Ökölszabály vagy ökör szabály?

Biztos vagyok benne, hogy nincs kishazánkban olyan rendszergazda, aki ne tudná: ha a felhasználók a saját gépeiken “felhasználók”, akkor az csupa-csupa előnnyel jár a rendszer birtoklását illetően.  A teljesség igénye nélkül:

• A felhasználó-felhasználók nem telepíthetnek (telepítgethetnek) illetéktelen, az IT által nem ellenőrzött szoftvereket.
• Nem kapcsolhatják ki a védelmi rendszereket (antivírus, tűzfal, automatikus frissítések) – és ezt trójai vagy egyéb kártévő kódok sem tehetik meg helyettük.
• Nem írhatnak olyan helyekre, mint a “Program Files”, meg “Windows” környtárak, meghosszabbítva ezáltal az operációs rendszer stabilitását. Ez hasznos tiltás, hiszen tudvalévő, hogy egy felhasználó-felhasználó ott potyogtat el állományokat, ahol csak tud.
• Egy felhasználó nem futtathatja a regedit-et, vagy ha igen, kritikus pontokat nem írhat felül.
• Egy felhasználó-felhasználó nem tudja megakadályozni a csoportházirendek lefutását – ezáltal a rendszerfelügyelet gördülékenysége megmarad.

Végeredményben a felhasználó-felhasználó nagyságrendekkel kisebb mértékben veszélyezteti saját rendszerét, a számítógépe védett VELE SZEMBEN is, ez pedig végeredményben kevesebb hibát, kevesebb incidenst, alacsonyabb üzemeltetési költségeket és kisebb TCO-t jelent. Tiszta nyereség, mindenki látja ezt, a felhasználó pedig – aki igazából nem ért az informatikához – belátja, hogy ezek a szabályok végeredményben érte és nem ellene vannak.

A felhasználókat valódi felhasználókká tenni Windows környezetben azért nem olyan könnyű. Ha a Windowsra fejlesztők nem lennének oly megátalkodott lusták és követnék Microsoft ajánlásait, már régen kivesztek volna a rendszergazda jogosultságot igénylő alkalmazások. De sajnos korunk fejlesztője életművének nem elhanyagolható része igényli a rendszergazda jogosultságot. Mégis, rendes IT szervezet küzd az ilyen ártány szoftverek ellen: alternatívákat vásárol inkább, vagy megveszi és bevezeti a legújabb verziót, amelyet már rendesen megírtak stb. stb. A szakma pedig mindig, MINDIG elismerően nyilatkozik, ha valahol a kollégák belevágják a fejszéjüket a kemény fába: legyen a felhasználó csak felhasználó. Végül, ha sikerül a projekt, és mindenki, aki nem része az üzemeltetésnek, csak felhasználói jogokkkal rendelkezik, a közösség elismerően bólogat: igen, ez egy biztonságosabb rendszer.

Teljesen őszintén: én sem vagyok kivétel. Korábbi munkahelyemen, a MAL-ban, ahol én voltam a felelős a szerverek és munkaállomások működéséért, mindenki felhasználó volt a gépén: a tulajdonosok, a vezérigazgató, a IT igazgató és az összes felhasználó, beleértve rendszergazdákat, de még a tulajdonosok gyerekeit is.(*) Sőt! Még ebben a webnaplóban is beszámoltam a “Zéró Domain Admin” projektről, amelynek az volt a lényege, hogy szerepkör-megosztással szétosszuk a “Domain Admin” jogosultságokat és kiürítsük a csoportot. Nálunk még a rendszergazdák is felhasználók voltak, legalábbis azon igyekeztem, hogy a nem rendszerüzemeltetési feladatokhoz a saját, korlátozott, felhasználói fiókjukat vegyék igénybe.

Mindabból, amit leírtam, egyenesen következik, hogy igencsak meglepődtem, amikor a Microsofthoz kerültem, és azt találtam, hogy itt mindenki helyi rendszergazda a gépén. Éppenséggel nem bántam: egy kicsit aggódtam, mi lesz, ha én is csak felhasználó leszek a gépemen. Én tudom, hogy mikor, mit és miért kell feltenni a gépemre. Rendszergazda jogosultság mellett sem szedek össze vírusokat, és ha netán összebarmolnám a gépemet (nem szoktam), magam meg tudom javítani. Feltéve, hogy van jogom rá. Lett jogom, és ezt ma sem bánom.

De hogy is van ez? A felhasználóimnak korlátozom a jogait, de ha magamról van szó, akkor már nem is tetszik annyira ez a módszer? És még tovább: hogy van az, hogy a Microsoft, amelynél több, mint százezer ember dolgozik, amely a világ egyik leginkább támadásoknak kitett IT rendszerével rendelkezik, és amely cég úton útfélen azt hirdeti (karöltve a Gartnerrel), hogy a “lezárt, jól menedzselt gép az üdvözítő”; szóval ez a cég mégis megengedi, hogy a munkatársai tetszés szerint garázdálkodhassanak a gépeiken?

Bevallom, nem tettem volna fel ezeket a kérdéseket magamnak (és a webnaplónak), ha a minap nem beszélgetek hosszan egy partnerünk tapasztalt rendszermérnökével a Microsoft Optimimális Desktop ajánlatáról. A beszélgetés során kiderült, hogy náluk is éppen “racionalizálják” a hozzáférési jogosultságokat, és tulajdonosi támogatás mellett (“eszi, nem eszi, nem kap mást”) megindult az átállás, amelynek eredményeképp ők – a teljes rendszerintegrációs csapat, beleértve a konzulenseket meg mindenkit – “felhasználókká” válnak. Így aztán már most gondolkodnak azon, hogy milyen módszerrel jutnak majd olyan eszközhöz, amivel dolgozni is lehet…

Ahhh. Leesett a tantusz.

Az “Optimális desktop ajánlat” első lépése (többről, másról most nem is lesz szó), hogy mérd fel a felhasználóid igényeit és sorold őket ez alapján kategóriákba. Mindjárt fel is dobunk 5 általunk kitaláltat, ötletek ezek, sokak számára azonnal használatba vehetők. A történet azonban attól szép, hogy itt nincs semmi kőbe vésve. Vannak fejlesztőid és külön kategóriába sorolnád őket? Legyen úgy! A kereskedők különös állatfajta nálatok? Semmi gond, legyenek ők is egy kategória. Stb. Stb. A lényeg az, ahogy kezded: “Mérd fel a munkájukat, igényeiket.”

Szóval miért is helyi rendszergazdák a Microsoft dolgozók? Azért, mert ez legitim igényük. Nem úgy igény ez, mint ahogy az igazgató kisfia sír admin jogért, hogy játékot tehessen fel.  Hanem a felelős cselekvésé: az MS alkalmazottak informatikai értelemben képzett és felelős felhasználók. Tudnak bánni rájuk bízott jogokkal. A rendszer agilisebb, vagyis gyorsabban reagáló, ha az emberek megtehetik azt, amihez egyébként értenek. Ha senki sem lenne rendszergazda, egy ilyen szervezetben ez olyan mértékű incidens EMELKEDÉST jelentene, amelyet semmilyen támogató csapat nem tudna lekezelni. Mindenki minden esetben a helpdeskhez fordulna a telepítésekért, átkonfigurálásért, beállításokért stb. stb.

Tudják ezt az MSIT-nál is. Ezért aztán több dolgot is (jól) csinálnak:

• A kezdőket és a bíbelődni nem akarókat Standard lemezképpel támogatják. Tedd fel, minden benne van, ami az alap munkához kell (Office, antivírus, VPN csatlakozási lehetőség, RMS kliens, Bitlocker, management kliensek stb. stb.)
• A telepítéseket – akinek szüksége van rá – precíz leírásokkal támogatják.
• A saját utjukon járóktól a MÉLYSÉGI VÉDELEM módszerével kényszerítik ki azt, amit a józan ész megkíván:
• Biztonsági ellenőrzés, egészség-ellenőrzés VPN-es bejelentkezéskor (tűzfal, antivírus, hotfixek megléte stb.)
• SCCM és SCOM ügynökökkel távoli felügyelet, patch management stb. – interneten keresztül is.
• IPSEC és Domain izoláció (nem domain tag gépek nem tudnak domain tagokkal kommunikálni)
• Titkosítás mindenütt: kliens forgalomban, állományokon, leveleken, wireless hálózaton stb. stb. stb.
• Alkalmazás szintű publikálás – csak a szükséges forgalom, ellenőrizve, titkosítva (Outlook anywhere; TS WebAccess stb.)
• Totális védelem a szerver oldalon (jogosultság-ellenőrzés, szerepkör-szétválasztás, auditálás stb. stb.)

Szummázat (az enyém):

A “felhasználó legyen felhasználó” szabály egy ökölszabály. Többnyire helyes. Az informatikailag képzetlen, félművelt vagy felelőtlen (magán segíteni nem tudó) felhasználók támogatása olcsóbb, ha a “hibázás lehetőségét” csökkentjük. Okos dolog, ha a gyufát és a gyógyszert olyan helyen tároljuk a lakásban, ahol kisgyermek nem éri el.

Ugyanakkor a “felhasználó legyen felhasználó” szabály CSAK egy ökölszabály. A tényleges igények, munkamódszerek felmérése után vezethető be. Ha olyan helyen is alkalmazzuk, ahol nem kellene, kárt okozunk: jobb esetben csak megemelkedett támogatási költségeket, rosszabb esetben egy kevésbé hatékony szervezetet eredményezhet az intézkedés bevezetése. Az előbbi példával: ha a családban mozgássérült felnőtt is van, gyógyszereinek elzárása akár életveszélyt is okozhat.

A biztonságnak lehet ez segítője, de rossz esetben csak pótcselekvés: a valódi veszélyekkel szemben a valódi védelmi intézkedéseket kell hozni. Mélységi védelemre van szükség. És még valami. Részlet a “10 Immutable Laws of Security” írásból: Law #3: If a bad guy has unrestricted physical access to your computer, it’s not your computer anymore

Te, olvasó, aki értesz az informatikai eszközökhöz, sőt, esetleg biztonsági szakértő vagy, mit szólsz a partnerünk biztonsági csapatának ötletéhez? Megosztod a gondolataidat, hogy a IT biztonsági csapat a legjobb döntést hozhassa?

———————–

(*) Kivéve egyet: egy egyetemet végzett, a számítógéphez profi módon értő srácról volt szó. Először persze ő is csak felhasználó volt. De mivel annyiféle dolgot csinált, és mindig tudta, hogy mit, és okos volt és felelősségteljes, végül engedtem, és kapott helyi rendszergazda jogot. Attól kezdve tizedannyit hívott. A * után részből tudható, hogy miért.