Devo dare agli amministratori i diritti di amministratore o partire come utenti esperti? [duplicare]

Naviga le tue risposte
3

Nella mia organizzazione siamo in procinto di aggiornare tutti a Windows 7. Abbiamo tutti i nostri utenti configurati come utenti esperti. Il problema che stiamo incontrando è questo:

Dovremmo dare agli sviluppatori diritti di amministratore locale o modificare solo i file che devono essere eseguiti per eseguire l'applicazione.

Non voglio dargli i diritti amministrativi completi perché capisco cosa potrebbe accadere. Quindi preferirei dare loro un accesso limitato in modo che almeno possano svolgere il loro lavoro. Tutte le applicazioni sono installate da noi e verranno configurate. Stavo cercando qualche suggerimento su cosa dovrei fare.
Di seguito sono elencate le applicazioni che eseguono:

  • My Eclipse Blue
  • Websphere 6.1,7.0
  • Visual Studio 2010
  • Gestore di versione di PVC
posta mrizz10 19.11.2012 - 22:48
fonte

3 risposte

6

Sono uno sviluppatore che fa database e applicazioni web senza diritti amministrativi. Ho pensato che fosse stata fatta una grande ingiustizia quando la politica è stata implementata, tuttavia mi sono reso conto dell'idea perché posso apprezzare le considerazioni sulla sicurezza.

  • possibilità di infettare la tua macchina con qualche exploit web mentre stai navigando per una risposta: molto ridotta
  • è probabile che la bella aggiunta che pensavi possa aiutare a mandare in crash la tua macchina: molto ridotta
  • fa chiarezza sul tuo processo di sviluppo. Se hai davvero bisogno di "esso", allora lo chiedi e devi documentare perché lo vuoi.
  • aiuta a garantire che tutti stiano lavorando sulla stessa installazione. Una certezza che gli amministratori di sistema si divertano se devi elaborare una nuova immagine per uno sviluppatore.
risposta data 20.11.2012 - 02:28
fonte
4

Questa è più una questione di produttività che di sicurezza. Se si desidera la massima sicurezza possibile, allora sì, il blocco degli account utente lo otterrà. Tuttavia, il blocco degli account degli sviluppatori sarà sufficiente. Ad esempio, sembra che tu abbia tutto ciò che richiedi , ma che dire:

  • Browser preferiti
  • Client email preferiti
  • Client di chat preferiti (se applicabile)
  • Editor di testo
  • Altri strumenti (grep, Python, Wireshark, ecc.)

Le tue opzioni qui sono:

  • Non assumere nessuno a cui non piacciono i tuoi strumenti preferiti (e perdere un buon talento).
  • Assumi queste persone ma non lasciare che usino i loro strumenti preferiti (e perdi produttività e morale).
  • Passa il tuo tempo a ricercare tutti gli strumenti che i tuoi sviluppatori desiderano (perdere tempo e potenzialmente bloccare gli sviluppatori finché non lo fai)
  • Installa gli strumenti che gli sviluppatori desiderano (rendendo questa politica inutile).

Tieni presente che non si tratta di utenti generici (analfabeti informatici). Stai parlando di trattare le persone che scrivono software come se non capissero nulla di computer o sicurezza. Se non ti puoi fidare dei tuoi sviluppatori a non installare virus sui loro computer, perché ti fidi di loro per scrivere software?

Vale la pena ricordare che non vuole che nessuno lavori come superutente, vuoi solo che abbia accesso agli strumenti di amministrazione. Quindi su Linux, i tuoi sviluppatori dovrebbero avere l'autorizzazione sudo , ma ovviamente non dovrebbe essere registrato come root. Su Windows, gli sviluppatori dovranno essere amministratori, ma il controllo dell'account utente può richiamarli prima di eseguire qualsiasi operazione che richiede l'accesso amministrativo.

    
risposta data 20.11.2012 - 18:40
fonte
1

Sono una persona che lavora nel campo della sicurezza delle informazioni e vedo un numero di penetration tester entrare nelle aziende perché ci sono sviluppatori disattenti. Questo è il motivo per cui vorresti limitare ciò a cui i tuoi sviluppatori hanno accesso. Tuttavia, se gli sviluppatori si lamentano che è un'ingiustizia completa a non avere accesso amministrativo alla loro casella allora A. potrebbe non valere la pena di tenerli o B. segmentare i tuoi sviluppatori su una rete diversa.

    
risposta data 20.03.2013 - 15:42
fonte

Leggi altre domande sui tag

Perché le informazioni sulla posizione sono molto protette sugli smartphone? Rileva e filtra i dati su linee elettriche AC?