我正在寻求来自托管桌面或网络安全领域的一些反馈,这些反馈涉及将未基于标准桌面映像构建的机器引入大型企业环境的风险。这个特定背景与大型跨国公司的标准企业映像(32 位 Win XP)不适合特定用户群体有关。简而言之,我正在研究我们可能遇到的障碍,即提议引入由少数软件开发人员构建和维护的机器,而不是基于企业桌面映像(提议 64 位 Win 7)。
我怀疑障碍主要在于病毒定义更新、服务包和补丁的推出以及现有应用程序与较新操作系统的兼容性。就病毒和软件更新而言,如果计算机使用具有自动更新功能的常见病毒防护软件,并使用 Windows Update 来获取服务包和补丁,那么企业环境是否仍然面临切实的风险?就此而言,大型企业环境是否通常容易受到非基于标准映像的计算机的引入的影响?
我正在努力弄清楚将机器插入网络会带来多大的感染风险和其他不良事件。除了上述示例之外,还有多种情况可能发生这种情况(例如,供应商在演示期间插入机器以访问互联网)。大型企业网络通常会对这种无害活动进行足够的强化吗?我理解为什么存在标准桌面图像等政策的理论,我只是对实际的风险以及应该通过多大程度上通过个人电脑管理以外的其他方式保护网络感兴趣。
答案1
我猜想问题在于非标准 PC 会带来哪些额外风险。做得好的话,风险很小。做得不好的话,风险就很大。
无论是否基于图像,PC 安装都需要与以下领域的公司系统或指南配合使用......每个例外都会增加安全风险。
1- 操作系统 - 如果是 Windows,则应位于域中
2- 本地计算机上的安全/权限
3- 防病毒
4- 补丁管理
5- Web 访问/过滤/监控
基于图像的部署不是为了管理风险,而是为了管理工作量和增加控制。 非标准计算机需要更多的工作来部署和支持。每个“例外”都必须单独构建和管理。技术人员不会知道这一点,因此问题需要更长的时间才能解决。标准化纳粹会抱怨和发牢骚,这会浪费每个人的时间。
抛开讽刺性的评论...如果组织已经投资了成像基础设施,我会妥协,以避免部署与之不兼容的系统。如果可以接受处理图像时的一些延迟,或者在配置上妥协,那就去做吧。或者购买一个额外的系统,给成像人员一个,然后使用例外,直到他们准备好图像。
小心。
答案2
这样做所带来的风险大致与您引入环境中的非标准机器数量相对应。无论如何,这都很难量化。
如果您允许执行此操作的人是一小部分开发人员,那么从公司持续维护的成本来看,影响可能微乎其微。例如,如果是财务人员,他们根本不知道如何修补他们的机器,而且很可能会受到感染,不得不打电话给帮助台,从而给公司带来损失。不过,我认识一些对此一无所知的开发人员。
你应该做的是为这些“非托管”机器建立可衡量的安全准则,并自动执行确保遵循这些准则的过程。我建议去互联网安全中心,下载一些公开的安全准则,并在这些非托管机器上实施它们。
另一件需要注意的事情是软件许可。如果你不管理这些计算机,那么你也不会管理它们上面的软件。这对于大型公司来说可能是一件大事。
使用标准映像的主要原因之一是降低成本并提高对端点的支持水平。如果没有它,您就有可能让公司为非托管计算机的每台桌面付出更多成本。
答案3
人们对这个问题投入了情感,但它实际上并不需要成为一场圣战。
非标准系统要么可以通过完全隔离来实现其目的(在这种情况下,VLAN 应该可以轻松隔离它们及其风险),要么它们需要访问 LAN - 这意味着与受雇管理这些风险的人合作。
完全强化网络以抵御灾难是不可能的。你可以降低风险(其中很大一部分是定义标准负载),但这些 PC 是由人类使其成为最大的风险。
我曾见过一个由 18 人组成的团队管理 30,000 台机器。那不是一个灵活的环境,作为一个小部门的供应商,我们花了近一年的时间与他们合作,以找到一个可以接受的折衷方案。(而且,供应商不允许接入他们的局域网 - 这在当今很少见,我也不允许他们接入我的局域网)。
如果这些人对太多例外置之不理,他们的信誉、事业和熬夜都将被打上风险。风险是 0.005% 还是 5% 并不重要,因为无论哪种情况发生故障都可能导致网络瘫痪几分钟、几小时或几天。这种情况发生在基础设施精心维护的组织中。
** 也许隔离确实是最好的选择。他们的工作就是控制环境,无论他们怎么“相信我”,都无法说服他们将自己的职业生涯交到你手中。但你也许可以证明你的团队需要一个沙箱,在这个沙箱中,更大的局域网可以免受来自你的团队的灾难的影响 - 并且你可以在一些限制较少的东西上进行构建/开发。
答案4
实际的风险是非标准机器的维护水平不会与其他机器相同。通常的做法是,您达成协议,非标准设置的维护成本将由公司承担,包括额外的人员配备。然后您得不到资源。然后您被告知在维护时只需忽略这些机器。然后您发现您仍要对任何出错的事情负责。