Qual é o risco de introduzir máquinas de image não padrão paira um ambiente corporativo

Depois de alguns comentários daqueles no espaço gerenciado de security da área de trabalho ou da networking sobre os riscos de introduzir máquinas que não são construídas em uma image de área de trabalho padrão em um grande ambiente corporativo. Este context específico relaciona-se com a image corporativa padrão (32 bits Win XP) em um grande multi-nacional que não é adequado paira um determinado segmento de users. Em suma, eu estou olhando paira os obstáculos que podemos encontrair, propondo a introdução de máquinas que são construídas e mantidas por um punhado de desenvolvedores de softwaire e não com base na image de desktop corporativa (propondo Win 7 de 64 bits).

Eu suspeito que as bairreiras são principalmente sobre as atualizações de definição de vírus, o lançamento de packages de services e patches e a compatibilidade de aplicativos existentes com o SO mais novo. Em termos de vírus e atualizações de softwaire, se as máquinas estivessem usando o softwaire comum de proteção contra vírus com atualizações automatizadas e usando o Windows Update paira service packs e patches, ainda existe um risco viável paira o ambiente corporativo? Paira esse assunto, os ambientes corporativos grandes são normalmente vulneráveis ​​à introdução de uma máquina não baseada em uma image padrão?

Estou tentando entender o quão real o risco de infecção e outros events adviewsos são de máquinas conectadas à networking. Existem vários cenários fora do exemplo acima, onde isso pode acontecer (ou seja, um fornecedor que conecta uma máquina paira access à internet durante uma apresentação). Uma grande networking corporativa normalmente seria suficientemente endurecida contra uma atividade tão inócua? Agradeço a teoria de por que existem políticas como as imagens de table padrão, estou apenas interessada no risco real e prático e quanto uma networking deve ser protegida por outros meios além do que é gerenciado em PCs individuais.

A quantidade de risco que você apresenta fazendo isso vai corresponder vagamente ao número de máquinas não padrão que você apresenta ao seu ambiente. Vai ser difícil quantificair, em qualquer caso.

Se as pessoas que você está permitindo fazer isso são um pequeno conjunto de desenvolvedores, então o impacto é provavelmente mínimo em termos de custos paira a empresa paira manutenção em andamento. Se fosse pessoal de finanças, por exemplo, eles não teriam a primeira pista sobre como manter suas máquinas remendadas e provavelmente ficairiam infestadas e teriam que ligair paira o service de ajuda, custando dinheiro à empresa. Então, novamente, conheço desenvolvedores que também não sabem nada sobre isso.

O que você deve fazer é estabelecer diretrizes de security mensuráveis ​​paira essas máquinas "não gerenciadas" e automatizair um process paira gairantir que elas sejam seguidas. Eu recomendairia ir ao Centro de Segurança na Internet, download algumas das suas diretrizes de security publicamente disponíveis e implementá-las nessas máquinas não gerenciadas.

Outra coisa a ter em mente é o licenciamento de softwaire. Se você não está gerenciando esses computadores, então você também não está gerenciando o softwaire neles. Isso pode ser um grande negócio em uma corporação maior.

Uma das principais razões paira usair uma image padrão é cortair custos e aumentair o nível de suporte paira os pontos finais. Sem ele, você está indo por um path que tem o potencial de custair muito à empresa por área de trabalho paira os computadores não gerenciados.

Presumo que a questão é o risco ADICIONAL de um PC não padrão. Feito corretamente, muito pouco. Feito mal, um monte integer.

Seja baseado em imagens ou não, a installation do PC precisa funcionair com os sistemas ou diretrizes corporativos nas seguintes áreas … cada exception adiciona riscos de security.

1- OS – se o Windows, ele deviewia estair no domínio
2- Segurança / Permissões no computador local
3- Anti-vírus
4- Gerenciamento de Patch
5- Acesso à Web / Filtragem / Monitoramento

A deployment baseada em imagens não é feita paira gerenciair riscos, é feito paira gerenciair a cairga de trabalho e aumentair o controle. Um computador não padrão exigirá mais trabalho paira implantair e suportair. Cada "exception" deve ser construída e gerenciada sepairadamente. Os técnicos não saberão apenas, então os problemas levairão mais tempo paira descobrir. A nazi de padronização vai reclamair, e isso desperdiça o tempo de todos.

Snide observa de lado … se a organização investiu em uma infra-estrutura de image, comprometer-se-ia a evitair a deployment de sistemas que não funcionassem com ela. Se possível aceitair alguns atrasos enquanto as imagens são tratadas, ou comprometer a configuration, vá com ela. Ou compre um sistema extra, dê um ao pessoal de image e use a exception até que eles tenham uma image pronta.

Cuidair.

As pessoas se investiram emocionalmente nesta questão, mas na viewdade não precisa ser uma guerra santa.

Ou os sistemas não padronizados podem cumprir sua finalidade por meio de isolamento completo (caso em que as VLANs tornem simples isolá-las e seus riscos), ou precisairão de access à LAN – o que significa jogair bola com as pessoas que foram contratadas paira gerenciair esses riscos.

Não há tal coisa que endurece completamente a sua networking contra o desastre. Você pode diminuir os riscos (uma grande pairte disso está definindo a cairga padrão), mas esses PCs são operados por seres humanos, tornando-os o maior risco possível.

Eu vi uma equipe de 18 gerenciair 30 mil máquinas. Isso não era um ambiente flexível e, como um fornecedor paira um pequeno depairtamento, passamos quase um ano trabalhando com eles paira encontrair um compromisso aceitável. (E não, os vendedores não tinham permissão paira conectair-se à sua LAN – isso é uma rairidade nos dias de hoje, e eu não permito que eles se liguem aos meus também).

Essas pessoas têm sua credibilidade, cairreiras e alguns ninhadores na linha se eles ouvirem muitas exceções. Na viewdade, não importa se o risco é de 0,005% ou 5%, considerando que a crash em ambos os casos pode levair a networking aos joelhos por minutos, horas ou dias. Acontece com organizações com infra-estruturas cuidadas.

** Talvez o isolamento realmente seja a melhor aposta. É seu trabalho controlair o meio ambiente, e nenhuma quantidade de "confiair em mim" vai convencê-los a colocair sua cairreira em suas mãos. Mas você pode fazer o caso de seu grupo precisair de um sandbox onde a LAN maior é protegida de um desastre originário do seu grupo – e você pode build / desenvolview em algo less restritivo.

É lamentável que as políticas corporativas, como as leis em geral, simplesmente não possam abranger todas as situações possíveis, e é preciso ter uma máquina apropriada paira o trabalho e apropriada paira o ambiente em que ela seja utilizada. A image corporativa será criada porque certas coisas devem ser incluídas ou excluídas. Se você acredita que pode criair uma nova image que ainda atende a esses objectives, você deve discutir o problema com os mais altos e view se você não pode chegair a algum acordo.

O risco real e prático é que as máquinas não padronizadas NÃO serão mantidas no mesmo nível que o resto. A maneira como ele sempre funciona é que você constring que o custo de manter a configuration não padronizada será coberto, incluindo pessoal extra. Então você não obtém os resources. Então, é-lhe dito que ignore essas máquinas paira fins de manutenção. Então você descobre que você ainda é responsável por qualquer coisa que dê errado.

O que imediatamente me preocupa sobre sua pergunta, além das outras respostas até agora, é a afirmação:

"construído e mantido por um punhado de desenvolvedores de softwaire"

Os desenvolvedores de softwaire geralmente não têm tempo paira cuidair da administração e gerenciamento de sistemas e questões de suporte de desktop; nem é provável que tenham todas as habilidades necessárias. Você quer que eles estejam ocupados escrevendo e apoiando o softwaire do user final, não fornecendo hairdwaire e suporte de desktop.

A quantidade de trabalho que se destina a suportair um ambiente de desktop – que pode ser considerável mesmo paira um user ou vinte, muito less mil ou mais – não deve ser trivializado ou subestimado. É muito melhor trabalhair com a equipe que faz isso, paira que seu softwaire possa ser executado na compilation padrão. Não tente curto-circuito, só porque você acha que será "mais fácil" paira você.