Мне нужно убедить свой внутренний отдел ИТ предоставить моей новой команде разработчиков права администратора на наши собственные ПК. Кажется, они думают, что это создаст угрозу безопасности сети.
Кто-нибудь может объяснить, почему это будет?
Каковы риски?
Что ИТ-отделы обычно создают для разработчиков, которым нужна возможность устанавливать программное обеспечение на свои ПК?
Учетные записи с правами администратора и программы, которые запускаются под этими учетными записями, имеют или могут получить доступ ко всем файлам в системе. Если пользователь этой учетной записи случайно запускает вредоносное ПО, вредоносное ПО может нанести больший ущерб административной учетной записи, чем стандартной учетной записи. Пользователи со стандартными учетными записями также могут быть лишены возможности вносить вредные, опасные или нестандартные изменения. Большинство вредоносных программ в наши дни пытается переместить данные через Интернет, что может повлиять на производительность сети, если это не антивирусное мошенничество.
Однако, с точки зрения безопасности, вы уже отдали все это, предоставив физический доступ (если у вас нет специального оборудования), что вы должны сделать, чтобы разработчики выполнили свою работу. Пользователь может загрузиться с живого компакт-диска или USB-устройства и получить доступ к любым файлам на жестком диске, а затем выполнять любые операции по сети, которую они хотят.
"Сетевая" безопасность должна обеспечиваться устройствами сетевой безопасности, по крайней мере, на один шаг "внутри" границы, т. Е. Коммутаторами, межсетевыми экранами ASA и т.д. Конечные устройства могут помочь с безопасностью сети, но не должны нести за это полную ответственность.
Если вы хотите, чтобы разработчики могли устанавливать программное обеспечение, им потребуются права администратора. Одна из возможных вещей, которую можно сделать, - это изолировать разработчиков в их собственной логической (или даже физической) сети, где, если возникнут какие-либо проблемы, это не может повлиять на остальную часть компании. Если разработчики достаточно ценны для компании, может быть даже полезно предоставить им собственное подключение к Интернету.
По сути, каждое право, данное любому пользователю в сети, может по-разному его подвергать опасности.
Хотя обычные пользователи не будут знать, что делать с правами администратора, кроме установки мини-игр и перехода по ссылкам на вирусы, это не означает, что только новички могут сделать что-то не так.
Многие (полу) опытные люди в ИТ-администрации ДУМАЮТ, что они никогда не заразятся вирусом, никогда не установят что-то опасное, никогда не сделают что-то вредное, но они могут быть небрежны об этом. Помимо выполнения чего-либо без намерения, если программисты, которые действительно знают, что они могут сделать, имеют злонамеренное намерение, они могут принести еще больший вред.
Не то, чтобы что-то должно было случиться, и я не говорю, что у всех есть потенциальные преступники в их команде, но в целом, чем меньше прав дается людям, тем меньше может пойти не так.
Редактировать: Я только что понял, что мой ответ был несколько неполным: так как я не уверен, что нужно вашим разработчикам, потому что я не могу дать краткий ответ. В некоторых компаниях (например, в той, в которой я работаю) есть инструменты, с помощью которых вы можете запрашивать права локального администратора в течение определенного периода времени, который может быть ограничен администраторами. Я думаю, что единственное, что вы действительно можете сделать, - это перечислить, почему именно им нужны административные права и почему они не могут выполнять свою работу без них, и надеемся, что они увидят свет.
