En el trabajo, nuestros desarrolladores son administradores locales en su máquina con Windows 10. Esto es arriesgado ya que queremos mitigar en cierta medida riesgos como la descarga automática, pero también queremos productividad y cierto grado de libertad, por lo que no queremos obligarlos a pasar por el servicio de asistencia técnica para cada actualización de software.
Aceptamos el hecho de que creemos que ningún empleado interno es malicioso (esto no se debe discutir, solo es un hecho a tener en cuenta para esta pregunta)
Por lo tanto, le pedimos a TI que los desarrolladores ya no sean administradores locales, sino que tengan una cuenta separada que puedan usar cuando instalen software. En la práctica, creo que si necesitan instalar dicho software, aparece una ventana emergente, escriben las credenciales de la otra cuenta de administrador local, la instalación finaliza y listo, pueden usar el programa con el usuario sin privilegios. cuenta.
Nos dice que esto no es posible (la cuenta privilegiada sería Administrador de dominio, lo cual no está bien).
¿Es esto cierto? ¿Es realmente inviable hacer esto? Me parece obvio, pero nunca lo había logrado antes (cuando era desarrollador, simplemente nunca fui administrador, pero aquí la administración no lo permite debido a problemas de productividad).
Solo queremos que nuestros desarrolladores realicen sus tareas diarias en cuentas sin privilegios, pero queremos permitirles instalar software personalizado para su trabajo (son conscientes de los riesgos, saben descargar de fuentes oficiales y confiables, saben cómo verificar hashes, etc.).
Estepreguntano me ayuda del todo; sugerencias como comprar hardware adicional, realizar una segregación de red adicional o indicar si es común o no ser administrador local no responden a mi pregunta.
Respuesta1
Como antiguo desarrollador a tiempo parcial, negocié este acuerdo con el equipo de TI.
- mi cuenta normal era una cuenta de miembro del dominio, ni administrador del dominio ni de la máquina cliente
- Tenía una segunda cuenta en la máquina, no miembro del dominio pero con privilegios de administrador local.
Y fue suficiente para permitirme instalar o actualizarespecialsoftware sin solicitarlo al servicio de asistencia técnica.
Pero el flujo de trabajo para cualquier tarea administrativa no era tan simple como simplemente ingresar la contraseña de la cuenta de administrador local (no Unix sino Windows...). La forma a prueba de balas fue:
- conectarse bajo la cuenta de administrador local
- poner (temporalmente) la primera cuenta en el grupo de administración local (=> en realidad otorga privilegios de administrador local a la cuenta del dominio)
- volver a la primera cuenta y realizar cualquier tarea administrativa
- vaya nuevamente a la cuenta de administrador local para sacar la cuenta principal del grupo de administración local (=> en realidad revocando los privilegios de administrador)
- cambie nuevamente a la cuenta normal y continúe con las tareas normales (no administrativas)
En teoría, debería haber sido posible realizar todas las tareas administrativas desde la cuenta de administrador local, y así fue para programas escritos correctamente. Pero algunas herramientas de nivel beta solían crear un lío entre los datos de la máquina local y los datos del usuario local, lo que terminó en que solo se pudieran usar desde la cuenta que las instaló.
Sin embargo, yo había usado ese sistema durante años sin problema. El equipo de TI confió en mí para usar privilegios de administrador solo cuando fuera estrictamente necesario, y me esforcé por no engañarlos nunca en ese punto.
Respuesta2
IT tells us that this is not possible (the privileged account would be Domain Administrator, which is not OK). Is this true?
No.
Simplemente deles acceso a una cuenta local que esté en el grupo de Administradores local para que la usen cuando sea necesario. Hecho.