Как соответствовать новой федеральной конфигурации рабочего стола (FDCC), которая удалит доступ локального администратора всем пользователям?

Question

Как разработчики, мы считаем, что отсутствие локального административного доступа серьезно ухудшит нашу производительность. Нам будет запрещено запускать IIS (мы являемся магазином веб-разработок), устанавливать приложения, запускать инструменты Microsoft Power и т. Д. Если вы сейчас проходите процесс FDCC, было бы здорово услышать, как вы справляетесь с этими проблемами. изменения.

Answer 1

Активно проработав контрактным разработчиком на базе, которая использует стандартный рабочий стол AF, я могу рассказать вам несколько вещей.

1: и самое главное. Не боритесь с этим и не делайте того, что предложил первый человек, «и пусть они подавятся этим». Это абсолютно неправильное отношение. Военные / правительство борются с нехваткой финансирования, чрезмерными ресурсами и расцветающим технологическим следом, который они не понимают. Шаги, которые они предпринимают, могут быть не идеальными, но они находятся под атакой, и мы должны помогать, а не мешать.

ОК, это с моей груди.

2: Вам нужно взглянуть на создание (и я знаю, что это трудно с финансированием, как оно есть) локальной лаборатории разработки. Каждая база, на которой я работал, имеет изолированный сетевой сегмент, на который вы можете попасть, который имеет внешний доступ, который изолирован от основной сети правительства. В основном у вас есть рабочий компьютер для электронной почты, отчетов и т. Д., Который находится в защищенной сети. Но вы развиваетесь в своей маленькой лаборатории. У меня была лаборатория с двумя ПК, спрятанными под моим столом, которые собирались вернуть во время технического обновления. Другими словами, будьте изобретательны, создав себе машину для разработки + серверы, которые НЕ ограничены. Этим машинам просто запрещено подключаться к основному сетевому сегменту.

3: Получить дистрибутивы конфигураций рабочего стола. Часть вашего тестирования должна быть развернута / запущена на этих конфигурациях. Опять же, эти конфигурации не предназначены для блоков разработки. Они предназначены для машин, которые люди используют для повседневной работы правительства.

4: Если вы работаете над веб-решениями, помните об ограничениях на добавление доверенных сайтов, компонентов ActiveX, сертификатов, определенных типов выполнения сценариев, которые не разрешены в конфигурации. Особенно, если вы пытаетесь встроить виджеты / портлеты / утилиты, которые требуют связи за пределами развернутого домена приложения.

5: Прежде всего помните, что очень немногие из тех, на кого вы работаете, понимают технологию, которую они просят вас внедрить. Они знают, что хотят функцию X, но хотят, чтобы вы следовали суровому правилу безопасности Y при его выполнении. Обычно это означает, что «взять какую-нибудь библиотеку с открытым исходным кодом или плагин и идти» не вариант. Но это именно то, что ваши менеджеры думают, что вы собираетесь делать из-за шума вокруг быстрого развития.

В общем, там беспорядок. Попробуйте помочь решить проблему.

Answer 2

Хотя я никогда не проходил через процесс FDCC, я однажды работал на оборонного подрядчика США, который придерживался политики, согласно которой никто не имеет локального административного доступа к своим машинам. Кроме того, флэш-накопители и CD-ROM были отключены (если вы хотите слушать музыку на компакт-дисках, вам нужен персональный проигрыватель компакт-дисков с наушниками).

Если вам нужно было установить программное обеспечение, вы должны были навести порядок работы. Кто-то появится на вашем столе с установочным носителем, войдет в локальную учетную запись администратора и позволит вам установить программное обеспечение (причина в том, что вы знали, что устанавливать лучше, чем они). Удивительно, но поворот был довольно быстрым, обычно около 1/2 часа.

Несмотря на неудобства, эта политика не наносила нам вреда. Мы занимались комбинацией Java, C ++ (MS Visual C ++ и GNU / C ++), VB 6.0 и некоторых веб-разработок. Для той небольшой веб-разработки, которую мы делали, у нас был удаленный блок разработки, в который мы бы включили RDP для тестирования. Опять же, немного неудобств, но это не помешало нам выполнить свою работу.

Answer 3

Из того, что я могу сказать, FDCC предназначен только в качестве рекомендуемого базового уровня безопасности. Я бы немного подтолкнул вас к привилегиям, которые вам нужны, и посмотрю, что они могут предложить, чтобы удовлетворить ваш запрос. Вместо того, чтобы говорить, что мне нужно быть локальным администратором, я бы перечислил вещи, которые вам нужно уметь делать, и позволил бы им найти работающее решение (которое, вероятно, позволит вам управлять своим компьютером или виртуальной машиной ). Вы должны иметь возможность запускать отладчик в Visual Studio, запускать локальный веб-сервер (Cassini), устанавливать исправления / обновления для ваших средств разработки по вашему расписанию, ...

Недавно я перешел в «полууправляемую» среду с SCCM, которая регулярно устанавливает исправления из локального хранилища обновлений. Я делал это сам, но это немного более эффективно для предприятия и делает службу безопасности счастливой. Я заставил их поместить меня и других разработчиков в специальную коллекцию, чтобы мы могли блокировать критические изменения в случае необходимости (как IE7 может быть обновлением безопасности?). Ничего страшного, кроме того, что теперь мне нужно обновить Защитник Windows вручную, поскольку я обновлял его чаще, чем в управляемой коллекции! Очевидно, это было не так экстремально, как ваш случай, но я думаю, что отчасти это связано с тем, что я смог представить случай для вещей, которые мне нужно было сделать для моей работы, которые требовали большего местного контроля.

Из NIST FAQ по безопасности WinXP.

12. Должен ли я внести изменения в базовые настройки? Учитывая широкий вариация в оперативном и техническом соображения по эксплуатации любого крупного предприятие, уместно, что некоторые локальные изменения должны быть сделано до базовой линии и связанные настройки (с сотнями настройки, множество приложений, и разнообразие бизнес-функций поддерживается системами Windows XP, это следовало ожидать). Конечно, использовать осторожность и здравый смысл в принятии изменения в настройках безопасности. Всегда проверяйте настройки на сначала тщательно отобранный тестовый станок и задокументируйте выполненные настройки.

Answer 4

Это довольно распространено в финансовых учреждениях. Я лично отношусь к этому как к игре, чтобы посмотреть, сколько программного обеспечения я могу запустить на своем ПК без каких-либо прав администратора или отправки запросов в группу поддержки.

Пока у меня все получилось, я только отправил один запрос на установку программного обеспечения, который был для "Rational Software Architect" (потому что мне нужны плагины из "официального" выпуска). Кроме того, у меня есть Perl, PHP, Python, Apache и все работает. Кроме того, у меня на настольном компьютере достаточно джет-сервера, maven, winscp, putty, vim и нескольких других инструментов.

Так что это не должно вас сильно беспокоить, и, хотя я и являюсь одним из худших нарушителей, когда дело доходит до установки неофициального программного обеспечения, я бы порекомендовал «нет прав администратора» любому магазину, который явно заинтересован в защите своих приложений и сетей.

Одной из распространенных практик является предоставление разработчикам «официального» заблокированного ПК, на котором они могут запускать официальные приложения и администратора электронной почты и т. Д., А также рабочей станции разработки, на которую у них есть права администратора.

Answer 5

Если бы у меня никогда не возникало проблем, сегодня я бы попробовал виртуализировать решение для запуска этих инструментов.

Или, как однажды сказал мой друг: «Следуй процессу, пока они не задохнутся». В этом случае это, вероятно, будет означать вызов справочной службы каждый раз, когда вам нужно внести изменения в локальную конфигурацию IIS, или вам нужен один из запущенных powertools.

Answer 6

Отсутствие локального административного доступа к вашей рабочей станции, безусловно, является проблемой в тылу. Мне приходилось сталкиваться с этим, когда я работал в университете в качестве веб-разработчика на одном из академических факультетов. Каждый раз, когда мне нужно было что-то устанавливать, например, Visual Studio или Dreamweaver, мне приходилось делать запросы в Computing Services.