dirmhirn
Goto Top

Developer Laptops abschotten

Hi,

wir haben ein paar Entwickler die mit verschiedenen Tools arbeiten, die teilweise lokale Adminrechte zum Starten brauchen und auch regelmäßig Updates installieren wollen/müssen.

Wir haben aber nicht die Ressourcen um alles für sie zu installieren bzw zu betreuen. Virtualisierung ist auch schwierig, da sie selbst Docker und Virtualbox nutzen.

Hauptthema ist der Zugriff auf Domain Ressourcen. Wobei da geht es eigentlich nur mehr um M365 - mails, Sharepoint und Teams inkl. Video Konferenzen.

Idee A: wäre ihnen die Geräte domainless zu überlassen und sie nutzen nur M365 mit MFA.
Der Code würde per github auf die Produktivsysteme übertragen werden. (Andere Maschine)

Idee B: extra lokaler Admin. Gerät ist in der Domain und wird durch Virenscanner und Monitoring überwacht. Es wird davon ausgegangen, dass die Mitarbeiter selbst keine Policies o.ä. umgehen. (Kleine überschaubare Gruppe.)

Idee C: Domain VM für alle Domain internen Themen. Ob lokale VM oder per Remotverbindung, hat beides Nachteile.


Wie löst ihr das?

Sg Dirm

Content-ID: 7834121540

Url: https://administrator.de/forum/developer-laptops-abschotten-7834121540.html

Ausgedruckt am: 22.12.2024 um 06:12 Uhr

Doskias
Doskias 13.07.2023 aktualisiert um 08:13:00 Uhr
Goto Top
Moin,

die Frage ist in meinen Augen ganz einfach zu beantworten. Aber von vorne.

Zitat von @Dirmhirn:
wir haben ein paar Entwickler die mit verschiedenen Tools arbeiten, die teilweise lokale Adminrechte zum Starten brauchen und auch regelmäßig Updates installieren wollen/müssen.
Was für Tools sind das, die Adminrechte benötigen? Tools die Adminrechte benötigen greifen im Regelfall auf Systemeinstellungen zu. Das sollte auch bei einem Entwickler an seinem Rechner nicht erforderlich sein.

Wir haben aber nicht die Ressourcen um alles für sie zu installieren bzw. zu betreuen. Virtualisierung ist auch schwierig, da sie selbst Docker und Virtualbox nutzen.
Sorry, aber Blödsinn: Es ist dein/Euer Job das zu machen. Normalerweise definieren die Entwickler was sie brauchen und ihr stellt es zur Verfügung. Es kann nicht funktionieren, wenn jeder Entwickler wünsch dir was spielen kann. Wenn das bei euch so sein sollte, dann muss euer GF mehr Personal einstellen.

Idee A: wäre ihnen die Geräte domainless zu überlassen und sie nutzen nur M365 mit MFA.
Der Code würde per github auf die Produktivsysteme übertragen werden. (Andere Maschine)
Richtiger Ansatz, aber wieso? Für sowas gibt es sogenannte Entwicklungsumgebungen, die von der Hauptdomain getrentn sich. Organisatorisch, als auch netzwerkseitig (zur Not via VLAN). In dem Fall brauchen sie dann vermutlich zwei Rechner. Einen in der Entwicklungsumgebung und einen in der Produktivumgebung.

Idee B: extra lokaler Admin. Gerät ist in der Domain und wird durch Virenscanner und Monitoring überwacht. Es wird davon ausgegangen, dass die Mitarbeiter selbst keine Policies o.ä. umgehen. (Kleine überschaubare Gruppe.)
Sind die Entwickler als Admins eingestellt? Wenn nein, dann brauchen sie keine lokalen Adminkonten. Das führt ohnehin dann dazu, dass einfach jedes Programm als Admin ausgeführt wird, weil Es ja einfacher ist. lokale Adminkonten sind das was der Name sagt. Konten für Admins, nicht Konten für Entwickler.


Idee C: Domain VM für alle Domain internen Themen. Ob lokale VM oder per Remotverbindung, hat beides Nachteile.
Das ist dann die klassische Entwicklungsumgebung und ja. Jede deiner Ideen hat Vor- und Nachteile. Aber du musst für dich bzw. ihr müsst für euch entscheiden was überwiegt.

Wie löst ihr das?
1. keiner hat lokale Adminrechte. Aus Sicherheitsgründen gibt es auf jedem Rechner einen Admin-Account, aber niemand arbeitet regelmäßig damit. Selbst ich als Admin habe mit meinem Domainaccount keine Adminrechte mit meinem Account. Wozu auch? Ich kenne ja das Admin-Kennwort und kann es bei Bedarf eingeben.

2. Rechner die Programme benötigen, die nicht dem Standard entsprechen, besondere Funktionen (Stichwort Cloud Zugriff) oder kritische Software (wie zum Beispiel Java log4j) einsetzen, sind in einem physisch getrennten Netzwerk. Datenaustausch erfolgt via separate E-Mailkonten, damit die Firewall was zu tun hat oder durch USB-Sticks, die beim Admin abgegeben werden und vor Kontakt mit dem Netzwerk auf einem separaten Rechner durchgescannt werden.

Gruß
Doskias

Nachtrag: Grade gesehen, dass du im Titel Laptops schreibst. Wieso haben die Entwickler denn Laptops? Arbeiten sie von Unterwegs aus? Bei uns dürfen keine Laptops ins Domänen-Netzwerk. Auch hier: Aus Sicherheitsgründen, da wir ja nicht wissen welche Seiten mit erotischem Inhalt die Kollegen auf Hotelzimmern besuchen face-wink
Mr-Gustav
Mr-Gustav 13.07.2023 um 09:08:59 Uhr
Goto Top
Ich gehe mal davon aus das Ihr Fieldservice User habt denn die haben ein Notebook - Liege ich da richtig ?
Wenn ja würde ICH pers, bzw. so machen wir es in der Firma auch, denen Ihr Notebook überlassen OHNE Domänenzugriff. Würde ich sperren im Netzwerk ( Extra VLAN / LAN Erforderlich ) und entsprechend eine "verwaltete VM mit AD Anbindung" einrichten. Die VM wird dann für den Zugriff auf die Firmenressourcen genutzt und auch verwaltet inkl. AV und co. Sharepoint / Office und andere Anwendungen sind über das NOTEBOOK ( nicht die VM ) nicht erreichbar außer MAIL. Das geht über die MDM Verwaltung welcher auch Active Sync Proxy ist. VPN auf dem Notebook in Firmen LAN ist nicht das geht nur über die VM und gut ist. Fahren wir bei unseren Fieldservice Technikern ganz gut damit. Der Lokale Benutzer hat aber TROTZEDEM KEINE ADMIN Rechte! Wenn die etwas Administrativ machen müssen oder eine Anwendung starten müssen dann geht das nur über einen EXTRA Benutzer für die Entwickler. Jeder hat hier seinen eigenen. Die IT hat den Standard Admin bzw. einen zusätzlichen Admin für den Notfall ( Kollege muss einspringen und nimt das Gerät vom Kollegen mit und kenn das lokale Admin Passwort nicht, Wir können dann das lokale Notfall Admin Konto freigben indem wir das Kennwort verraten. Hat der Hauptbenutzer das Kennwort geändert bzw. das IT Admin Kennwort geändert damit die IT nicht an seinem Notebook herumspielt ( hatten wir zwei mal )*

Denke halt auch dran dass das auch alles SCHRIFTLICH zu Regeln ist in Form einer Arbeitsanweisung was die Entwickler DÜRFEN und was NICHT. Kennwörter ändern z.B. oder da können dann auch die Pflichten hinterlegt werden was der EW machen muss usw....

Ach ja die Notebooks sind in einem Extra VLAN ( Radius Auth über NAC ) usw. getrennt durch die FW. Einziges was möglich ist an Unternehmens Ressourcen ist Exchange Online und Teams mit MFA - Sharepoint glaube ich auch ..... Und die EW Systeme welche über eine FW getrennt sind.

Bedenke bitte das sowas nicht nur TECHNISCH zu lösen ist sondern das da auch Administrativ und Technisch Organisatorische Maßnahmen ( TOM ) dahinter stecken wie z.B. auch die Arbeitsanweisung usw.....

  • Das erste Mal hat ein Entwickler alle lokalen Admin Kennwörter geändert weil sie ihm zu Kompliziert waren ( IT Admin und Notfall Admin hatten um die 15-20 Zeichen mit Sonderzeichen usw.... ) und auch das Kennwort seines lokalen Admins geändert und war dann im Urlaub und kam wieder und ja ..... Ihr ahnt es warscheinlich: Er wusste kein einziges Passwort, weder sein Admin noch die IT Admins die er ja auch umbenannt hat....
Hat damals richtig geknallt mit Abmahnung / Freistellung / Kostenerstattung ..... Hauptgrund war das er die HDD mit Veracrypt oder Truecrypt verschlüsselt hatte und wir keine Möglichkeit mehr hatten die Kennwörter zurückzusetzen. Das war einer von den Ganz Schlauenface-smile Der hat das gerät sogar so manipuliert das es keine MDM Verbindungen mehr gefressen hatte.

Fall2:
Kollege macht Krankheistvertretung und nimmt Notebook vom Kollegen mit. Bekommt Kennwort von der IT ( Notfall User / Notfall Admin ) und steh dann beim Kunden und der lokale Admin ( Notfall Admin und auch der IT Admin ) funktioniert nicht. Er hatte die Kennwörter sicherheitshalber geändert. Er hat ja alles dokumentiert war die ausrede. Blöd nur das er nache einem etwas schwerem Unfall im Krankenhaus lag und nicht erreichbar war..... Zurücksetzten über die Boardmittel war mit aufwand gott sei dank möglich. ( Ich liebe facetime für sowas ). Resultat war eine Abmahnung und ein Riesenanschiss den er sich wohl sehr zu Herzen genommen hatte und kurz darauf hat er gekündigt. War jetzt kein Verlust für die Firma so der O Ton des Vorgesetzten. Wenn der Mit anpackt ist es so als ob zwei andere Loslassen ........
Dirmhirn
Dirmhirn 13.07.2023 um 09:09:46 Uhr
Goto Top
Hi,

Das Ressourcen Thema ist leider nicht zu ändern....

Es gibt fast nur mehr Laptops in der Firma (gegen Hotelprobleme läuft ein VPN, dass man ohne Adminrechtenichtumgehenkann...) und dass die Entwickler ihre Test VMs lokal laufen lassen wollen ist leider auch nicht zu ändern.

Idee A - die Geräte domainless auasi als externe zu sehen und nur M365 zu nutzen. Nach dem Motto MS wirds schon richten face-big-smile
Mit MFA.
Risiken: Phishing und die Daten abgreifen auf die die Entwickler Zugriff haben.
Aufwand-Risiko-Verhältnis hört sich da am besten an.

Sg Dirm
nachgefragt
nachgefragt 13.07.2023 aktualisiert um 09:25:28 Uhr
Goto Top
Moin.

Solche Fälle behandeln wir wie externe Zugriffe, z.B. keine Domäne, keinen direkten Eintritt ins Netz,... . Wobei jede Umgebung doch individuell ist, d.h. man das nicht pauschal machen kann.

Zitat von @Dirmhirn:
Das Ressourcen Thema ist leider nicht zu ändern....
Keine Besonderheit, zumal wenn noch andere Zeitzonen dazukommen wird es noch aufwändiger. Die Entwickler welche dir gestern sagen konnten was sie morgen für Software/Updates brauchen werden seltener, sodass diese dann doch administrative Rechte behalten (sollen).
Aufwand-Risiko-Verhältnis
Guter Ansatz, die Risikobewertung bringt dich in die richtige, noch vertretbare Richtung

OFF-Topic
abschotten
M365
"abschotten" und "MS365", genau mein Humor face-wink
z.B. https://www.borncity.com/blog/2023/07/13/china-hacker-storm-0558-in-micr ...
Doskias
Doskias 13.07.2023 um 11:07:42 Uhr
Goto Top
Zitat von @Dirmhirn:
Hi,
Das Ressourcen Thema ist leider nicht zu ändern....
Doch ist es. Wenn du schon den Aufwand und das Risiko analysierst, dann sollte dein GF das verstehen. Zumindest wenn du es richtig machst. Deine Arbeitszeit bezahlt er ja auch und wenn du 10 Stunden die Woche damit verbringst, das was die Entwickler kaputt gemacht haben zu reparieren, dann ist es irgendwann günstiger, wenn du es gleich auf vernünftigen Ressourcen laufen lässt.

Es gibt fast nur mehr Laptops in der Firma (gegen Hotelprobleme läuft ein VPN, dass man ohne Adminrechtenichtumgehenkann...)
Ja da sind wir doch beim Thema. Die erste Frage ist: Wieso nur Laptops? Brauchen sie die wirklich? Bei uns gibt es kaum Laptops, die personengebunden sind. Weil es kaum jemand braucht. Für Dienstreisen gibt es einen Pool an Notebooks. Damit geht dann VPN auf die lokalen Clients (kein TS aus Lizenzgrüden). Fertig.
Grade wenn sich die VPN nicht ohne Adminrechte umgehen lässt, dann behalte es bei. Keine Admin-Rechte für die user. Sonst wird mal kurz Steam installiert, wenn man auf Dienstreise ist, etc. Das wird ein Fass ohne Boden.

und dass die Entwickler ihre Test VMs lokal laufen lassen wollen ist leider auch nicht zu ändern.
Cool? Kann ich bei euch anfangen? Ich will auch einige Dinge nicht, muss mich aber nach den Firmenvorgaben richten.
Es geht hier nicht darum was die Entwickler wollen, sondern was das Beste für das Unternehmen ist. Einige Beispiele: Wie stellt ihr sicher, dass die Entwickler ihre "Umgebung" nicht auf den privaten PC auslagern und dort Kopien vom Code speichern, der Firmeneigentum ist? Wie stellst du sicher, dass die VPN-Verbindung trotz Adminrechte nicht beendet wird? Wie stellst du sicher, dass der User trotz Admin-Rechte nur zugelassene Software einsetzt oder deine Einstellungen (Stichwort USB-Ports sperren) nicht verändert?

Idee A - die Geräte domainless auasi als externe zu sehen und nur M365 zu nutzen.
Selbst dann hat der User keine Admin-Rechte zu bekommen. Außerdem besteht beim Einsatz von M365 die Gefahr, dass Daten/Viren/andere Schadsoftware über die M365-Cloud wandert. Was nützt dir ein externer Laptop, wenn der sich den Virus einfängt und via One-Drive in die Cloud synchronisiert, nur damit bei der nächsten Anmeldung im Firmennetzwerk die Cloud den Virus ins lokale Netzwerk synchronisiert? Und One-Drive ist nur ein Beispiel. Du hast ja auch noch Sharepoint, One-Note und gemein genutzte Office-Dokumente.

Nach dem Motto MS wirds schon richten face-big-smile
hinrichten vermutlich face-wink

Mit MFA.
MFA ist eine Methode um den Login am Rechner abzusichern, nicht um deine Umgebung abzusichern. Es schützt nur den Login. Die anderen Probleme werden bestehen bleiben. Da kann dir MFA nicht helfen.

Risiken: Phishing und die Daten abgreifen auf die die Entwickler Zugriff haben.
Aufwand-Risiko-Verhältnis hört sich da am besten an.
Wie ausgeführt, hast du weitaus mehr Risiken um die du dir Gedanken machen musst.
Dirmhirn
Dirmhirn 13.07.2023 um 12:20:40 Uhr
Goto Top
Zitat von @nachgefragt:
abschotten
M365
"abschotten" und "MS365", genau mein Humor face-wink

Ja gut der Titel war motiviert face-big-smile aber die Entscheidung für M365 ist gefallen...

Auch an den Laptops wird sich nichts ändern. Da 80% großteils im Homeoffice oder irgendwo auf der Welt sitzen.

Dann wird's wohl die M365 Lösung. OneDrive sharing mit einem Gerät in der Domain - da muss halt dort der AV schauen.

Wir nutzen sonst LAPS, darauf wollen wir den Kollegen aber nicht unbedingt Zugriff geben. Beschränken auf einige Geräte, vll mal schauen.

Danke für die Inputs!
Mr-Gustav
Mr-Gustav 13.07.2023 um 13:18:51 Uhr
Goto Top
Wie stellt Ihr denn die Lizenzrechtliche Seite sicher so das Ihr Lizenztechnisch compliant seit ?
ich sag nur Java und IrfanView.

Haben wir überall runter wo nicht gebraucht wird und dann haben die Leute fleißig Irfan und Java nachinstalliert weil ich brauch ja JAVA Runtime damit ich das GUI von meinem SAT Reciver konfigurieren kann usw..... Waren damals ca. 10K Euro an zusätzlichen Lizenzkosten um das gerade zu ziehen. Wie Überwacht Ihr das die Notebooks was Updates / Upgrades angeht compliant sind ?

Alles was bei uns EW Notebooks sind darf nicht ins Reguläre LAN. Ebenfalls haben wir eine Data Leak Prevention eingeführt was Quellcode usw. angeht. Wie Wird verhindert das der Code nicht geklaut wird oder gar in falsche Hände gerät ? Hier als aktuelles Beispiel die Signirten Treiber von MS zu nennen die wohl abhanden gekommen sind und fleißig verwendet wird.

Mach ein Konzept, Erklär was wie gelößt werden kann und mach eine Risiko Analyse. Wie oben schon geschrieben was bringt eine 40 Stunden Stelle wenn man die Hälfte der Zeit damit beschäftigt ist das was alles kaputt gemacht wieder zu richten ? Kostet Sinnlos Geld und Zeit.

Kann hier auch kurz zu deinem "Nein die Entwickler wollen das nicht". Tja dann Pech, Es wird gemacht was der Chef / IT / HR sagt. Punkt.
Diskussionen hatten wir auch als wir das WLAN umgestellt hatten.... Die Entwickler kamen dann andauernd an und sagten das Ihr Linux Notebook ins LAN muss weil Sie Firmenressource X erreichen müssen und bla bla bla. Was die Eigentlich wollten war ein PSK für Ihre Privatgeräte wie Handy und Webradio. Geht aber nicht Da WLAN Entperise mit Cert.
Was eine Woche generve und dann hatten sich alle dran gewöhnt.
Man muss das ganze nur vorher ankündigen und erklären. Und dann keine Einzel Ausnahmen machen sonst wird hinterher nicht zu verwalten sein.
Doskias
Doskias 13.07.2023 um 14:19:12 Uhr
Goto Top
Zitat von @Dirmhirn:
Ja gut der Titel war motiviert face-big-smile aber die Entscheidung für M365 ist gefallen...
Es spricht ja nichts gegen M365, naja eigentlich schon en ganze Menge, aber das ist ein anderes Thema. Aber als sichere Datenaustausch-Platform gänzlich ungeeignet, meiner Meinung nach

Auch an den Laptops wird sich nichts ändern. Da 80% großteils im Homeoffice oder irgendwo auf der Welt sitzen.
Ja gut. Laptop im Homeoffice ist ok, aber grade dann noch ein Grund mehr, dass die Entwicklungsumgebung nicht auf dem Laptop laufen soll. Von wie vielen Entwicklern reden wir? Ein Tower-Client bekommst du für wenige 100 € und ist den LAptops meist überlegen. Die bleiben in der Firma. RDP vom Laptop auf den Büro-Client und du hast zumindest die Entwicklungsumgebung intern. Und bei richtig abgeschirmter RDP ist das auch noch ausgeschlossen, dass Viren/Daten über die Leitung kommen. Stichwort: Dateikopien und Zwischenablage zwischen RDP-Host und Client unterbinden. Ob der Entwickler jetzt seinen Laptop startet oder den Laptop startet und danach eine RDP ist keinerlei Mehraufwand. Ganz im Gegenteil. Wenn der Laptop geklaut wird oder anderweitig verloren geht, ist die Absicherung über den Büro-Client sicherlich Gold wert. Und natürlich geht das Ding auch mal kaputt.

Ich weiß nicht wie dein Arbeitsvertrag aussieht, aber du bist sicherlich nicht nur eingestellt worden um für die Entwickler das Arbeiten bequem zu gestalten. Zu deinen Aufgaben gehört sicherlich auch dafür zu sorgen, dass das Netzwerk sicher ist und vertrauliche Daten auch vertraulich bleiben.

Dann wird's wohl die M365 Lösung. OneDrive sharing mit einem Gerät in der Domain - da muss halt dort der AV schauen.

Na dann drück ich dir mal die Daumen, dass ihr euch für den richtigen AV entschieden habt. Wir nutzen in der Firewall Bit-Defender, auf den Servern Sophos und auf den Clients Trend Micro. Nicht immer findet die Firewall alles Viren. Manchmal auch erst der Server und manchmal auch erst der Client.

Danke für die Inputs!
Gerne. Mehr können wir nicht machen. Ich persönlich, sage ich jetzt mal so krass, halte eure Lösung und euren Umgang für fahrlässig, sowohl für die IT-Sicherheit, als auch für die Datensicherheit eurer Unternehmensdaten. So wie du es hier beschreibst (aber vielleicht beschreibst du es auch einfach nicht gut) ist es nur eine Frage der Zeit bis es bei euch richtig knallt und dadurch Kosten entstehen, die durch eine zentralisierte admingepflegte Entwicklungsumgebung hätten verhindert werden können. Und dann hast du die Kosten und den Aufwand zur Korrektur von etwas, was man mit den gleichen Kosten hätte verhindern können. Vielleicht täusche ich mich, aber ich will hier in ein paar Wochen keine Katastrophenmeldung von dir lesen face-wink

Gruß
Doskias