Standard user vs local admin

Det er blitt litt mindre rundt Windows 7 å skrive om etterhvert, hvertfall av nye ting, men tenkte å dele litt av de diskusjonene jeg ofte har i design/rådgivningsøyemed med kunder, for å få litt liv i bloggen igjen. Kom gjerne med forslag til innhold.

Et scenario jeg ofte diskuterer med kunder som skal designe ny plattform nå er hvilke rettigheter brukeren skal, hvilke behov som skal dekkes inn og ofte hvorvidt brukerne skal være lokale administratorer eller standard brukere med få rettigheter. Skal forsøke å oppsummere hovedpoengene så kort som mulig her, helt komplett blir det ikke men.

Dette blir ofte en rendyrket sikkerhetsdiskusjon, noe det ikke bør være. Man bør ta utgangspunkt i brukerenes og forretningens behov, sette det opp mot det totale risikobilde og se hva som skal til for å minimere risiko og samtidig maksimere verdien for brukerne. Kommer en egen blogpost om denne typen vurderinger.

Hvorfor standard bruker?

  • En standard bruker har langt færre rettigheter, kan ikke installere de fleste applikasjoner på egenhånd og ikke ta i bruk nye drivere. Totalt sett er dette med på å gjøre klientene mer stabile da IT har fullstendig kontroll og at klientene ikke “forurenses” av gale innstillinger og programvare i like stor grad.
  • Det at en standard bruker har færre rettigheter gjør selvsagt også maskinen sikrere, både fordi IT beholder kontrollen over konfigurasjon av sikkerhetsinnstillinger, antivirus og firewall, men også fordi det er vanskeligere for mye malware å infisere maskina da brukeren og dennes applikasjoner ikke har fulle rettigeheter til systemet.
  • Begge de nevnte punktene er med å redusere support kostnader (potensielt) og forenkle mye av supporten som er påkrevd. 

 

Utfordringer med standard bruker kontoer

  • Brukere kan ikke selv tilpasse alt på maskina slik de ønsker.
  • Brukere kan ikke selv installere programmer de ønsker eller trenger. Spesielt viktig punkt å ta høyde for om man går fra en lokal administrator klient til en der brukerne blir låst ned i større grad enn før.
  • Brukere kan ikke selv installere drivere og dermed ikke ta i bruk mange eksterne enheter. Kan ofte bli en stor utfordring i mobile bruksscenarioer.
  • Brukere kan ikke selv installere ActiveX komponenter og andre utvidelser.

 

Hvorfor lokal administrator

  • Brukerne kan i større grad klare seg på egenhånd og dekke eget behov for programvare, Activex etc
  • Brukerne kan i større grad ta eierskap til maskinen ved å konfigurere og sette opp slik de selv ønsker
  • Mobile brukere spesielt har hatt utfordringer med kun å være standard bruker, spesielt de som er lenge ute av kontoret av gangen. Hvor stor denne utfordringen er avhenger i stor grad av hvor godt styrt (managed) plattformen er. F.eks vil det være oppdateringer fra Windows update som krever administrator rettigheter.
  • Oftere og oftere dreier også behovet for flere rettigheter seg om generasjon Y (1980+) og en forventning om å selv kunne styre sine løsninger selv, ha frihet, blande privat og firma tid/informasjon/oppgaver på samme klient. I en del tilfeller diskuterer jeg her også trender som “Consumeration of IT” og konsepter som “Bring your own computer”.

 

Utfordringer med lokal administrator kontoer

  • Brukerne kan selv tilpasse alt på maskina :) og dermed selv også potensielt ødelegge konfigurasjon av løsninger og applikasjoner
  • Maskinene kan bli fulle av applikasjoner, drivere og annet som medfører ustabilitet, kan medføre økt supportbehov
  • Applikasjoner og annet som blir installert blir ikke nødvendigvis vedlikeholdt og kan medføre en sikkerhetsrisiko
  • Brukere har fulle systemrettigheter, noe som kan gjøre det lettere for malware å infisere maskina. ( UAC hjelper noe her)

 

Min favoritt

Bare så det er sagt, min favoritt løsning er ikke nødvendigvis passende for alle bedrifter, det finnes en rekke parametere som vil avgjøre dette, slik som brukertyper, bruksmønstre, risikobilde, strategi rundt privat vs bedrift etc.

  • Brukere er i utgangspunktet lokal administrator, UAC er skrudd på.
  • SCCM benyttes til å rulle ut maskiner, så godt som helautomatisert, slik at brukerne selv kan installere/re-installere maskina ved behov. Dette bør benyttes aktivt i support og løsning bør være særdeles god på datamigrering.
  • IT supporterer fullt ut alle forretningsapplikasjoner og noen av de mer populære applikasjonene ellers.
  • IT ruller ut flere av de andre mer populære applikasjonstypene og vedlikeholder disse, men de supporteres ikke ellers. Dette kan f.eks være for å dekke behovet for et privat epost program, fotoalbum, privat IM osv.
  • Selv-Service løsning for ikke-standard applikasjoner som håndteres av IT
  • Alle sikkerhetsinstillinger konfigureres via Group Policy, slik at de vil bli satt tilbake om brukeren endrer disse
  • Et standard oppsett på maskinen ellers settes opp vha svarfiler og Group Policy Preferences, slik at brukeren selv kan tilpasse
  • Sømløs og automatisk VPN lignende løsning benyttes integrert med en karantenenettløsning (DirectAccess og NAP er selvsagt mine favoritter). Det viktige er at brukeren kan få tilgang til “alt” fra hvor som helst.
  • Karantenenettløsning benyttes internt, både på kablet og trådløst.
  • Karantenenettløsningen stiller i det minste krav til patchenivå, antivirus og firewall.
  • SCCM benyttes til management og patching av maskiner også utenfor firmalokasjoner (mobile klienter, hjemmekontorløsninger etc)
  • SCCM og/eller AV løsning benyttes til å rapportere avvik på konfigurasjon på maskiner
  • SCCM inventory benyttes til å lage rapporter på programvare. Brukere med ulovlig programvare (torrent klienter etc) varsles om at det må fjernes og det gjøres analyser av lisensbelagt programvare “der ute” som man ikke sentralt har kjøpt lisenser for. (det bør være en prosess for denne typen små innkjøp også, med sentral oversikt)
  • Terminal server/VDI løsning benyttes for å gi tilgang til tjenester fra enhver type enhet og for å isolere applikasjoner som kun skal benyttes internt i bedriften av sikkerhetsårsaker.
  • Disken på maskinen krypteres og sikres med PIN/passord, separat fra Windows pålogging. En self-service løsning for å hente ut recovery key om PIN glemmes må på plass (det samme kan være lurt for vanlige bruker passord)

Ikke et helt komplett bilde, ei heller detaljert, men forsøker å holde blogposten på en lesbar lengde:)

Målet her er å gi brukeren så mye frihet som mulig, men å holde dem ansvarlige og sørge for at avvik får en konsekvens. En karantenettløsning er et godt eksempel på dette: Brukeren merker ikke noe til den hvis alt er som det skal, men dersom han f.eks skrur av firewall eller antivirus vil han miste tilgang til ressurser som er nødvendig for å utføre jobben sin, samt at det blir logget og i en god løsning vil problemet også bli fikset (AV skrudd på igjen automatisk f.eks)

Løsningene som bygges rundt brukerens frihet har som mål å redusere risikoen, slik IT ser denne, i størst mulig grad, samt sørge for at det manuelle supportbehovet blir minst mulig. Dette krever også gode og strenge policier rundt support, som f.eks klare rutiner for hvor lenge det feilsøkes før man rett og slett gjøre en re-install istedet. Dette er fullt mulig å benytte som en effektiv løsning dersom datamigrering og hastighet er god.

Min favoritt passer som sagt ikke overalt, men mange av punktene vil være viktige i en enhver løsning. Bildet jeg har skissert over kan også lett tilpasses f.eks ved:

  • Ha standard brukere i utgangspunktet, definere brukergrupper som automatisk settes opp som lokal administrator (mobile brukere, spesielt godkjente osv)
  • Benytte GPO’er til å styre hvem som har hvilke rettigheter
  • Lage en mellomløsning for brukere som ikke skal være lokal admin, men like vel skal kunne få installere applikasjoner og drivere de laster ned. F.eks ved å la SCCM installere på vegne av dem eller benytte en 3.parts løsning som gir midlertidige eller begrensede admin rettigheter.
  • Kanskje la standard brukere få ta i bruk drivere som allerede finnes i systemet og slik sett koble til nye devicer det finnes drivere for på egenhånd.

Det er liten tvil om at en totalt nedlåst klient, der IT har full kontroll, er billigst, enklest og i en del scenarioer sikrest, men jeg tror det går for mye på tvers av brukerenes og etterhvert forretningssidens behov, man er nødt til å tenke annerledes framover og ta inn over seg trender som “Consumeration of IT”, miks av privat og jobb og endrede forventninger til teknolgi blant brukerne, spesielt de yngre.