Wie wird die neue Federal Desktop Core-Konfiguration (FDCC) erfüllt, die den lokalen Administratorzugriff für alle Benutzer entfernt?

8

Als Entwickler sind wir der Ansicht, dass ein Verzicht auf lokalen administrativen Zugriff unsere Produktivität stark beeinträchtigen wird. Wir werden von der Ausführung von IIS (wir sind ein Web-Entwicklungs-Shop), der Installation von Anwendungen, der Ausführung von Microsoft-Tools usw. ausgeschlossen. Wenn Sie jetzt den FDCC-Prozess durchgehen, wäre es großartig zu hören, wie Sie damit umgehen Änderungen.

    
Curt 14.01.2009, 12:43
quelle

6 Antworten

10

Nachdem ich als Vertragsentwickler aktiv an einer Basis gearbeitet habe, die den AF Standard Desktop verwendet, kann ich Ihnen ein paar Dinge sagen.

1: und am wichtigsten. Bekämpfe es nicht und tue nicht, was die erste Person vorgeschlagen hat und lass sie daran ersticken. Das ist absolut die falsche Einstellung. Das Militär / die Regierung bekämpft fehlende Finanzmittel, überlastete Ressourcen und einen blühenden technologischen Fußabdruck, den sie nicht verstehen. Die Schritte, die sie unternehmen, mögen nicht perfekt sein, aber sie werden angegriffen und wir müssen helfen, nicht behindern.

OK, das ist von meiner Brust.

2: Sie müssen versuchen, ein lokales Entwicklungslabor zu erstellen (und ich weiß, das ist schwer mit der Finanzierung, wie es ist). Jede Basis, an der ich gearbeitet habe, hat ein isoliertes Netzwerksegment, auf das man zugreifen kann und das einen externen Zugriff hat, der vom Haupt-Gov-Netzwerk isoliert ist. Sie haben im Grunde Ihren Arbeits-PC für E-Mail, Berichte usw. im geschützten Netzwerk. Aber du entwickelst dich in deinem kleinen Labor. Ich hatte ein Labor, in dem 2 PCs unter meinem Schreibtisch lagen, die bei einer technischen Aktualisierung zurückgegeben wurden. Mit anderen Worten, seien Sie kreativ und machen Sie sich selbst zu einer Entwicklungsmaschine + Servern, die NICHT eingeschränkt sind. Diese Maschinen dürfen nur nicht mit dem Haupt-LAN-Segment verbunden werden.

3: Holen Sie sich die Distributionen der Desktop-Konfigurationen. Ein Teil Ihrer Tests muss auf diesen Konfigurationen bereitgestellt / ausgeführt werden. Auch diese Konfigurationen sind nicht für Entwicklungsboxen gedacht. Sie sollen die Maschinen sein, mit denen die Leute täglich arbeiten.

4: Wenn Sie an Weblösungen arbeiten, sollten Sie sich über die Einschränkungen beim Hinzufügen vertrauenswürdiger Sites, ActiveX-Komponenten, Zertifikate und bestimmter Arten der Skriptausführung im Klaren sein, die die Konfiguration nicht zulässt. Vor allem, wenn Sie Widgets / Portlets / Utils einbetten möchten, die eine Kommunikation außerhalb der bereitgestellten Anwendungsdomäne erfordern.

5: Denken Sie vor allem daran, dass nur wenige der Menschen, für die Sie arbeiten, die Technologie verstehen, die Sie von Ihnen verlangen. Sie wissen, dass sie die Funktion X wollen, aber sie wollen, dass du der drakonischen Sicherheitsregel Y folgst, während du sie erreichst. Was das normalerweise bedeutet, ist, dass die "greifen einige Open-Source-Lib oder Plugin und gehen" ist keine Option. Aber das ist genau das, was Ihre Manager denken, dass Sie wegen der rasanten Entwicklung schnell gehen werden.

Zusammenfassend ist es ein Chaos da draußen. Versuchen Sie, das Problem zu lösen.

    
jmcecil 14.01.2009 13:44
quelle
6

Obwohl ich den FDCC-Prozess nie durchgemacht habe, habe ich einmal für einen US-Verteidigungsdienstleister gearbeitet, dessen Politik war, dass niemand lokalen administrativen Zugang zu ihren Maschinen hatte. Außerdem wurden Flash-Laufwerke und CD-ROMs deaktiviert (wenn Sie Musik auf CDs hören wollten, mussten Sie einen persönlichen CD-Player mit Kopfhörern haben).

Wenn Sie Software installiert haben, müssen Sie einen Arbeitsauftrag eingeben. Jemand würde mit dem Installationsmedium an Ihrem Schreibtisch erscheinen, sich bei einem lokalen Administrator-Konto anmelden und die Software installieren lassen (mit der Begründung, Sie wüssten besser, was Sie installieren sollten). Überraschenderweise war der Turnaround ziemlich schnell, normalerweise etwa 1/2 Stunde.

Trotz dieser Unannehmlichkeiten lähmte uns diese Politik nicht wirklich. Wir haben eine Kombination aus Java, C ++ (MS Visual C ++ und GNU / C ++), VB 6.0 und einigen Web-Entwicklungen gemacht. Für die kleine Web-Entwicklung, die wir gemacht haben, hatten wir eine Remote-Entwicklungs-Box, in die wir zum Testen RDP einführten. Wiederum ein bisschen Unannehmlichkeit, aber es hat uns nicht davon abgehalten, unsere Arbeit zu erledigen.

    
Patrick Cuff 14.01.2009 13:14
quelle
2

Ohne jemals das Problem gehabt zu haben, würde ich heute wahrscheinlich eine Virtualisierungslösung ausprobieren, um diese Tools auszuführen.

Oder, wie ein Freund von mir einmal meinte: "Folge dem Prozess, bis sie daran ersticken." In diesem Fall würde das bedeuten, dass Sie den Helpdesk jedes Mal aufrufen müssen, wenn Sie eine Änderung an Ihrer lokalen IIS-Konfiguration vornehmen müssen oder Sie eines der gestarteten Powertools benötigen.

    
David Schmitt 14.01.2009 12:46
quelle
2

Was ich sagen kann FDCC soll nur eine empfohlene Sicherheitsgrundlinie sein. Ich würde die Berechtigungen, die Sie benötigen, etwas zurückdrängen und sehen, was sie für Ihre Anfrage tun können. Anstatt zu sagen, dass ich ein lokaler Administrator sein muss, würde ich die Dinge auflisten, die Sie tun müssen, und ihnen eine Lösung vorschlagen, die funktioniert (was wahrscheinlich ist, dass Sie Ihren Computer oder eine VM verwalten können) ). Sie müssen in der Lage sein, den Debugger in Visual Studio auszuführen, einen lokalen Webserver (Cassini) auszuführen, Patches / Updates für Ihre Entwicklungstools in Ihrem Zeitplan zu installieren, ...

Ich bin kürzlich in eine "semi-managed" Umgebung mit SCCM gewechselt, die regelmäßig Patches von einem lokalen Update-Repository installiert. Ich habe das selbst gemacht, aber das ist für das Unternehmen marginal effizienter und macht das Sicherheitsbüro glücklich. Ich habe sie dazu gebracht, mich und die anderen Entwickler in eine spezielle Sammlung zu stecken, damit wir bei Bedarf brechende Änderungen blockieren können (wie könnte IE7 ein Sicherheitsupdate sein?). Nicht viel kaputt, außer dass ich jetzt Windows Defender manuell aktualisieren muss, da ich es häufiger aktualisiert habe als in der verwalteten Sammlung! Es war natürlich nicht so extrem wie Ihr Fall, aber ich denke, das liegt zum Teil an der Tatsache, dass ich den Fall für Dinge, die ich für meine Arbeit tun musste, darlegte, die eine stärkere lokale Kontrolle erforderten / p>

Aus der NIST-FAQ zur Sicherung von WinXP.

  
  1. Sollte ich Änderungen an den Grundeinstellungen vornehmen? Angesichts der Breite   Variation in operativen und technischen   Überlegungen für den Betrieb einer größeren   Unternehmen ist es angemessen, dass   einige lokale Änderungen müssen sein   auf die Grundlinie und die gemacht   zugehörige Einstellungen (mit Hunderten von   Einstellungen, eine Vielzahl von Anwendungen,   und die Vielfalt der Geschäftsfunktionen   Dies wird von Windows XP Systems unterstützt   sollte erwartet werden). Natürlich, verwenden   Vorsicht und gutes Urteilsvermögen   Änderungen an den Sicherheitseinstellungen.   Testen Sie die Einstellungen immer auf a   sorgfältig ausgewählte Testmaschine zuerst   und dokumentiere die implementierten Einstellungen.
  2.   
    
tvanfosson 14.01.2009 13:32
quelle
2

Dies ist in Finanzinstituten ziemlich häufig. Ich persönlich behandle das als ein Spiel, um zu sehen, wie viel Software ich auf meinem PC ohne Administratorrechte ausführen kann oder Anfragen an die Support-Gruppe senden kann.

Bisher habe ich es ziemlich gut gemacht. Ich habe nur eine Software-Installationsanfrage geschickt, die für "Rational Software Architect" gedacht war ("Ich brauche die Plugins von der" offiziellen "Version). Abgesehen davon habe ich Perl, PHP, Python, Apache und läuft. Außerdem habe ich Jetty Server, Maven, WinScp, Putty, Vim und einige andere Tools, die ziemlich happlily auf meinem Desktop laufen.

Es sollte Sie also nicht wirklich stören, und obwohl ich einer der schlimmsten Übeltäter bin, wenn es darum geht, inoffizielle Software zu installieren, würde ich "keine Admin-Rechte" jedem Shop empfehlen, der an der Sicherung seiner Anwendungen und Netzwerke interessiert ist.

Eine gängige Praxis besteht darin, Entwicklern einen "offiziellen" gesperrten PC zu geben, auf dem sie die offiziellen Anwendungen ausführen und ihren eMail-Administrator usw. ausführen können, sowie eine Entwicklungsumgebung, auf der sie Administratorrechte haben.

    
James Anderson 14.01.2009 13:26
quelle
1

Kein lokaler administrativer Zugriff auf Ihre Workstation ist sicher ein Problem im Hintergrund. Ich musste damit umgehen, während ich für meine Universität als Web-Entwickler in einer der akademischen Abteilungen arbeitete. Jedes Mal, wenn ich etwas wie Visual Studio oder Dreamweaver installiert hatte, musste ich eine Anfrage an Computing Services stellen.

    
TheTXI 14.01.2009 13:18
quelle