No trabalho, nossos desenvolvedores são administradores locais em suas máquinas Windows 10. Isso é arriscado, pois queremos mitigar um pouco os riscos, como o drive-by-download, mas também queremos produtividade e algum grau de liberdade, por isso não queremos forçá-los a passar pelo suporte técnico para cada atualização de software.
Aceitamos o facto de acreditarmos que nenhum funcionário interno é malicioso (isto não deve ser discutido - apenas um facto a ter em conta para esta questão)
Portanto, pedimos à TI que os desenvolvedores não sejam mais administradores locais, mas tenham uma conta separada que possam usar ao instalar software. Na prática, acho que se eles precisarem instalar esse software, aparece um pop-up, eles digitam as credenciais da outra conta de administrador local, a instalação está feita e pronto, eles podem então usar o programa com o sem privilégios conta.
A TI nos diz que isso não é possível (a conta privilegiada seria Administrador de Domínio, o que não é aceitável).
Isso é verdade? Será que realmente não é viável fazer isso? Parece óbvio para mim, mas nunca consegui isso antes (quando eu era desenvolvedor, simplesmente nunca fui administrador, mas aqui o gerenciamento não permite isso devido a problemas de produtividade)
Queremos apenas que nossos desenvolvedores realizem suas tarefas diárias em contas sem privilégios, mas queremos permitir que eles instalem software personalizado para seu trabalho (eles estão cientes dos riscos, sabem fazer download de fontes oficiais e confiáveis, sabem como verificar hashes, etc.)
Esseperguntanão me ajuda totalmente; sugestões como comprar hardware extra, fazer segregação extra de rede ou indicar se é comum ou não ser administrador local não respondem à minha pergunta.
Responder1
Como ex-desenvolvedor de meio período, negociei esse acordo com a equipe de TI.
- minha conta normal era uma conta de membro do domínio, nem administrador do domínio nem da máquina cliente
- Eu tinha uma segunda conta na máquina, não membro do domínio, mas com privilégio de administrador local.
E foi o suficiente para me permitir instalar ou atualizarespecialsoftware sem pedir ao suporte técnico.
Mas o fluxo de trabalho para qualquer tarefa administrativa não era tão simples quanto apenas inserir a senha da conta de administrador local (não Unix, mas Windows...). A maneira à prova de balas foi:
- conecte-se sob a conta de administrador local
- coloque (temporariamente) a primeira conta no grupo de administração local (=> realmente concedendo privilégio de administrador local à conta de domínio)
- volte para a primeira conta e faça qualquer tarefa administrativa
- vá novamente na conta de administrador local para retirar a conta principal do grupo de administradores locais (=> revogando privilégios de administrador)
- mude novamente para a conta normal e continue as tarefas normais (não administrativas)
Em teoria, deveria ser possível realizar todas as tarefas administrativas a partir da conta de administrador local, e foi assim para programas escritos corretamente. Mas algumas ferramentas de nível beta costumavam bagunçar os dados da máquina local e os dados do usuário local, o que fazia com que pudessem ser usados apenas na conta que os instalou.
No entanto, usei esse sistema durante anos sem problemas. A equipe de TI confiou em mim para usar privilégios de administrador apenas quando estritamente necessário, e me esforcei ao máximo para nunca enganá-los nesse ponto.
Responder2
IT tells us that this is not possible (the privileged account would be Domain Administrator, which is not OK). Is this true?
Não.
Basta conceder-lhes acesso a uma conta local que esteja no grupo Administradores local para uso quando necessário. Feito.