Consejos para una infraestructura segura

02/04/2008 - 23:17 por Luis Falch | Informe spam
Hola a todos...

Alguien puede darme una mano con lo sgte:

Tengo montado un dominio Windows (con AD). El 90 % de los usuarios son
desarrolladores. el otro 10% usuarios administrativos y financieros. Uno de
los principales problemas son los huecos de seguridad (robo de líneas de
cofigo fuente por ejemplo, Información Adm/Contable, etc.) que se pueden
realizar via USB's, FTPs' y algun que otro medio.
Lo de bloqueo de puertos FTP, mail, Internet y otros, lo hago via
Firewall/Router (no problem con este item).
Lo de bloqueo de USB's lo hago via edición de registro (modifico un valor de
una clave). Problema aca si hay, ya que los usuarios (al ser Informáticos)
pueden modificar la clave del registro y habilitar nuevamente el uso de
USB's (flash Memory y otros).
En la estructura del Dominio, todos pertenecen a grupos de seguridad (grupo
usuarios por ej.) y cada cuenta de usuario es administrador local de su
propio PC (todos los PC's clientes tienen Win XP SP2). Esto para facilitar
las tareas de programación y testing que realizan en sus PC's. Esto es lo
que les permite modificar claves de registros, etc.
Mi pregunta: Existe alguna manera de que estos usuarios, sin ser
administradores locales de sus PC's, tengan los permisos necesarios para
realizar normalmente sus tareas de desarrollo, programación y pruebas; que
puedan trabajar con los IIS locales, etc? es decir, quitarles los permisos
Administrativos locales, pero que puedan trabajar sin problemas (utilizando
VStudio.Net se que algunas ocpiones deben acceder a carpetas del sistema, y
a usuarios sin privilegios no se les permite). Cual seria? o donde puedo
encontrar información (una guia practica mucho mejor, jeje)?

Aprovechando el mismo correo, algunos consejos para una buena (óptima diría
mejor) administración dentro de una infraestructura de Red Windows???


de antemano mil gracias, y saludos


Luis F.
 

Leer las respuestas

#1 Javier Inglés [MS MVP]
03/04/2008 - 08:19 | Informe spam
Una solución para eso para por ejemplo por tener un entorno de máquinas
virtuales para desarrollo explícitamente -ya sean servidores para probar y
demás como usando virtualPC por ejemplo en los propios equipos-; lo malo de
esto es el gasto extra que puede suponer las licencias.

Por otro lado, debes tener implementadas las GPO adecuadas siempre para
restrigir al máximo las posibilidades de la persona; se puede dejar a un
desarrollador como usuario normal del equipo y dejarle permisos de seguridad
a nivel de carpetas/archivos que pueda necesitar, y en caso de tener que
tener más privilegios para hacer algo, que lo tenga que solicitar

Salu2!!
Javier Inglés
https://mvp.support.microsoft.com/p...B5567431B0
MS MVP, Windows Server-Directory Services



"Luis Falch" escribió en el mensaje
news:
Hola a todos...

Alguien puede darme una mano con lo sgte:

Tengo montado un dominio Windows (con AD). El 90 % de los usuarios son
desarrolladores. el otro 10% usuarios administrativos y financieros. Uno
de los principales problemas son los huecos de seguridad (robo de líneas
de cofigo fuente por ejemplo, Información Adm/Contable, etc.) que se
pueden realizar via USB's, FTPs' y algun que otro medio.
Lo de bloqueo de puertos FTP, mail, Internet y otros, lo hago via
Firewall/Router (no problem con este item).
Lo de bloqueo de USB's lo hago via edición de registro (modifico un valor
de una clave). Problema aca si hay, ya que los usuarios (al ser
Informáticos) pueden modificar la clave del registro y habilitar
nuevamente el uso de USB's (flash Memory y otros).
En la estructura del Dominio, todos pertenecen a grupos de seguridad
(grupo usuarios por ej.) y cada cuenta de usuario es administrador local
de su propio PC (todos los PC's clientes tienen Win XP SP2). Esto para
facilitar las tareas de programación y testing que realizan en sus PC's.
Esto es lo que les permite modificar claves de registros, etc.
Mi pregunta: Existe alguna manera de que estos usuarios, sin ser
administradores locales de sus PC's, tengan los permisos necesarios para
realizar normalmente sus tareas de desarrollo, programación y pruebas; que
puedan trabajar con los IIS locales, etc? es decir, quitarles los permisos
Administrativos locales, pero que puedan trabajar sin problemas
(utilizando VStudio.Net se que algunas ocpiones deben acceder a carpetas
del sistema, y a usuarios sin privilegios no se les permite). Cual seria?
o donde puedo encontrar información (una guia practica mucho mejor,
jeje)?

Aprovechando el mismo correo, algunos consejos para una buena (óptima
diría mejor) administración dentro de una infraestructura de Red
Windows???


de antemano mil gracias, y saludos


Luis F.

Preguntas similares