуші ​​өзінің қолданылуын әкімші құқықтары арқылы іске асыра алады.

Осылайша, интернетке қолжетімділікті және маңызды деректерді әкімшілік құқықтарын пайдаланудан ажыратып, жабық ортаға қажетті бағдарламаларды іске қосуды жалғастыра аламыз.

3
қосылды
Дамыту ортасын іске қосу үшін ОП қажеттіліктерін (Жергілікті) әкімшілік артықшылықтарын қабылдайық. Жоғарыда аталған Microsoft Visual Studio және SQL басқару студиясы, мысалы, әкімші артықшылықтарына негізделген. Екінші жағынан, бұл бағдарламалық жасақтама өте маңызды (жаңартулар, онлайн-анықтама, көзді бақылау және мен жасқа қарай жалғастыра аламын) - бұл Internet қосылымы. Интернет байланысы жоқ ВМ-ке ие болу, бірақ жергілікті (жергілікті) әкімшілік құқықтарды қамтамасыз ету - тасты қатты орынға ауыстыру.
қосылды автор Jeff, көзі

MS-Windows NT-нің құрылған сәттен бастап көп қолданушы жүйелік жүйеге айналғанына қарамастан, оны ондай етіп пайдалану оңай емес, ал әзірлеушілер (Micosoft-ті қоса) артықшылықты бөлуге идеяны елемеу үрдісі бар. Қол жеткізуді бақылаудың бұл түрі нашар құжатталмаған, жаттығуларға қатыспайды, UI арқылы жиі қиындық туғызбайды, аудит жүргізу қиын, бөлімдерді қолдану/құралдардың болмауы.

Адалдықта, тіпті Unix/Linux жүйелерінде де көптеген әзірлеушілер нақты пайдаланушыларды да, қызметтер үшін де артықшылықты бөлуді қолданбаған. Бірақ кез-келген платформада артықшылықтарды бөлектеу жолындағы кедергілерді орналастыру оларды толық (жергілікті) әкімші артықшылықтарын беруден гөрі қауіпсіздікте кері әсерлі болады. .

Екінші жағынан, мен MS-Windows-де дамып жатқанды білмейтін болсам да, Visual Studio-ды іске қосу үшін жергілікті әкімші артықшылығы қажет екендігін таңқалдырамын. Егер сізге әкімшінің кіруі қажет жалғыз себеп болса, тоқтату/іске қосу қызметтері немесе оларды қайта конфигурациялау, содан кейін мен сізге көп көңіл бөлмеймін - бұл құрылғыны тағайындалған пайдаланушыларға жергілікті әкімші берместен беруге болады. IIS7-дегі үлкен өзгерістердің бірі өкілетті әкімші мүмкіндігі. Оның әрдайым Apache, MySQL және PHP-ті қайта құруға өкілеттігін беру оңай.

әкімші қатынасы жойылған кезде қысқа хабарлама пайда болды

Қауіпсіздік тобы, өздеріне жеткізе алмайтын құзыреттілік деңгейіне ұмтылатын мәселе (бұл, менің тәжірибем - өте ортақ). Олар тиісті әсерді бағалаусыз және өнімділікке/қауіпсіздіктің кез-келген зиянына қатысты жеңілдетуді ескерместен саяси өзгерістер енгізбеуі керек.

Барлық жұмыс бекеттерінде кем дегенде 2 ірі антивирустық бағдарлама бар

Бұл жүйенің тұтастығын қорғауға қатысты өте аңғарлы көзқарас және сізбен жұмыс істеу керек суретті бейнелейді.

мұнда баламалар үшін көп нәрсе жоқ көрінеді.

Бұл туралы пікірталасқа келу, бәлкім, осы кезде өте нәтижелі болмайды.

Жалпы айтқанда, жергілікті қауіпсіздік тобымен бәсекелесіп жатқандай сезіледі. Олар сіздің жұмысыңызды не істеу керектігін түсінбейді, сіз олардың мақсаттарына қалай жауап беру керектігін түсінбейсіз. Және бірде-бір тарап келіссөздер жүргізуге дайын емес сияқты. Бұдан басқа, құрал-сайман емес.

2
қосылды
.... мен содан кейін Microsoft Windows-де қандай да бір бағдарламаны жасаудан аулақ болатынын есіме түсірдім.
қосылды автор bpapa, көзі
Іс жүзінде дұрыс емес. Visual Studio жергілікті әкімші артықшылықтарсыз жұмыс істейді және іс жүзінде бұл әдепкі . Әзірлеуші ​​есептік жазбаларына дебюттік артықшылықтар тағайындасаңыз, Visual Studio студиясына жиі әкімші рұқсаттарын жоғарылатудың қажеті жоқ. Ол мүлдем аулақ бола ма? Жоқ, драйверлер әзірлеушілерге, мысалы, әкімшінің кіруіне өте қажет болады.
қосылды автор Martin Marconcini, көзі
Visual Studio осы әкімшілік құқықтарының біреуі басқа пайдаланушыларға тиесілі процестерді отладтауды дәстүрлі түрде жүйелік есептік жазба арқылы іске қосуға мүмкіндік беру болып табылады. Әзірлеуші ​​тағы бір процесті отлад етіп, вирустардың дисктерін және т.б. бастарын 90% -ға төмендетіп тастайды, бұл олардан жиі емес. Демек, девелоперлерді қателерді түзеткен және әзірлеушілерге сенім артуға мүмкіндік бермейтін таңдау.
қосылды автор Gowri, көзі
@ mg30rg: DEBUG_SE шын мәнінде «Басқа біреудің процесін жөндеу» дегенді білдіреді.
қосылды автор Joshua, көзі
@ mg30rg: Рас, егер әзірлеуші ​​әдетте әкімші ретінде жұмыс істейтін кодта жұмыс істесе, онда ол бәрібір әкімшіге ие.
қосылды автор Joshua, көзі
@ mg30rg: Kestrel-дан кетірілді. Қазір ол әзірлеуші ​​атымен орындалады.
қосылды автор Joshua, көзі
Visual Studio әкімшісінің артықшылықтары жоқ, бірақ кейбір жағдайларда әкімші артықшылықтары жоқ дұрыс іске қосылмайды. Иә, барлық жергілікті әкімші артықшылықтарының дұрыс жұмыс істеуіне мұқтаж емес, бірақ кейбір әкімші артықшылықтары қажет. DEBUG_SE отладки үшін, басқару үшін сервис - жақсы басқарушы қызметтер, деректер базасын құру құқықтарын және мен жасай аламын. Әрине, қауіпсіздік тобына хабарласып, белгілі бір құқықтарды талап етеді - күнделікті негізде, бірақ оның қалай аталатынын білесіз бе? Өнімділік - өлтіру.
қосылды автор Jeff, көзі
@Joshua Мысалы, жүйелік есептік жазба бойынша жұмыс істейтін терезе қызметін жөндеуге не қажет деп ойлайсыз? Бұл сценарий Windows өндірісінде әдеттегіден әлдеқайда алыс.
қосылды автор Jeff, көзі
@Joshua M-кілті және ASP.Net-нің дамуы туралы не айтасыз? Ол үшін Network Service тіркелгісі астында жұмыс істейтін IIS қызметі арқылы іске қосылған және іске қосылған процесті жөндеу қажет пе?
қосылды автор Jeff, көзі
@Joshua Kestrel - IIS-ді білдіреді.
қосылды автор Jeff, көзі

Желілерді бөліңіз

Сіз даму, тестілеу, өндіріс және бизнес үшін салыстырмалы түрде оқшауланған орталарға ие болуға тиіссіз. Бұл сіздің девсаңызға оларға қажет артықшылықтарға ие болу мүмкіндігін береді.

Сәйкес сегрегация рұқсатсыз өзгерістерді болдырмайды, зиянды бағдарламалардың таралуын шектейді және деректерді эксфилтрацияға кедергі келтіреді.

Қайда пайда болады?

Даму

The Даму network is where coding takes places. Developers should have administrative rights in case they want to test code snippets or run something without packaging it for deployment to test/prod.

Бағдарламалар үшін IDE, дерекқор репозитарийлері және алғышарт қосымшалар/шеңберлер жұмыс істейді. Арнайы бірлескен жұмыс жасау құралы немесе басқа да арнайы бағдарлама ақылға қонымды.

Тестілеу

The Тестілеу network is where compiled, ready-to-ship code is tested. Developers may have admin rights, but regular system admins should be deploying applications.

Deployments should reflect what the admins will maintain in Өндіріс for internal apps. They should be customer-ready packages for external apps (including install wizard and digital signatures, albeit using a separate signature for Тестілеу purposes to prevent accident releases).

Developers often need system logs and debug access, and these are the only reasons they should have admin rights. They should not be involved with installation, configuration, and Тестілеу unless absolutely necessary.

Өндіріс

The Өндіріс network is where you provide services to clients and partners. Since a formal deployment process should exist, there is no reason for it to connect to your dev/test networks.

To minimize risks of internet-borne malware and accidental changes, accounts from the dev/test/Бизнес networks should have no access to Өндіріс if possible, which translates to limited permissions with occasional arguments in practice.

Ideally, this network would be completely isolated, but in practice this is impossible in a world where Өндіріс servers must interface with systems for sales, billing, scheduling, netops, and project management. Get as close to the ideal as you can; it's really all we can do.

Бизнес

Бұл кәсіпорын үшін негізгі байланыс желісі.

Email, web browsing, and partner connectivity all bring a host of risks. Your Даму, Тестілеу, and Өндіріс networks should be isolated from these risks to the maximum extent possible.

Толығырақ, бөлшектері, мағлұматтары

Сіздің ұйымыңыз бортқа шығуы мүмкін. Маятникті икемді, қауіпсіз желілік архитектураға қажет көптеген бөлшектермен күресуден гөрі оңайырақ айналдырады.

Әзірлеушілер өздерінің машиналарына әкімшілікке қол жеткізе алады, егер:

  1. Интернетке кіру үшін бөлек, артықшылықты емес шоттар бар
  2. Бірегей тіркелгілер әрбір ортада қолданылады
  3. Шекаралық брандмауэр ережелері/ACLs орталар арасында бар
  4. Брандмауэр, веб-прокси, IDS/IPS және т.б. секілді стандартты қауіпсіздік шаралары орын алады

Сіздің девелоперлеріңізге төрт шот қажет:

  • Unprivileged dev account to access resources on the internet (if they do not want to hop back and forth from the Бизнес network, which is onerous)
  • Privileged dev account to configure workstation and test code
  • Privileged test account to debug applications
  • Unprivileged Бизнес account for email, web, intranet

Егер Сізде әзірлеушілер кейбір тексеру немесе QA жұмыс істейді, олар тестілеу ортасында артықшылықты шоттарға қажет болуы мүмкін.

Developers should have no access to the Өндіріс network and no administrative privileges on the Бизнес network. If this impossible for the moment, then those roles should be separated or else a rigorous change control process should be put in place.

2
қосылды

Жергілікті әкімшіге қол жетімділік тек әдеттен тыс/зиянды болып табылатын компанияларда, бұл артықшылықтарды теріс пайдаланған компанияларға немесе «АТ және қауіпсіздік» департаменттеріне әркімге қарама-қайшы емес олардың ішкі шеңбері олардың нашар көрінетін етуі үшін айқын қауіп-қатер болып табылады.

Сіздің «АТ және қауіпсіздік» бөліміңізді Windows-де екі антивирустық бағдарламаны мiндеттейтiндiгiн ескере отырып, Windows-тiң өте жақсы ақысыз келуiмен байланысты, мен сіздің ұйымыңыздағы қай жерде екендігіңізді анықтап, сол жерден жұмыс істей алатыныңызға сенімдімін.

0
қосылды