De situatieomschrijving
Jullie kennen het waarschijnlijk wel :
- software X of Y kan, zelfs na een diepgaande analyse (nodige rechten op registrykeys/ en files geven e.d.), niet runnen zonder local administrator rechten op de client computer. Manager Z wil die software alsnog verspreiden over een aantal clients, zelfs al moet je daarvoor die gebruikers lokale administrator-rechten geven.
- Of : Manager Z wil iTunes op zijn corporate toestel, om zijn iPad/Pod/Phone te synchen. Je valideert/automatiseert de installatie van iTunes 10.0.0. Automatisch updaten van de software e.d. wordt gedeactiveerd via GPP (het updaten van zijn device laten we dan weer wél toe). De dag nadien komt Apple met versie 10.1.0 op de proppen. Op zijn PC thuis installeert hij die, en hij synchroniseert zijn device. Vervolgens maakt hij verbinding met zijn corporate PC, en komt er een leuke popup die vertelt dat je ook hier moet updaten. Wat wil zeggen : nieuwe validatie/package, updaten van zijn huidige soft, liefst met behoud van settings en data
En dat alles liefst klaar tegen 5 minuten geleden, wanneer hij zijn device aansloot.
- Of : ...
En zo blijf je wel bezig. OK, fictieve (en waarschijnlijk slechte) voorbeelden, maar ik wil gewoon even de discussie op gang trekken.
Zo gebeurde het in het windows XP tijdperk bij mijn huidige firma. Dat leidde dan tot een hele resem users (vooral hogerop in de foodchain) die de admin-rechten gewoon opeisten (en meteen ook kregen), of die via-via het wachtwoord van de local Administrator account bemachtigden. Dat leidde er dan toe dat intussen het park "vervuild" is met een heleboel niet-gevalideerde software/versies, waar men dan ook nog eens support op verwacht van de helpdesk en techs terplaatse als het fout loopt. Of men begrijpt niet dat een update van hun "base-install" niet altijd lukt als de base-install reeds nieuwere versies bevat dan diegenen die het update-mechanisme verwacht, of het product in kwestie niet meer aanwezig is, of ...
De vraag
Welke is de situatie in andere bedrijven?
Ik heb een tijdje in de pharma gewerkt, en daar waren dergelijke situaties ondenkbaar, als het niet in het "IT/security" plaatje paste, mocht de business doen wat ie wou, het kwam niet op de systemen. Tenzij op een stand-alone toestel dat de user zelf beheert en niet op het netwerk mag/geen support krijgt. En daar werd dan ook zéér streng op toegekeken.
Momenteel ben ik echter tewerkgesteld in een sector waar beveiliging (en IT in het algemeen) weinig of geen aandacht krijgen, en waar de business de absolute prioriteit krijgt, ook al komt dat de IT-infrastructuur niet ten goede.
Welke aanpak kies je?
Nu staat de migratie naar win7 voor de deur (die eveneens bemoeilijkt wordt door de wildgroei aan applicaties en gegevens allerhande), en we willen niet in dezelfde situatie belanden als onze voorgangers. Er zijn verschillende aanpakken mogelijk:
- Je begint met een propere lei, en verandert niets aan het beleid. In ons geval leidt dat haast zeker tot tientallen gebruikers die binnen de eerste week weer local admin worden, en binnen de maand heb je dan een kopie van de huidige situatie in winXP.
- Je verandert het beleid. Via GPO hou je de local Administrators groep leeg, behalve voor écht uitzonderlijke gevallen, waar het absoluut niet anders kan.
Hier ben ik persoonlijk het meeste voorstander van, maar voor een dergelijke beleid is er in de firma in kwestie geen steun te vinden, en is bijgevolg gedoemd om te falen. Om maar een voorbeeld te geven : enkele jaren geleden activeerden mijn voorgangers password complexity requirements, omdat veel personen (inclusief hooggeplaatste personen) hun username en wachtwoord identiek waren (soms zelfs initialen, of 4 letters ofzo). Die maatregel werd dezelfde ochtend nog afgeschoten van hogerhand, en dus uitgeschakeld. Om maar even te duiden hoe ver ze hier staan inzake security
- Je gaat op zoek naar een technische oplossing, waardoor sommige zaken automatisch met een gepriviligeerde (speciaal voor dat doel gecreeerde) account worden uitgevoerd. Een manier die toelaat om te beheren wat kan en wat niet kan dus. We vonden hiertoe 3 producten, elk met hun voor -en nadelen. De kandidaten:Zo zou het bijvoorbeeld mogelijk worden om users toe te laten hun Java Runtime Environment te updaten, of hun flashplayer, of hun iTunes, of om bepaalde software alsnog met local administrator rights uit te voeren, en dat alles op een manier die voor de eindgebruiker transparant is.
Elke tool heeft wel methodes om misbruik tegen te gaan :
* De executable vervangen kan je tegengaan door checksums
* Je kan ook aangeven dat je slechts bepaalde versies ervan wil toelaten (bvb : de laatste JRE is nog niet gevalideerd, dus die laten we nog niet toe)
* ...
Natuurlijk is geen enkel systeem echt waterdicht. Via allerlei omwegen en handigheden kan je nog steeds doen wat je wil op een dergelijke PC (bvb : je opent de applicatie, die start met admin privileges, je gaat naar file->open, en je creeert een shortcut naar "CMD", "control userpasswords2" of dergelijke, et voila). Toch lijkt een dergelijk systeem wel een stap vooruit, in die zin dat het overgrote deel van misbruik wordt tegengegaan (~ de persoon in kwestie moet al weten wat hij doet, je stopt hiermee toch 9/10 gebruikers af).
Kortom : Elk van de producten heeft zijn voor-en nadelen (en gebreken), maar na een (voorlopige) korte studie komt ScriptLogic Privilege Authority eruit als beste.
Ik zie zoiets echter niet geimplementeerd worden op grote schaal. Bij de 3 producten heb ik zeer grote vragen over de support erop. De laatste geniet nog de beste support op het eerste zicht, ook al is die community-driven (de community helpt en stelt verbeteringen voor, en scriptlogic implementeert die wijzigingen dan naar eigen goeddunken - niet al te frequent trouwens). Dus sta ik er zeer wantrouwig tegenover: er zijn géén garanties op ondersteuning / op een oplossing als het fout loopt. En een dergelijke software (die gebruik maakt van GPO's, in het geval van ScriptLogic) nestelt zich dan toch wel redelijk diep in je infrastructuur.
- Combinatie van bovenstaande, of iets anders?
Nogmaals, ik wil gewoon even de discussie open trekken, en ideeën opdoen waar mogelijk. Ik hoop dat ik in het juiste subforum heb gepost, en hoop op constructieve commentaar ;-)
Jullie kennen het waarschijnlijk wel :
- software X of Y kan, zelfs na een diepgaande analyse (nodige rechten op registrykeys/ en files geven e.d.), niet runnen zonder local administrator rechten op de client computer. Manager Z wil die software alsnog verspreiden over een aantal clients, zelfs al moet je daarvoor die gebruikers lokale administrator-rechten geven.
- Of : Manager Z wil iTunes op zijn corporate toestel, om zijn iPad/Pod/Phone te synchen. Je valideert/automatiseert de installatie van iTunes 10.0.0. Automatisch updaten van de software e.d. wordt gedeactiveerd via GPP (het updaten van zijn device laten we dan weer wél toe). De dag nadien komt Apple met versie 10.1.0 op de proppen. Op zijn PC thuis installeert hij die, en hij synchroniseert zijn device. Vervolgens maakt hij verbinding met zijn corporate PC, en komt er een leuke popup die vertelt dat je ook hier moet updaten. Wat wil zeggen : nieuwe validatie/package, updaten van zijn huidige soft, liefst met behoud van settings en data
En dat alles liefst klaar tegen 5 minuten geleden, wanneer hij zijn device aansloot.- Of : ...
En zo blijf je wel bezig. OK, fictieve (en waarschijnlijk slechte) voorbeelden, maar ik wil gewoon even de discussie op gang trekken.
Zo gebeurde het in het windows XP tijdperk bij mijn huidige firma. Dat leidde dan tot een hele resem users (vooral hogerop in de foodchain) die de admin-rechten gewoon opeisten (en meteen ook kregen), of die via-via het wachtwoord van de local Administrator account bemachtigden. Dat leidde er dan toe dat intussen het park "vervuild" is met een heleboel niet-gevalideerde software/versies, waar men dan ook nog eens support op verwacht van de helpdesk en techs terplaatse als het fout loopt. Of men begrijpt niet dat een update van hun "base-install" niet altijd lukt als de base-install reeds nieuwere versies bevat dan diegenen die het update-mechanisme verwacht, of het product in kwestie niet meer aanwezig is, of ...
De vraag
Welke is de situatie in andere bedrijven?
Ik heb een tijdje in de pharma gewerkt, en daar waren dergelijke situaties ondenkbaar, als het niet in het "IT/security" plaatje paste, mocht de business doen wat ie wou, het kwam niet op de systemen. Tenzij op een stand-alone toestel dat de user zelf beheert en niet op het netwerk mag/geen support krijgt. En daar werd dan ook zéér streng op toegekeken.
Momenteel ben ik echter tewerkgesteld in een sector waar beveiliging (en IT in het algemeen) weinig of geen aandacht krijgen, en waar de business de absolute prioriteit krijgt, ook al komt dat de IT-infrastructuur niet ten goede.
Welke aanpak kies je?
Nu staat de migratie naar win7 voor de deur (die eveneens bemoeilijkt wordt door de wildgroei aan applicaties en gegevens allerhande), en we willen niet in dezelfde situatie belanden als onze voorgangers. Er zijn verschillende aanpakken mogelijk:
- Je begint met een propere lei, en verandert niets aan het beleid. In ons geval leidt dat haast zeker tot tientallen gebruikers die binnen de eerste week weer local admin worden, en binnen de maand heb je dan een kopie van de huidige situatie in winXP.
- Je verandert het beleid. Via GPO hou je de local Administrators groep leeg, behalve voor écht uitzonderlijke gevallen, waar het absoluut niet anders kan.
Hier ben ik persoonlijk het meeste voorstander van, maar voor een dergelijke beleid is er in de firma in kwestie geen steun te vinden, en is bijgevolg gedoemd om te falen. Om maar een voorbeeld te geven : enkele jaren geleden activeerden mijn voorgangers password complexity requirements, omdat veel personen (inclusief hooggeplaatste personen) hun username en wachtwoord identiek waren (soms zelfs initialen, of 4 letters ofzo). Die maatregel werd dezelfde ochtend nog afgeschoten van hogerhand, en dus uitgeschakeld. Om maar even te duiden hoe ver ze hier staan inzake security
- Je gaat op zoek naar een technische oplossing, waardoor sommige zaken automatisch met een gepriviligeerde (speciaal voor dat doel gecreeerde) account worden uitgevoerd. Een manier die toelaat om te beheren wat kan en wat niet kan dus. We vonden hiertoe 3 producten, elk met hun voor -en nadelen. De kandidaten:Zo zou het bijvoorbeeld mogelijk worden om users toe te laten hun Java Runtime Environment te updaten, of hun flashplayer, of hun iTunes, of om bepaalde software alsnog met local administrator rights uit te voeren, en dat alles op een manier die voor de eindgebruiker transparant is.
Elke tool heeft wel methodes om misbruik tegen te gaan :
* De executable vervangen kan je tegengaan door checksums
* Je kan ook aangeven dat je slechts bepaalde versies ervan wil toelaten (bvb : de laatste JRE is nog niet gevalideerd, dus die laten we nog niet toe)
* ...
Natuurlijk is geen enkel systeem echt waterdicht. Via allerlei omwegen en handigheden kan je nog steeds doen wat je wil op een dergelijke PC (bvb : je opent de applicatie, die start met admin privileges, je gaat naar file->open, en je creeert een shortcut naar "CMD", "control userpasswords2" of dergelijke, et voila). Toch lijkt een dergelijk systeem wel een stap vooruit, in die zin dat het overgrote deel van misbruik wordt tegengegaan (~ de persoon in kwestie moet al weten wat hij doet, je stopt hiermee toch 9/10 gebruikers af).
Kortom : Elk van de producten heeft zijn voor-en nadelen (en gebreken), maar na een (voorlopige) korte studie komt ScriptLogic Privilege Authority eruit als beste.
Ik zie zoiets echter niet geimplementeerd worden op grote schaal. Bij de 3 producten heb ik zeer grote vragen over de support erop. De laatste geniet nog de beste support op het eerste zicht, ook al is die community-driven (de community helpt en stelt verbeteringen voor, en scriptlogic implementeert die wijzigingen dan naar eigen goeddunken - niet al te frequent trouwens). Dus sta ik er zeer wantrouwig tegenover: er zijn géén garanties op ondersteuning / op een oplossing als het fout loopt. En een dergelijke software (die gebruik maakt van GPO's, in het geval van ScriptLogic) nestelt zich dan toch wel redelijk diep in je infrastructuur.
- Combinatie van bovenstaande, of iets anders?
Nogmaals, ik wil gewoon even de discussie open trekken, en ideeën opdoen waar mogelijk. Ik hoop dat ik in het juiste subforum heb gepost, en hoop op constructieve commentaar ;-)
[ Voor 5% gewijzigd door Magnum1982 op 30-12-2010 08:43 . Reden: aanpassing ]
:strip_icc():strip_exif()/u/4167/bacall8.jpg?f=community)
/u/10064/leuk_he.png?f=community)
