Как выполнить новую Федеральную настольную базовую конфигурацию (FDCC), которая удалит доступ локального администратора для всех пользователей? [закрытый]
Это может быть не самое элегантное решение, но оно работает:
create_matrix <- function(n) {
m <- c()
for (i in 1:n) {
new <- setdiff(1:n, i)
m <- c(m, new)
}
matrix(m, ncol = n, byrow = FALSE)
}
create_matrix(4)
#> [,1] [,2] [,3] [,4]
#> [1,] 2 1 1 1
#> [2,] 3 3 2 2
#> [3,] 4 4 4 3
6 ответов
Активно работая разработчиком контракта в основе, которая использует Рабочий стол Стандарта AF, я могу сказать Вам несколько вещей.
1: и самый важный. Не боритесь с ним и не делайте то, что первого человека, предложенного "и, позволяют им дросселировать на нем". Это - абсолютно неправильное отношение. Вооруженные силы/правительство борются с отсутствием финансирования, перегруженных ресурсов и цветущего технологического места, которое они не понимают. Шаги, которые они делают, не могут быть прекрасными, но они находятся под ударом, и мы должны помогать, не препятствуя.
Хорошо, это от моей груди.
2: Необходимо посмотреть на создание (и я знаю, что это твердо с финансированием путем, это), локальная лаборатория разработки. Каждая основа, в которой я работал, имеет изолированную сеть segement, что можно преуспеть, который имеет внешний доступ, который изолируется от основной сети губернатора. У Вас в основном есть своя работа ПК для электронной почты, сообщает и т.д. это находится в защищенной сети. Но, Вы разрабатываете в своей небольшой лаборатории. Я сделал, чтобы лабораторией были 2 ПК, подвернутые под моим столом, которые были возвращенными во время технического обновления. Другими словами, будьте творческими с созданием себя машина разработки +servers, которые НЕ ограничиваются. Тем машинам просто не позволяют быть подключенными к основному сегменту LAN.
3: Получите дистрибутивы настольных конфигураций. Часть Вашего тестирования должна развертывать/выполнять на этих конфигурациях. Снова, эти конфигурации не предназначены для полей разработки. Они предназначены, чтобы быть машинами, которые люди используют для повседневной работы губернатора.
4: Если Вы работаете над веб-решениями, очень знают об ограничениях на добавление надежных сайтов, компонентов ActiveX, сертификатов, определенных типов выполнения сценария, которое не позволит конфигурация. Особенно, при попытке встроить widgets/portlets/utils, которые требуют связи вне домена развертываемого приложения.
5: Прежде всего, помните, что очень немногие люди, на которых Вы работаете, понимают технологию, которую они просят, чтобы Вы реализовали. Они знают, что хотят функцию X, но они хотят, чтобы Вы следовали за драконовским правилом безопасности Y при достижении ее. То, что это обычно означает, - то, что "захват, некоторый lib с открытым исходным кодом или плагин и идут", не является опцией. Но, который является точно, что Ваши менеджеры думают, что Вы собираетесь сделать из-за шума вокруг быстрой разработки.
Таким образом, это - путаница там. Попытайтесь помочь решить проблему.
Не когда-нибудь имея проблему, сегодня я, вероятно, попробовал бы решение для виртуализации выполнить эти инструменты.
Или, как мой друг, однажды полагавший: "Следуйте за процессом, пока Они не будут дросселировать на нем". В этом случае это, вероятно, означало бы называть справочную службу каждым разом, когда у Вас должна была быть модификация к Вашей локальной конфигурации IIS, или Вам был нужен один из запущенных powertools.
В то время как я никогда не был посредством процесса FDCC, я когда-то работал на американского оборонного подрядчика, который является политикой, был то, что ни у кого не было локального административного доступа к их машинам. Кроме того, флеш-накопители и CD-ROM были отключены (если бы Вы хотели слушать музыку на CD, то у Вас должен был быть персональный проигрыватель компакт-дисков с наушниками).
Если Вам было нужно программное обеспечение, установил Вас, должен был вставить заказ на работу. Кто-то обнаружился бы за Вашим столом с медиа установки, вошел бы в локальную администраторскую учетную запись и позволил бы Вам установить программное обеспечение (обоснование, являющееся этим, Вы знали, что установить лучше, чем они сделали). Удивительно, благоприятный поворот был довольно быстр, обычно вокруг 1/2 час.
В то время как неудобство, эта политика действительно не нанесла вред нам. Мы делали комбинацию Java, C++ (Visual C++ MS и GNU/C++), VB 6.0 и некоторая веб-разработка. Поскольку, что мало веб-разработки мы сделали, у нас было удаленное dev поле, мы будем RDP в для тестирования. Снова, определенное неудобство, но это не мешало нам получить наши делавшие работы.
Из того, что я могу сказать, что FDCC только предназначается, чтобы быть рекомендуемой базовой линией безопасности. Я отдал бы некоторое нажатие на полномочиях, которых Вы требуете и видите то, что они могут придумать для размещения запроса. Вместо того, чтобы говорить я должен быть локальным администратором, я перечислил бы вещи, что необходимо смочь сделать и позволить им предложить решение, которое работает (который будет, вероятно, чтобы быть, чтобы позволить Вам администрировать свою машину или VM). Необходимо смочь выполнить отладчик в Visual Studio, выполнить локальный веб-сервер (Кассини), патчи/обновления установки к dev инструментам в расписании...
Я недавно переместился в "полууправляемую" среду с SCCM, который получает патчи, установленные регулярно из локального репозитория обновления. Я делал это сам, но это незначительно более эффективно для предприятия, и оно делает офис безопасности счастливым. Я действительно заставлял их помещать меня и других разработчиков, в специальном наборе так, чтобы мы могли заблокировать повреждающиеся изменения в случае необходимости (как IE7 мог быть обновлением системы защиты?). Не много повредилось за исключением того, что теперь я должен обновить Windows Defender вручную, так как я обновлял его более часто, чем они делают в управляемом наборе! Это не было как экстремальное значение как Ваш случай, очевидно, но я думаю то есть, частично, вследствие того, что я смог представить случай для вещей, которые я должен был сделать для своего задания, которое потребовало большего количества локального управления.
От FAQ NIST при обеспечении WinXP.
- Я должен внести изменения в базовые настройки? Учитывая широкую вариацию в операционных и технических соображениях для работы любым крупнейшим предприятием, уместно, чтобы некоторые локальные изменения должны были быть внесены в базовую линию и связанные настройки (с сотнями настроек, несметным числом приложений и множеством бизнес-функций, поддерживаемых Windows XP Systems, это должно ожидаться). Конечно, соблюдите осторожность и хорошее суждение во внесении изменений в настройки безопасности. Всегда тестируйте настройки на тщательно выбранной тестовой машине сначала и документируйте реализованные настройки.
Наличие локального административного доступа к Вашей рабочей станции является болью сзади наверняка. Я должен был иметь дело с этим, в то время как я работал на свой университет как веб-разработчик в одном из факультетов. Каждый раз мне было нужно что-то, установил, такие как Visual Studio или DreamWeaver, я должен был выполнить запрос к Вычислительным сервисам.
Это довольно распространено в финансовых учреждениях. Я лично рассматриваю это как игру для наблюдения, сколько программного обеспечения я могу работать на своем ПК без любых прав администратора или отправляющих запросов группе поддержки.
До сих пор я сделал вполне прилично, я только отправил один запрос установки программного обеспечения, который был для "Рационального Архитектора программного обеспечения" ('cos мне нужны плагины от "официального" выпуска). Кроме этого у меня есть жемчуг, php, Python, апач все и выполнение. Кроме того, у меня есть гагатовый сервер, знаток, winscp, шпаклевка, энергия и несколько другие инструменты, работающие вполне happlily на моем рабочем столе.
Таким образом, это не должно действительно беспокоить Вас так очень, и, даже при том, что я - один из худших преступников когда дело доходит до установки неофициального программного обеспечения, я не рекомендовал бы "прав администратора" никакому магазину remotly заинтересованный обеспечением их приложений и сетей.
Одна обычная практика должна дать разработчикам "чиновника", заблокированного вниз ПК, на котором они могут запустить официальные приложения и сделать их почтового администратора и т.д. и рабочую станцию разработки скелета, к которой у них есть права администратора.