Consejos para una infraestructura segura

Hola a todos...

Alguien puede darme una mano con lo sgte:

Tengo montado un dominio Windows (con AD). El 90 % de los usuarios son
desarrolladores. el otro 10% usuarios administrativos y financieros. Uno
de los principales problemas son los huecos de seguridad (robo de líneas
de cofigo fuente por ejemplo, Información Adm/Contable, etc.) que se
pueden realizar via USB's, FTPs' y algun que otro medio.
Lo de bloqueo de puertos FTP, mail, Internet y otros, lo hago via
Firewall/Router (no problem con este item).
Lo de bloqueo de USB's lo hago via edición de registro (modifico un valor
de una clave). Problema aca si hay, ya que los usuarios (al ser
Informáticos) pueden modificar la clave del registro y habilitar
nuevamente el uso de USB's (flash Memory y otros).
En la estructura del Dominio, todos pertenecen a grupos de seguridad
(grupo usuarios por ej.) y cada cuenta de usuario es administrador local
de su propio PC (todos los PC's clientes tienen Win XP SP2). Esto para
facilitar las tareas de programación y testing que realizan en sus PC's.
Esto es lo que les permite modificar claves de registros, etc.
Mi pregunta: Existe alguna manera de que estos usuarios, sin ser
administradores locales de sus PC's, tengan los permisos necesarios para
realizar normalmente sus tareas de desarrollo, programación y pruebas; que
puedan trabajar con los IIS locales, etc? es decir, quitarles los permisos
Administrativos locales, pero que puedan trabajar sin problemas
(utilizando VStudio.Net se que algunas ocpiones deben acceder a carpetas
del sistema, y a usuarios sin privilegios no se les permite). Cual seria?
o donde puedo encontrar información (una guia practica mucho mejor,
jeje)?

Aprovechando el mismo correo, algunos consejos para una buena (óptima
diría mejor) administración dentro de una infraestructura de Red
Windows???


de antemano mil gracias, y saludos


Luis F.

Una solución para eso para por ejemplo por tener un entorno de máquinas
virtuales para desarrollo explícitamente -ya sean servidores para probar y
demás como usando virtualPC por ejemplo en los propios equipos-; lo malo
de esto es el gasto extra que puede suponer las licencias.

Por otro lado, debes tener implementadas las GPO adecuadas siempre para
restrigir al máximo las posibilidades de la persona; se puede dejar a un
desarrollador como usuario normal del equipo y dejarle permisos de
seguridad a nivel de carpetas/archivos que pueda necesitar, y en caso de
tener que tener más privilegios para hacer algo, que lo tenga que
solicitar

Salu2!!
Javier Inglés
https://mvp.support.microsoft.com/p...B5567431B0
MS MVP, Windows Server-Directory Services



"Luis Falch" escribió en el mensaje
news:

Hola a todos...

Alguien puede darme una mano con lo sgte:

Tengo montado un dominio Windows (con AD). El 90 % de los usuarios son
desarrolladores. el otro 10% usuarios administrativos y financieros. Uno
de los principales problemas son los huecos de seguridad (robo de líneas
de cofigo fuente por ejemplo, Información Adm/Contable, etc.) que se
pueden realizar via USB's, FTPs' y algun que otro medio.
Lo de bloqueo de puertos FTP, mail, Internet y otros, lo hago via
Firewall/Router (no problem con este item).
Lo de bloqueo de USB's lo hago via edición de registro (modifico un valor
de una clave). Problema aca si hay, ya que los usuarios (al ser
Informáticos) pueden modificar la clave del registro y habilitar
nuevamente el uso de USB's (flash Memory y otros).
En la estructura del Dominio, todos pertenecen a grupos de seguridad
(grupo usuarios por ej.) y cada cuenta de usuario es administrador local
de su propio PC (todos los PC's clientes tienen Win XP SP2). Esto para
facilitar las tareas de programación y testing que realizan en sus PC's.
Esto es lo que les permite modificar claves de registros, etc.
Mi pregunta: Existe alguna manera de que estos usuarios, sin ser
administradores locales de sus PC's, tengan los permisos necesarios para
realizar normalmente sus tareas de desarrollo, programación y pruebas;
que puedan trabajar con los IIS locales, etc? es decir, quitarles los
permisos Administrativos locales, pero que puedan trabajar sin problemas
(utilizando VStudio.Net se que algunas ocpiones deben acceder a carpetas
del sistema, y a usuarios sin privilegios no se les permite). Cual seria?
o donde puedo encontrar información (una guia practica mucho mejor,
jeje)?

Aprovechando el mismo correo, algunos consejos para una buena (óptima
diría mejor) administración dentro de una infraestructura de Red
Windows???


de antemano mil gracias, y saludos


Luis F.

Gracias por la respuesta Javier..

Elentorno de Maquinas Virtuales, lo estoy pensando Implementar pero a
nivel servicios (o servidores: Ej. Servidor Web, FTP, Testing, etc). Me
apego para aplicar GPO's. Tienes alguna sugerencia específica en cuanto a
esto, o lugar donde puedo encontrar info específica de esto?
Mas que todo me interesa que los usuarios no puedan:
1) Instalar/Desinstalar Aplicaciones (en este punto que herramienta
aconsejas para hacerlo de manera centralizada SMS???)
2) Instalar/Desinstalar Drivers de dispositivos
3) Modificar ciertas claves del registro.


gracias otra vez...

saludos:

Luis F.



"Javier Inglés [MS MVP]" wrote in message
news:

Una solución para eso para por ejemplo por tener un entorno de máquinas
virtuales para desarrollo explícitamente -ya sean servidores para probar
y demás como usando virtualPC por ejemplo en los propios equipos-; lo
malo de esto es el gasto extra que puede suponer las licencias.

Por otro lado, debes tener implementadas las GPO adecuadas siempre para
restrigir al máximo las posibilidades de la persona; se puede dejar a un
desarrollador como usuario normal del equipo y dejarle permisos de
seguridad a nivel de carpetas/archivos que pueda necesitar, y en caso de
tener que tener más privilegios para hacer algo, que lo tenga que
solicitar

Salu2!!
Javier Inglés
https://mvp.support.microsoft.com/p...B5567431B0
MS MVP, Windows Server-Directory Services



"Luis Falch" escribió en el mensaje
news:

Hola a todos...

Alguien puede darme una mano con lo sgte:

Tengo montado un dominio Windows (con AD). El 90 % de los usuarios son
desarrolladores. el otro 10% usuarios administrativos y financieros. Uno
de los principales problemas son los huecos de seguridad (robo de líneas
de cofigo fuente por ejemplo, Información Adm/Contable, etc.) que se
pueden realizar via USB's, FTPs' y algun que otro medio.
Lo de bloqueo de puertos FTP, mail, Internet y otros, lo hago via
Firewall/Router (no problem con este item).
Lo de bloqueo de USB's lo hago via edición de registro (modifico un
valor de una clave). Problema aca si hay, ya que los usuarios (al ser
Informáticos) pueden modificar la clave del registro y habilitar
nuevamente el uso de USB's (flash Memory y otros).
En la estructura del Dominio, todos pertenecen a grupos de seguridad
(grupo usuarios por ej.) y cada cuenta de usuario es administrador local
de su propio PC (todos los PC's clientes tienen Win XP SP2). Esto para
facilitar las tareas de programación y testing que realizan en sus PC's.
Esto es lo que les permite modificar claves de registros, etc.
Mi pregunta: Existe alguna manera de que estos usuarios, sin ser
administradores locales de sus PC's, tengan los permisos necesarios para
realizar normalmente sus tareas de desarrollo, programación y pruebas;
que puedan trabajar con los IIS locales, etc? es decir, quitarles los
permisos Administrativos locales, pero que puedan trabajar sin problemas
(utilizando VStudio.Net se que algunas ocpiones deben acceder a carpetas
del sistema, y a usuarios sin privilegios no se les permite). Cual
seria? o donde puedo encontrar información (una guia practica mucho
mejor, jeje)?

Aprovechando el mismo correo, algunos consejos para una buena (óptima
diría mejor) administración dentro de una infraestructura de Red
Windows???


de antemano mil gracias, y saludos


Luis F.

Para todo lo que dices, basta con dejarles como usuarios normales y
corrientes del PC; luego ya, habría que jugar con el tema de los permisos
si es necesario para ciertas aplicaciones (tanto a nivel de disco como a
nivel de registro como tal).

Para instalar desinstalar, si tienes timepo,dinero e infraestructura, sí,
SMS es una posibilidad, otra puede ser usar también Microsoft SoftGrid; y
la más económica/sencilla, por GPO también publicando las aplicaciones
necesarias

Salu2!!
Javier Inglés
https://mvp.support.microsoft.com/p...B5567431B0
MS MVP, Windows Server-Directory Services



"Luis Falch" escribió en el mensaje
news:

Gracias por la respuesta Javier..

Elentorno de Maquinas Virtuales, lo estoy pensando Implementar pero a
nivel servicios (o servidores: Ej. Servidor Web, FTP, Testing, etc). Me
apego para aplicar GPO's. Tienes alguna sugerencia específica en cuanto a
esto, o lugar donde puedo encontrar info específica de esto?
Mas que todo me interesa que los usuarios no puedan:
1) Instalar/Desinstalar Aplicaciones (en este punto que herramienta
aconsejas para hacerlo de manera centralizada SMS???)
2) Instalar/Desinstalar Drivers de dispositivos
3) Modificar ciertas claves del registro.


gracias otra vez...

saludos:

Luis F.



"Javier Inglés [MS MVP]" wrote in message
news:

Una solución para eso para por ejemplo por tener un entorno de máquinas
virtuales para desarrollo explícitamente -ya sean servidores para probar
y demás como usando virtualPC por ejemplo en los propios equipos-; lo
malo de esto es el gasto extra que puede suponer las licencias.

Por otro lado, debes tener implementadas las GPO adecuadas siempre para
restrigir al máximo las posibilidades de la persona; se puede dejar a un
desarrollador como usuario normal del equipo y dejarle permisos de
seguridad a nivel de carpetas/archivos que pueda necesitar, y en caso de
tener que tener más privilegios para hacer algo, que lo tenga que
solicitar

Salu2!!
Javier Inglés
https://mvp.support.microsoft.com/p...B5567431B0
MS MVP, Windows Server-Directory Services



"Luis Falch" escribió en el mensaje
news:

Hola a todos...

Alguien puede darme una mano con lo sgte:

Tengo montado un dominio Windows (con AD). El 90 % de los usuarios son
desarrolladores. el otro 10% usuarios administrativos y financieros.
Uno de los principales problemas son los huecos de seguridad (robo de
líneas de cofigo fuente por ejemplo, Información Adm/Contable, etc.)
que se pueden realizar via USB's, FTPs' y algun que otro medio.
Lo de bloqueo de puertos FTP, mail, Internet y otros, lo hago via
Firewall/Router (no problem con este item).
Lo de bloqueo de USB's lo hago via edición de registro (modifico un
valor de una clave). Problema aca si hay, ya que los usuarios (al ser
Informáticos) pueden modificar la clave del registro y habilitar
nuevamente el uso de USB's (flash Memory y otros).
En la estructura del Dominio, todos pertenecen a grupos de seguridad
(grupo usuarios por ej.) y cada cuenta de usuario es administrador
local de su propio PC (todos los PC's clientes tienen Win XP SP2). Esto
para facilitar las tareas de programación y testing que realizan en sus
PC's. Esto es lo que les permite modificar claves de registros, etc.
Mi pregunta: Existe alguna manera de que estos usuarios, sin ser
administradores locales de sus PC's, tengan los permisos necesarios
para realizar normalmente sus tareas de desarrollo, programación y
pruebas; que puedan trabajar con los IIS locales, etc? es decir,
quitarles los permisos Administrativos locales, pero que puedan
trabajar sin problemas (utilizando VStudio.Net se que algunas ocpiones
deben acceder a carpetas del sistema, y a usuarios sin privilegios no
se les permite). Cual seria? o donde puedo encontrar información (una
guia practica mucho mejor, jeje)?

Aprovechando el mismo correo, algunos consejos para una buena (óptima
diría mejor) administración dentro de una infraestructura de Red
Windows???


de antemano mil gracias, y saludos


Luis F.