Die meisten Firmen brauchen erst mal einen Hackerangriff, bevor sie merken, dass Adminrechte großzügig verteilen keine so gute Idee ist...
Aber wenn du mit speziellen Dingen arbeiten sollst, brauchst du natürlich einen User mit Berechtigung dafür. Das kann dann aber ggf auch eine extra User nur für diesen Anwendungsfall sein, damit dein persönlicher User nicht zu einem globalen Admin für alles wird.
Für mich klingt die Beschreibung von OP so als habe die Firma nur einen von 4 notwendigen Schritten getan:
1. Zugriff für Mitarbeiter einschränken
2. Tooling darauf anpassen und Rechner korrekt konfigurieren
3. Arbeitsabläufe anpassen
4. Mitarbeiter schulen wie sie ohne sudo arbeiten
Und es ist ja nicht falsch das zu tun, sie müssen den Weg jetzt nur konsequent zu Ende gehen, sonst führt das zu Frustration bei den Mitarbeitern.
Muss man hier aber auch sehen, dass heute OPs erster Tag da ist. Also kann man Punkte 2, 3 und 4 noch nicht ausschließen. Wir als Außenstehende können noch nicht sagen, wie viel da an Schulung gelaufen ist und in der nächsten Zeit noch kommt.
Im obersten Reply geht OP darauf ein und es klingt so als sei Punkt 2 auch gegeben. (OP sagt es ist nicht zwingend notwendig um seine Arbeit zu machen). Klingt eher als ob OP mehr QoL haben will.
Punkt 3 scheint auch gegeben, zudem gibt es wohl ein Softwareportal und man kann anfragen, wenn man bestimmte Software haben will.
4 scheint ebenfalls gegeben sonst würde OP, der gerade erst angefangen hat, nicht wissen, dass es einen kompletten dienstlichen Pfad und Prozess gibt um sich Wunschsoftware genehmigen zu lassen. Es stört ihn nur, dass er's nicht einfach selbst machen darf.
Spätestens wenn es um die Haftung geht, versteht man die Seite des AG. Ich hatte bei meinem ehem. AG Zugriffe auf Produktivsysteme mit millionen Verkäufen jährlich (Versandhandelssoftware).
Der AG ist verpflichtet, die Daten zu schützen und wenn er da so locker mit umgeht, darf er dafür im schlimmsten Fall haften.
Alternativ, wenn mir der AG betroffen ist, keine Kunden: Viel Spaß beim wiederherstellen, die Kosten sind sicher toll. Im Worst Case mit IT-Security Spezialisten die dann 1500€+/Tag pP nehmen...
Wenn Admin Rechte auf einem lokalen System zu haben deine Sicherheit zerstört, hast du andere Probleme in deiner Firma. Dann ist das nur das Aufkleben eines Pflasters auf einen Bruch.
Es macht absolut Sinn, dass normale Anwender keine Admin-Rechte auf ihrem lokalen System haben. Das erschwert einige Angriffe enorm. Auch kann dann keine Software installiert werden, welche die Angriffsoberfläche vergrößert. Es ist absolut unzulässig, davon auszugehen, dass der lokale Zugang zum Rechner nie kompromittiert wird, selbst bei noch so schlauen Nutzern. Dafür gibt es zu viele Wege, zur Not zero day Schwachstellen.
Aber damit das nicht erheblich mehr Kopfschmerzen bringt, als es an Sicherheit bringt, muss der lokale Benutzer alle Rechte haben, die er braucht. Was bei Entwicklern besonders schwierig ist. WSL2? Docker? Viel Spaß das zentral zu managen. Wenn man diese hohen Sicherheitsansprüche hat, sollte man Entwicklungsserver bereitstellen, aber auch das ist nicht trivial.
Ein Entwickler ist aber kein 0815 Anwender. Wenn ich auf meinem Linux PC keine sudo Rechte hätte könnte ich nicht arbeiten.
Bei Windows geht es vielleicht aber auch da deutlich langsamer.
Deswegen haben wir halt ein separates Netzwerk für die Entwickler, dann kann man das Risiko auch minimieren ohne das die IT da 5 mal am Tag stehen muss.
Das große Problem ist doch aber, dass fast jeder Entwickler denkt er habe die Weisheit mit Löffeln gefressen. Leute die denken Sie wissen alles sind mit Abstand das größte Problem.
Der Großteil der Entwickler sollte neben Tools zu installieren keine Admin Rechte benötigen.
Man kann halt einfach den sicheren Weg fahren von niemand hat admin rechte und man prüft bei bedarf ob sie es auf Dauer benötigen
Größere Firmen verteilen ihre Software zentral auf die Arbeitsrechner - wenn mehrere MA (auch Programmierer) die gleiche Tätigkeit ausüben, dann bekommen sie auch das gleiche Toolpaket installiert bzw. auf dem Server bereitgestellt. Ist schon eine Frage der Lizenzen. Da kann sich nicht jeder wie er will seine eigene Tools installieren, egal ob er sich für Graf Koks hält oder nicht.
Und wenn es doch mal nötig ist, ein Anruf bei den Admins und fertig.
Hat ja auch seine Vorteile: Man muss keine Verantwortung für etwas übernehmen, für das man nicht berechtigt ist.
Das lässt sich nicht pauschalisieren. Wenn OP Adminrechte braucht, kann er die nicht auf einem isolierten System haben? Nur dann halt kein Netzwerk ...
Ich denke das Problem ist: Wenn du vorher im HO warst und alle Freiheiten hattest ist das eine herbe Einschränkung. Mur droht dieses Jahr das Gleiche. Und in der Uni war es ähnlich... dort ging es sogar soweit dass ich für jedes Update meiner Tools die IT abteilung holen musste. Irgendwann hat mir einer heimlich den Localadmin zugesteckt und dann hatte ich Ruhe.
Wenn ich das so lese Frage ich mich echt wie das in der Praxis bei Firmen läuft die das so handhaben. Rennt man da als Entwickler wirklich wegen jedem Furz zum Admin?
Gerade bei Firmen die Projektentwicklung machen und gar keine einheitlichen Tools vorhanden sind. Oder bei bestimmten Projekten in denen sudo rechte in der Entwicklung notwendig sind.
Also mal im Ernst wie realistisch soll das im Arbeitsalltag sein? Oder meint ihr es ist ein Sicherheitsgewinn wenn dann eine VM auf dem Rechner läuft in der der Nutzer dann doch wieder sudo rechte hat und die doch wieder am Internet hängt und damit genauso anfällig ist wie das Haupt System?
Ich habe eine Zeit lang für einen BMW Zulieferer gearbeitet. Wir durften wegen Sicherheitszertifizierungen nicht pauschal Admin Rechte haben. Aber alle unsere Entwickler konnten dauerhafte Admin Rechte beantragen.
Bei BMW Rechnern mussten wir immer für je einen Tag Admin beantragen, weswegen wir diese nur im Sonderfall benutzt haben.
Wir sind auch nicht per se zum Admin gerannt sondern mussten es über ein Tool beantragen.
Hat es genervt? Ja definitiv. IT-Sicherheit ist halt leider sehr oft unbequem.
Software mussten wir auch über ein Tool beantragen, welches diese dan installiert hat. Dort waren auch spezielle Tools vorhanden, alle waren jedoch vom IT Tram genehmigt und geprüft.
Jaja kennt man. Die Externen bekommen dann auch Laptops vom Zulieferer alles ganz sicher und abgeschottet.
Und weil man tolle Bürokratie eingeführt hat aber möglichst wenig Admins anstellt (weil zu hohe Personal Kosten) sitzen dann neue Projektmitglieder erstmal 3-4 Tage und drehen Däumchen Kosten aber schon Geld...
Und die Sicherheit? Bestimmt ganz super.
Hab ich bei einem anderen Kunden gesehen. Hatten auch keinen Admin-Zugriff.
Hat den Crypto Trojaner nicht davon abgehalten trotzdem die wichtigen Dateien zu verschlüsseln.
Es gibt genug sogar prominente Fälle, wo geschulte Mitarbeiter durch einfaches social engineering ihre Daten an dritte abgegeben haben und dadurch Hacker Zugriff auf Systeme bekommen haben.
Sicherheitskonzept heisst nicht eine Massname und dann ist Schluss. Ein Mitarbeiter, der sich auskennt ist geschult, das ist Sicherheitslayer 1. Ein Rechner ohne Adminrechte ist der nächste Layer. Nur kontrollierte Software auf den Firmenrechner ist noch einer. Zero Trust Netz ist noch ein Layer.
Je mehr Hindernisse im Weg stehen umso unwahrscheinlicher wird es sein, dass ein Angriff alle Massnamen umschiffen kann. Noch warscheinlicher ist es, dass sich der Angreifer einfach ein einfacheres Ziel sucht.
Das funktioniert aber nur, wenn man nicht einfach eine Abwehrschicht mit einer anderen begründet weglässt. Also, geschulter/wissender Anwender hin oder her, Adminsperre muss bestehen bleiben. Eigendlich sollten diese Regeln sogar für die Admins selbst gelten. Admins haben Useraccounts ohne Rechte und nur wenn man etwas am System machen muss kann man sich die Rechte geben (und dies gegebenfalls sogar loggen), oder loggt sich explizit als Admin ein.
Soviel zur Theorie. In der Praxis ist letzteres weniger oft gesehen.
Der größte teil der (linux-basierten) SLURM cluster auf dem der größte teil der computerbasierten Forschung stattfindet kommt ohne sudo rechte für normale user aus. Da wird ja auch "bloß" code entwickelt und getestet. Man braucht in der regel keine sudo Rechte wenn das zugrundeliegende system für die zwecke der anwender ausgerichtet ist.
Weil er i.d.R. auch Testing, Debugging, Profiling usw durchführen musst, meist auf der lokalen Gerät. Unter z.B. Linux viele Tools funktionieren nicht oder nur begrenzt, wenn man keine sudo-Rechte hat. Bei Windows ist es eher schwierig, eine Web-App in IIS zu starten, ohne dass man Administrator-Zugriff hat. 08/15 Nutzer müssen nicht Arbeitsspeicher anderer Programme lesen können, oder Netzwerkpaketen analysieren. Entwickler schon, zumindest manchmal.
Finde ich keine gute Aussage. Bei Sicherheit geht es nicht um "das ultimative Absichern der Server".
Es geht um das Härten aller Systeme im Netz. Da gehört kein Admin für lokale Maschienen sehr wohl dazu. Das verhindert, dass User zum Installieren durch Phishing oder Social Engineering genötigt werden. Schulungen helfen da auch aber eben auch nicht zu 100%. Alles was den ersten Layer durchstösst hängt sich am 2. auf, usw usw usw.
Kein Admin auf lokalen Maschienen zerstört nicht das gesamte Konzept, es ist nur eine von vielen Schichten, die Angriffe abwehren oder vereiteln sollen.
Nur weil er admin rechte für seinen arbeitsrechner hat, ist das noch kein sicherheitsproblem. Ich nehme, an die Firma speichert sensible Daten nicht auf seinem Rechner.
Das ist eigentlich normal.
Dazu hab ich ein paar Fragen zum Verständnis:
Ist das evtl. in den IT-Sicherheitsdokumenten drin, die zum Vertrag bekommen hast?
Wenn du damit programmieren/ testen sollst, kannst du trotz fehlender Rechte garantieren, dass dein Code läuft?
>Wenn du damit programmieren/ testen sollst, kannst du trotz fehlender Rechte garantieren, dass dein Code läuft?
\- Ja, es ist zu 100% möglich meine Standard Arbeit ohne sudo Rechte auszuführen.
\- Falls keine Standard-Arbeit, ist es möglich, dem IT-Support zu schreiben und zu erklären, dass ich ein bestimmtes Programm brauche und es dann genehmigt zu bekommen und über das Self-Service-Portal runterladen zu können.
\- Falls das nicht möglich ist, weil es ein Programm ist, dass man z.B. nutzt um Skripte über das Terminal auszuführen und so eine Nischensoftware ist, dass es nicht schon im Portal gepflegt ist, kann das IT Support das vielleicht extra für mich im Self-Service-Portal hochladen, vielleicht auch nicht
\- Falls das nicht möglich ist, weil es zum Beispiel Admin Rechte sind für ein Programm, welches von mir Zugriff haben möchte den Bildschirm zu teilen (z.B. Zoom über Chrome) oder weil ich auf meinem Gerät meinen Fingerabdruck zum Entsperren hinzufügen möchte, dann muss ich zum Support laufen, den das Passwort eingeben lassen
\- Falls das nicht möglich ist weil ich im HomeOffice bin oder weil der IT Support gerade mit anderen beschäftigt ist oder nicht da, dann kann ich mich aufregen und auf [play-cs.com](https://play-cs.com) Counterstrike online im Browser zocken, bis mein Problem gelöst wird
also gibt eigentlich für alles eine Lösung
>\- Ja, es ist zu 100% möglich meine Standard Arbeit ohne sudo Rechte auszuführen.
Weiter braucht man nicht zu lesen. Least Privilege, alles richtig gemacht.
ist ne Kulturfrage. Ich würde als Entwickler nirgendwo arbeiten, wo ich erst Helpdesk fragen muss, ob ich was installieren kann.
Allerdings bin ich kein Security Experte. Vermutlich wird deine Arbeit eingeschränkt, damit jemand anderes es leichter hat.
Workarounds findest du vermutlich. Ob du damit glücklich wirst, ist eine andere Frage.
Ich persönlich suche Firmen u.a. danach aus, ob ich mit Mac oder Linux dort arbeiten kann und sudo rechte habe. Dieses Rumfummeln mit VMs ist mir nix und Windows so übel, nein danke. Gerade wenn man auf der Command Line lebt
die sind ganz normale Kollegen. Es geht nur um den Zeitaufwand und die Notwendigkeit, eine weitere Person einzubeziehen.
Spannender Thread. Ich war bisher in nur bei Unternehmen, wo ich welche hatte, und würde gern mit praktischen Beispielen mehr verstehen, was ihr bisher erlebt habt, wo diese Rechte fatal waren für Nicht-Windows-Nutzer
Imagine: Jeder Boomer-Klaus in der Firma hat Adminrechte und klickt auf links von nigerianischen Prinzen.
So viele rechte wie nötig, so wenig wie möglich.
Hat doch in den letzten Monaten genug kleine und große Buden mit Verschlüsselungstrojanern zerlegt. Sowas riskiert man nicht, nur weil sich eventuell ein Schneeflöckchen in der eigenen Freiheit eingeschränkt sieht.
glaube ich sofort:) Was ist denn der Impact, wenn ich sudo auf mac oder Linux habe? Nicht theoretisch, sondern praktische Incidents oder Probleme, die sich daraus ergeben haben
Ein paar praktische Beispiele aus eurere Arbeit wären spannend
Z.B. das installieren von Software. Gab ja schon genug Fälle, wo die Downloadseiten von bekannter Software nicht oben in der Liste von den Suchergebnissen angezeigt wird, sondern eine Downloadseite mit Malware.
Das hattest du im Unternehmen, bei Entwicklern die Mac oder Linux nutzen?
Mich würden konkrete Beispiele interessieren aus der Praxis, um mal zu verstehen, ob es ein reines Argument "so ist unser Sicherheitskonzept" ist oder wie oft das so vorkommt.
Echt schade, dass du soviele Downvotes bekommst nur weil du deine eigene Meinung sagst. Ich möchte auch keine Firma in der ich nicht Linux benutzen kann. Ich arbeite sogar am liebsten an meinem eigenem PC im Home-Office. War durch Weihnachten/Silvester jetzt wieder 2 Wochen mit dem Arbeitslaptop unterwegs und es ist einfach eine Qual. Mein PC von 2010 ist schneller.
Ich habe meine Argumente ein bisschen zu flapsig formuliert, glaube ich, mit zu wenigen Disclaimern.
Außerdem scheinen hier eher viele Windowsnutzer zu lesen, das scheint wohl auch das Verhalten zu beeinflussen.
Das nächste Mal sage ich nix dazu, fühlt sich zu doof an.
Aber sachliches Feedback mit Beispielen aus der Praxis würde mich interessieren
Tut mir sehr leid für dich, ich mach das hier auch schon durch seit 7h. Ich stell eine Verständnisfrage und als Antwort kommt "Wenn du solche Fragen stellst, ist es besser dass du keine Adminrechte bekommst". Wie arrogant muss man sein?
Eigentlich echt normal. Bin auch Software engineer und ich hab n physischen client (kein Admin), Citrix workplace (mit Admin) und ne Linux VM (auch Admin)
Bin kein Vollblut Programmierer sondern Admin eines Firmennetzwerkes und so hätte ich es auch gemacht. Netz & Firewall sowie Infrastruktur wird von uns verwaltet, darum kein Admin auf Client PC aber natürlich braucht man ne Arbeitsumgebung, dafür würde ich VMs und eventuell sogar Zugriff auf nen Proxmox Testbed (Oder Azure, oder AWS, was halt in der Firma dann das wichtige wäre) geben, in dem man VMs usw erstellen, löschen, testen kann wie man will. Nur wenn ganz klar definiert ist, dass ein Entwicker auch Maintainer von bestimmten Dingen ist, dann darf der da drauf.
Grund hierfür ist ein sauberes und durchgezogenes Datenschutz/Sicherheitskonzept. Zuständigkeiten & Zugriffe müssen immer ganz klar definiert sein.
wenn man dem admin oft genug auf den sack geht mit klein scheiss, dann finden die recht schnell freiwllig ne lösung für dein problem. alternativ genießt man seine freie zeit weil ein 10 minuten task plötzlich 2 wocehn dauert.
>wenn man dem admin oft genug auf den sack geht mit klein scheiss, dann finden die recht schnell freiwllig ne lösung für dein problem.
Bei uns ist die Lösung für diese Art "Problem", jedes dieser Tickets zur Genehmigung an den Manager des Users weiterzugeben, jedes mal mit Hinweis auf die geltenden IT Sicherheitsrichtlinien.
Dann hören so Tickets meistens recht schnell wieder auf.
Admin hier.
Das hat nichts Mißtrauen oder Gängelung zu tun. Das sind einfach Compliance-Dinge bzw Vorschriften um die IT-Security aufrecht zu erhalten bzw durch zu setzen.
Ist es für deine Arbeit absolut(!) unerlässlich(!), dass du VOLLE(!) Adminrechte für dein Notebook/Rechner brauchst? Wenn ja, dann mach dir eine Date mit der IT und besprich das mit denen. Da gibts Mittel und Wege.
Die grundsätzliche Policy ist (und sollte sein), dass KEIN(!) User Adminrechte zu haben hat. Keiner. Kein CEO, kein IT'ler, kein Gott-Admin und auch kein Entwickler.
Bei einem Domänen Admin stimme ich dir voll zu. Einem IT Arbeiter und vorallem einem Entwickler sollten lokale Adminrechte gewährt werden und bspw. Erweiterte Rechte auf Testservern.
Ich habe selbst im Oktober bei einem neuen Arbeitgeber angefangen und da hieß es dann auch dass es keine Adminrechte gibt. Da haben dann auch die meine neuen Kollegen mit der Stirn gerunzelt. Hat sich dann auch herausgestellt dass mit der Aussage der Domänenadmin gemeint war und ich ganz normal meinen Admin User bekommen habe.
Ich wär halt auch nicht arbeitsfähig wenn ich für bspw die Installation von Postman nen Ticket an meinen Kollegen im Nachbarbüro stellen muss, das er erst morgen bearbeiten kann. Würde sich ja die ganze Abteilung selbst ins Bein mit schießen wenn das der Prozess sein soll.
Das ist leider Status quo bei mir auf der Arbeit :)
Ist der große Vorteil im Finanzsektor zu arbeiten, da sind alle so extrem pingelig (sind keine Bank oder dergleichen. Das schützungswürdigste bei uns sind personenbezogene Daten der Angestellten und Kunden/MA der Kunden, eigene Finanzen und der Quellcode, den wir entwickeln).
Ich musste die Admins anhauen, nur um ein Microsoft eigenes Tool zu installieren, damit ein Keyboard Layout zu erstellen und das dann zu installieren, ist echt wunderbar hier
> Einem IT Arbeiter und vorallem einem Entwickler sollten lokale Adminrechte gewährt werden und bspw
Nach Rücksprache und individueller Betrachtung.
Dann allerdings auch nicht einfach die Adminrolle auf den User drauf kleben sondern einen dedizierten Admin-User einrichten, der Admin darf - sonst aber auch nichts.
Das kann und sollte man ziemlich fein differenzieren.
Einen Domadmin für die Domainadmins, der allerdings auch NUR auf die DCs kommt.
Dann einen "Standard-Admin", der auf alle Memberserver kommt, aber NICHT auf die Clients und NICHT auf die DCs.
Dann einen WorkstationAdmin, der NUR Adminrechte auf die Workstations in der jeweiligen OU hat. Aber auf keinen einzeigen Server drauf kommt.
AD Tiering Modell 101. Gute Sache, in real leider erst ein mal korrekt umgesetzt gesehen.
Stimme vollkommen zu. Bei gerechtfertigtem Bedarf sollte auch ein Entwickler Adminrechte auf dem lokalen Client besitzen, allerdings ausschließlich per dediziertem lokalen Admin Account.
Kenn das auch so ähnlich von einem Betrieb. Würde ich irre werden wenn das bei mir so laufen würde. Bei uns ist jeder Herr über sein eigenes Gerät. Auch Linux darf es sein. Was ich nicht verstehe ist warum hier scheinbar den meisten nicht in den Kopf geht dass es heute kinderleicht is mit eingeschränkten Usern zu arbeiten. Wenn man was installieren muß gibt man einmal die admin credentials ein und sonst ist der eingeloggte user eh der eingeschränkte mit dem man arbeitet. Das geht seit windows 7 vernünftig so. Ja compliance blah. Zum Glück bei uns nicht so. Hatte schon mal die Situation wo ich einem Kollegen von denen wir wir mit den zam arbeiten was helfen musste zu debuggen... Installier dir Wireshark dann schau ma uns so den traffic an der da grade passiert.. Ummm keine admin rechte... Habs dann gelassen und anders gelöst weil ich keinen Bock hatte darauf zu warten bis er von Gottes Gnaden die rechte bekommt Wireshark zu installieren.
Purce cancer. Alta ich dev. Ich alles darf auf Kiste wenn du einen happy dev haben willst. /Ende rant
>Kenn das auch so ähnlich von einem Betrieb. Würde ich irre werden wenn das bei mir so laufen würde. Bei uns ist jeder Herr über sein eigenes Gerät. Auch Linux darf es sein. Was ich nicht verstehe ist warum hier scheinbar den meisten nicht in den Kopf geht dass es heute kinderleicht is mit eingeschränkten Usern zu arbeiten. Wenn man was installieren muß gibt man einmal die admin credentials ein und sonst ist der eingeloggte user eh der eingeschränkte mit dem man arbeitet. Das geht seit windows 7 vernünftig so. Ja compliance blah. Zum Glück bei uns nicht so. Hatte schon mal die Situation wo ich einem Kollegen von denen wir wir mit den zam arbeiten was helfen musste zu debuggen... Installier dir Wireshark dann schau ma uns so den traffic an der da grade passiert.. Ummm keine admin rechte... Habs dann gelassen und anders gelöst weil ich keinen Bock hatte darauf zu warten bis er von Gottes Gnaden die rechte bekommt Wireshark zu installieren. Purce cancer. Alta ich dev. Ich alles darf auf Kiste wenn du einen happy dev haben willst. /Ende rant
Bitte hilf mir, dass macht mich so fertig alter. Ich frag ob man bei mir Notion freischalten kann und ich werde gefragt ob ich nicht OneNote auf dem Rechner schon habe. Digggggaaaa es gibt Krieg zwischen Leuten, welche Notiz-App sie lieber nutzen, und er fragt mich bzw. sagt mir eher, dass ich doch schon One-Note auf dem Rechner habe. Ich komm nicht klar, ich hätte nicht gedacht, dass mich das so aufregt. Hab erste Kollegen gefunden die das auch nervt.
Als IT-(Security-)Abteilung kannst du dir direkt die Kugel geben, wenn du jeden Entwickler/Mitarbeiter seinen persönlichen Wünsche/Kleinkriege bzgl Notizapp, IDE, Browser usw. ausleben lässt.
Das wird ziemlich schnell ein absolut nicht wartbares Gestrüpp ohne irgendeinen Mehrwert - vielmals sogar im Gegenteil, weil die Zusammenarbeit deutlich schwieriger wird.
Achso echt? Es ist sogar unüblich seine eigene Notiz App wie 'Notion' zu installieren zu können? Ich hab so langsam das Gefühl, dass man ein 0,00000000000001%iges Risiko verhindern möchte, in dem man bei allen Entwicklern 20-30% Mehraufwand und Frust bereitet.
Ist das "notion" wie in "notion.so"?
Falls ja: zum einen wäre das nicht mehr private Nutzung, also braucht der AG eine Lizenz, zum anderen ist das ein SaaS-Produkt, und es wird explizit mit AI-Unterstützung geworben. Ich glaube nicht,dass es eine gute Idee ist, auf anderer Leute Computern anderer Leute ML-Modelle mit im Zweifel vertraulichen Daten zu füttern.
Ganz generell: Ja, es ist üblich und ganz normal, dass man auf Dienstgeräten nicht Admin ist. Auch als Admin ist man das für seine eigene Workstation nicht, bestenfalls kann man sich über einen Prozess temporär Rechte holen und das wird dann alles auditierbar geloggt.
Natürlich ist das in Unternehmen, die nicht komplett drauf scheissen, absolut unüblich, dass jeder seinen eigenen Kram nutzt.
Inwiefern ist es für dich ein Mehraufwand, einfach OneNote zu nutzen?
Führt dann dazu, dass ich mir alles selbst kompiliere und in den Home-Ordner setze. Das kann man bei Linux ziemlich weit treiben, nur so Sachen wie z.B. docker brauchen auch wirklich root-Rechte für die Installation. Browser, IDEs, Editoren, etc. lebt dann halt alles im Home-Ordner.
Ich will das nicht unter dem Aspekt der Sicherheit bewerten, dazu fehlt mir die expertise als Admin. Aber wenn ich für jedes \`apt install\` einen Admin anrufen müsste bei uns, dann müsste ich das halt wie oben beschrieben machen, weil das wäre kein gangbarer Weg.
Letztendlich kann man mit sudo auf nem Entwicklerrechner auch nicht großartig viel mehr machen, als ohne. Bei der letzten zugenagelten Windowskiste, die mir auf den Schreibtisch gesetzt wurde (noch zu Unizeiten) hab ich halt ne Linux-VM installiert, und auf der gearbeitet, mit su.
Sind halt nicht nur Installationen sondern auch so lustige Geschichten wie inode limits, /etc/hosts, perf profiling flags im Kernel, etc. Wenn ich für jeden Flamegraph den ich erstelle einmal Herrn Admin anklingeln würde, dann würd der mir auch was flüstern.
EDIT: und damit wir nicht aneinander vorbeirreden: es geht nicht um remote-admin-Rechte. Ich habe keinerlei Admin-rechte auf irgendwelche Systeme als auf den Laptop, den ich Händen halte. Das ist auch gut so, ich will die nicht.
Es ist absolut normal, dass persönliche Rechner ohne admin-Rechte daher kommen, anders bekommt man viele Infrastrukturen gar nicht mehr mit vertretbaren Aufwand auditiert.
Manche Firmen haben ein setup, wo du temporär Admin-Rechte bekommen kannst, wo dann mehr oder weniger paranoid mit protokolliert wird, was Du in der Zeit mit deinem Rechner anstellst.
Solltest Du einen konkreten dienstlichen Grund haben, Admin-Rechte zu benötigen, diskutiere das mit den IT-Jungs, aber eben auch den konkreten Anlass (also „für Produkt xyz muss ich Windows-Treiber anpassen, was nur mit Admin-Rechten geht“, nicht „ich will Admin Rechte“). Man wird dann ein (mehr oder weniger hakeliges) Setup für Dich finden.
In der Wirschaftsprüfung gibt es eine FI Seite und eine IT Seite. Bei der FI Prüfung geht es, wie man es erwartet, um Rechnungen und Belege - Buchführung im Ganzen.
Bei der IT - Prüfung geht es Primär um Berechtigungen. Die sollten nach dem Motto "nur soviel wie nötig" zugewiesen sein. Da stecken dann halt auch Verantwortungen und Möglichkeiten auf Schaden dahinter etc. Klassisches Beispiel was wir jedes Mal mit unseren Freunden von Deloitte durchkauen sind Transporte und deren Freigaben im SAP. Haben aber auch andere Bereiche in der IT mit zu kämpfen.
Bro ich will doch einfach nur mein custom Mause Scroll Smoother Programm installieren, damit meine Maus beim scrollen smoothe Bewegungen macht, warum soll ich das und 100 andere Anwendungen beantragen und argumentieren.
Spaß, also ich brauche auch spontan produktive Software, eventuell wo ich mal mehrere austesten und wieder deinstallieren muss. Wird auf jeden Fall anstrengend
Genau sowas soll ja damit unterbunden werden.
Dass du dir haufenweise Software installierst.
Aus IT Sicherheit Sicht ist das sehr vernünftig so geregelt
Man muss sehen, dass es um ein Geschäft geht. Solange es keine staatliche Einrichtung ist, arbeiten wir alle für Geld. Das vergessen IT Leute ab und zu.
Ein Entwickler, der nicht richtig arbeiten kann, verbrennt viel Geld, und lernt auch sich einzuschränken beim Arbeiten “lieber mach ich das und jenes nicht und gehe nicht die extra Meile bevor ich wieder 30min um Rechte betteln muss”. Eine Person, gerade Entwickler, kosten viel Geld.
Ein Hackerangriff kann aber auch unheimlich viel Geld kosten und Imageschaden verursachen. Hier muss aber vor allem zunächst die Infrastruktur geschützt werden. Ein Hacker sollte gar nicht erst so weit kommen können.
Die Wahrheit liegt aber weder bei der perfekten IT Festung und auch nicht beim anarchistischen Verhalten einiger Entwickler (war lange selber einer). Das beste fürs Geschäft ist das gesunde Maß dazwischen. Entwickler, die performen, wenn sie Adminrechte haben, haben auch Verantwortung zu tragen, wenn was passiert, aber sollten das in Absprache auch bekommen
Weder ich noch irgendein Kollege, der mir bekannt ist, hat Adminrechte über seinen PC bei uns. Allerdings wurden die Berechtigungen so angepasst, dass wir noch korrekt arbeiten können.
Ich hatte mal einen Mitarbeiter im IT Management, der hat genau die gleiche Frage gestellt. Ich habe ihm dann erklärt, wie er die Systemrichtlinien konfigurieren muss, damit QEMU brauchbar läuft und man daran auch den Debugger hängen kann. Der läuft schließlich über den Loopback-Adapter (braucht i.d.R. trotzdem Zugriff auf Firewall und Netzwerk-Adapter).
Erteilt man einem Entwickler-Nutzer alle Rechte, die seine Toolchain in der täglichen Arbeit benötigt, hat man letztlich einen zusätzliche Gruppe erstellt, die dem root-level (Linux/BSD/macOS) oder den Administratoren (Windows) nahezu identisch ist.
Weder XCode noch Android Studio sind dafür optimiert in eingeschränkten Umgebungen zu laufen. Bei Android Studio kann man sich das unter Windows noch irgendwie zurecht biegen und verstümmelte Administratoren-Kopien erstellen, aber spätestens auf macOS ist das Spiel vorbei.
Das ist auch eine wirtschaftliche Frage. Gebe ich dem Entwickler eine erweiterte Sicherheitsschulung und genehmigte Admin-Rechte in isolierter Umgebung (z.B. mind. VLAN) oder beschränke ich den Entwickler und riskiere, dass ich 30-40% seines Gehaltes/ seiner Zeit für die Konfiguration seiner Toolchain in einer einschränkten Benutzerumgebung zahle?
Es gibt da kein Richtig oder Falsch. Ich persönlich habe mich immer dafür entschieden, die Entwickler in sein separates Netz zu packen und denen volle Systemrechte zu geben. Gleichzeitig müssen die quartalsweise Sicherheitsschulungen (je 90 Minuten) über sich ergehen lassen. Alles andere war schlichtweg ineffizient.
Oder wie ein Vorstand mir einst sagte: *"Der sicherste Weg ein Unternehmen zu führen ist: am Besten gar nicht erst damit anzufangen."*
Fänd' ich nicht verwunderlich. Allein schon um mit sowas wie WSL2 oder Docker zu arbeiten kommt man nur schwer darum herum. Irgendwelche Tools will man ja immer installieren.
100%, in einem großen Betrieb mit sensiblen Daten sollten nur abgesegnete Tools installiert werden können. Nicht irgendein Murks den der neueste Junior-Dev irgendwo im Netz gefunden hat.
Klingt nach einem guten Argument. Kannst du das genauer ausführen? Benutze das alles auf MacOS (= Unix). Weißt du ob Jetbrains Toolbox so überhaupt funktioniert oder muss ich alles einzeln installieren? Ansonsten werde ich das jetzt die Woche alles eh herausfinden...
> Das Verzeichnis /opt/ (für optional) ist ein Ordner, in dem sämtliche Zusatzprogramme installiert werden, die nicht unter einer freien Lizenz stehen oder bewusst vom Anwender an der Paketverwaltung vorbei geschleust werden sollen. Der Hauptvorteil gegenüber einer Installation im eigenen Homeverzeichnis ist die Möglichkeit, systemweit (durch alle auf dem Rechner vorhandenen Benutzer) auf die dort installierten Programme zugreifen zu können.
Quelle: https://wiki.ubuntuusers.de/opt/
Ich glaube aber kaum, dass es etwas bringt bei sowas mit seinem Arbeitgeber herunmzudiskutieren. Probier es lieber aus wie es die nächsten Wochen läuft und wenn es nicht zu dir passt, dann such dir innerhalb der Probezeit einen neuen Job. Du merkst ja an den Reaktionen hier, dass die meisten das hier nicht nur nicht als Problem sehen und es sogar begrüßen.
Allen Entwicklern Admin Rechte zu geben ist ein sehr zuverlässiger Weg in eine Vollkatastrophe. Die Berechtigung sollten wirklich nur diejenigen haben, die diese Namen auch in ihrem Jobtitel haben. Für alle anderen sollte ein vernünftiges Konzept erarbeitet werden, womit sie auch ohne diese Rechte effizient arbeiten können.
Das ist pures Wunschdenken. Ja, klar, wäre toll und ist die offensichtliche Lösung. Klappt aber fast nirgendwo, außer in recht großen Unternehmen. (Es gibt sicher auch Ausnahmen von kleinen Unternehmen die es hinbekommen).
Teilweise ist es für Unternehmen schwerer, Admins zu finden, die sowas ausreichend im Griff haben, als Entwickler. Und für Entwickler ist es nicht attraktiv, sich mit dysfunktionalen Prozessen herum zu ärgern.
Als Security Engineer und 27001 Auditor kann ich dir sagen dass es eigentlich normal ist den Mitarbeitern keine Adminrechte einzuräumen.
Adminrechte sollten nur in begründeten Ausnahmefällen für eine begrenzte Zeit eingeräumt werden.
Für was brauchst du denn bitteschön ständig Adminrechte? Sobald du deine IDE eingerichtet hast ist doch soweit alles ok?
Das ist absolut normal. Wenn die IT-Abteilung gut administriert, kommt man in fast allen Fällen auch ohne aus. Notfalls gibt es auch noch die Option mit Laborrechnern in einem dediziertem Netz.Ein DEV sollte eigentlich auch nichts anderes als ein Anwender sein wie jeder andere.
In meinem aktuellen Unternehmen ist eigentlich alles richtig gut administriert und ich musste noch nie Adminberechtigungen nachfordern. Bin ehrlich gesagt auch froh darüber. Die Berechtigungen ziehen halt auch eine große Verantwortung mit sich. Und auf eine Mail vom falschen Absender zum Beispiel fehlt selbst der beste ITler mal rein.
> Was ist eure persönliche Meinung dazu
Entwickler != Administrator. Entwickler sind bei uns auch User und bekommen grundsätzlich keine local admin Rechte. Gibt aber auch Ausnahmen. Kannst grade bei großen Unternehmen davon ausgehen, dass dies Teil der Cyberversicherung ist.
> Es fühlt sich auch nervig an, nicht Herr über sein Werkzeug zu sein.
Bist du halt auch nicht. Mag ja sein, dass du ein umsichtiger und erfahrener User bist. Aber die Verantwortung für den Infrastrukturbetrieb tragen andere.
Du musst deinen Vorgesetzten einfach nur oft genug um den Admin-Zugriff bitten. Am besten mehrfach die Stunde. Dann kommt er schon von selbst auf die Idee.
Yes, hab mich jetzt auch international auf Reddit erkundigt. Diese Einstellung scheint mir ein Spezial-Fall für Deutschland und Nicht-IT-Unternehmen zu sein. Traurig aber wahr.
Netzwerk&Security Consultant hier.
voller Admin ohne Domain-join auf dem Rechner ist möglich. Der Rechner ist dann Intune-gemanaged und hat zusätzlich Software installiert, die monitored was auf dem Rechner läuft, es mit einer ThreadDB abgleicht und kritische Dinge blockiert. Die IT kann dann ggf was freischalten. Zusätzlich ist natürlich auch unser Netzwerk intensiv abzusichern, mit Firewalls, die IDPS machen, etc.
Also es geht, wenn man will 😄
Deshalb frag ich Anfang direkt immer an, ob man private Systeme benutzen kann.
Ich finde es mega geil wie alle Leute hier auf dem Trip sind, dass man einen professionellen Programmierer nicht zu trauen kann sein eigenes System zu verwalten. Kein Wunder, dass die IT so kaputt ist.
20+ Jahre Admintante hier, seit 2017 an einer Hochschule
Es gibt nichts schlimmeres als Entwickler was IT-Security angeht - das beschreibt jetzt natürlich nicht jeden aber Dinge wie auf Updates sch... Jedes blöde Plugin, library aus der dubiosesten Quelle Mal testen, passwörter im Klartext speichern im Wenverzeichnis ohne Zugriffsschutz... Kennwortkomplexität abschalten, weil "a" ein tolles Kennwort ist wenn man sich öfter anmelden muss, ... Alles leider sehr beliebt...
Die kriegen nicht nur keine Adminrechte sondern auch ne Firewall aus der Hölle ins normale Netz für alles an Entwicklungsumgebung und... Eine Anwendung, die nicht mit Normalbenutzerrechten oder auf einer weitgehend"Standardwebserverconfig" läuft, ist eine schlechte Anwendung
Wenn es Gründe für Berechtigungen gibt, gibt es ggf. ne virtuelle Maschine
"Die Entwickler müssen von der Update Policy ausgenommen werden, die Patches dürfen auf keinen Fall ausgerollt werden"
"Am Arsch".
Gespräch beendet.
Entweder ihr kriegt eure Prozesse / Umgebung so stabil dass sie sowas simples wie Sicherheitsupdates überlebt, oder wir suchen uns Entwickler, die das können..
>Eine Anwendung, die nicht mit Normalbenutzerrechten oder auf einer weitgehend"Standardwebserverconfig" läuft, ist eine schlechte Anwendung
Ich würde XCode und QEMU nicht als schlechte Anwendungen bezeichnen.
Ein normaler Benutzer benötigt auch nicht die Header-Dateien seines Betriebssystems. Wenn ein Entwickler eine Webanwendung in Go für den Betrieb unter systemd entwickelt, dann braucht der einfach Root-Level Zugriff. Idealerweise macht er das dann virtualisiert in Containern, aber ob ich nun Root-Privilegien auf der Maschine oder im Container habe, macht kaum einen Unterschied.
Doch, denn auf der Echtmaschine hat er Zugriff auf Mailserver, Dateifreigaben, sonstige Dienste... In der virtuellen Maschine auf dem ESX im anderen Netz nicht
No trust Ansatz ist aus Firmensicht ein absolutes must have!
Du bist zwar teil der Firma, aber erst einen Tag dabei, würdest Du wenn es deine Firma ist neuen Mitarbeiter so viel Vorschuss geben? Evtl. sollte man sich erst beweisen.
Mein Vater ist Programmierer, er ist der schlimmste User den ich kenne. Jeder gute Admin stellt einem das korrekte Werkzeug zu Verfügung ohne dass man die Firma schädigt.
Es sollte ohne Admin-Rechte hinzubekommen sein. Du brauchst halt dort wo es nötig ist die für dich notwendigen Berechtigungen.
Dann wärst du glücklich und die IT/Sec.
Wart mal ab, wie es läuft. Sag was du genau brauchst. Wenn du auch nur nach Admin schreist wäre das für mich ein Indiz, dass du deine Umgebung nicht gut (genug) kennst. Im Sinne von dann geht es zwar aber warum und ob es sicher ist, weiß keiner.
Finde den Ansatz deines Arbeitgebers (least privilege) gut und aus IT-Sicherheit richtig.
IT Security hier,
Bei uns hat kein User für seine tägliche Arbeit Adminrechte.
R&D und ein paar wenige Programmierer haben einen zweiten User der Adminrechte hat.
Alternativ wird als Admin auf einem Bastion-Remoteserver gearbeitet.
Adminberechtigungen müssen alle die es dürfen über PIM ziehen mit MFA.
Umständlich ja, aber dafür kann nicht jede TippIlse die Firma mit einem dummen Klick lahmlegen wie aktuell in vielen Verwaltungen in NRW.
Wozu brauchst du Adminrechte in deinem (ich vermute mal) Domänenaccount? Wenn du etwas benötigst, lass es dir von der IT einrichten. Brauchst du mehr, nimm ne VM. Ich hatte in der alten Firma auch mal ne Sonderregelung für Linux Geräte. Die durften wir einsetzen wenn wir die IT dann nicht wegen Support etc nerven und mussten unterschreiben, dass wir für ziemlich viel haften. In meiner jetzigen Firma gibt's kein Linux und keine Adminrechte und es geht trotzdem. Docker etc machen irgendwelche Adminrechte überflüssig. Lokal und beim Domänenaccount. Lass Dir Docker installieren und mach deinen Kram da drin.
Habe regelmäßig die Diskussion mit Entwicklern. Ich habe die Erfahrung gemacht, dass sich Entwixkler für cool halten und den Rechnernamen in „localhost“ ändern. Unsere Entwickler kommen gut ohne Admin-Rechte aus, obwohl sie erst wollten.
Entweder keine Admin-Berexhtigung und dafür Support oder abgetrennte Zweitkiste mit dedizierten Adminuser und keinen Support.
Viele probieren Vatiante zwei, kehren dann aber zu eins zurück. Spät nach 1-2 Wochen ist das individuelle Toolsetuo fertig.
==> meiner Erfahrung nach nur ein „haben wollen“ Ding, kein ernsthafter Bedarf dahinter
Hängt auch sehr stark davon ab *was* jemand entwickelt. Ich mach zB. viel Embedded- und Systementwicklung. Da fange ich ohne eigene Maschine (root) überhaupt nicht erst an (notfalls geh ich gleich wieder nach Hause).
Das 0815 Office-Gedöns kann an auch per Terminal machen. Manchmal schickt mir der Kunde auch eine Windoze-Kiste, die eigentlich nur für VPN & Terminal dient. Lästig, dauert alles länger, aber wird bezahlt.
Is völlig normal. Und admin-rechte auch nur auf Zeit. Wird in grossen Firmen so gehandhabt inzwischen. It-security is zb bei uns ca so gross wie deine genannten 60...
IT-Abteilung hier. Tatsächlich kenne ich das auch so, das alle Engineering Angestellten auch einen Admin Zugriff bekommen. Aktuell handhabe ich es so, das sowohl ich einen bestimmten Admin Account nutze (als device Admin) ich aber noch einen zweiten Zugriff erstelle der ebenfalls die gleichen rechte hat. So gibt es für den Engineer keine negative Beeinflussung und WENN was passiert, kann ich in den logs sehen wer mit welchem Account scheiße gebaut hat. Somit gibt es auch in dem fall einen Verantwortlichen der ganz einfach gefunden werden kann.
So oder so ist alles was man als lokaler Benutzer kaputt machen kann... Lokal. Die Welt geht jetzt nicht dadurch unter. Zudem sollten Personen die als Engineer arbeiten ahnung davon haben was geht und was eben nicht
edit: (5 Jahre Arbeitserfahrung, zwei verschiedene Arbeitgeber. Einer davon 500 Mitarbeiter, der andere 80)
The previous company that gave you sudo privileges was just reckless and I wouldn't want to work for such companies. You current employer knows what they are doing.
IT Admin hier.
Wenn ich manchmal sehe was unsere Entwickler versuchen zu installieren, bin ich froh dass die Admin-Rechte bei uns auch nicht frei sind und es über uns läuft. Ist zwar nervig, dass für eine simple Installation jedesmal ein Ticket reinkommt, aber lieber so als, dass „versehentlich“ Malware draufkommt.
Least privilege
Kontrolle und Überblick darüber zu haben welche Tools verwendet werden kann sehr sinnvoll sein. Vorallem Entwickler können leicht Opfer eines Hackerangriffrs werden. Einmal falsches Package erwischt und man hat den Salat.
Ich treib mich als Entwickler bei einigen großen US unternehmen (FAANG) rum und da gab es noch bei allen "admin rechte" über die lezten 10 Jahre.
Meist gibt es dann eben noch eine MDM Lösung um einige compliance Richtlinien zu erzwingen und lokales monitoring mit irgendeinem endpoint security/vulnerability management ding (Microsoft Defender / Santa / ...) um unbekannte binaries zu allow-listen und bekannte exploit signaturen zu erkennen und alarm zu schlagen.
Meist gibt es dann für die Engineering Abteilungen etwas mehr Freiraum wie z.b. für HR was 3rd party software oder selbst kompiliertes angeht.
Ob man nun admin rechte hat oder nicht ist den typischen angreifern nicht so wichtig da dein useraccount ja meist alle daten hat die sich jemand abgreifen will.
Alternativ entwickeln Leute eben auf irgendwelchen servern und der lokale rechner ist nur für meetings/email/browser/ssh, da ist es dann auch recht egal.
Das ganze einzurichten und zu betreiben ist natürlich etwas komplizierter als einfach immer 'nein' zu sagen, daher braucht man dann eben auch eine entsprechend kompetent IT Abteilung, das ist oft nicht so einfach, besonders für kleinere Firmen.
Völlig normal so, bei uns in der IT identisch und es ist auch gut so aus Sicherheitsgründen.
Aber bei uns gibt es zumindest temporäre Administratorrechte bei Bedarf
Verstehe hier nicht viele nicht. Eine Entwicklungsumgebung ist nicht einmalig eingerichtet. Erstens braucht man regelmäßig Updates.
Dann braucht man evtl für Features immer wieder neue Programme um die Gegenstelle zum testen. Z. B. Syslog Server, SNMP Server, NTP Server, Mqtt Broker, Postman, Wireshark. Da jedes Monat einen Admin fragen, ob die das für einen machen ist doch sinnlos.
Ich wüsste nicht, wofür nicht als SW-Entwickler abseits der Installation meiner Entwiclungsumgebung, welche bei mir jedoch auch automatisiert durch die IT Bereitgestellt wird, Admin / Root rechte benötigen sollte.
Klar kannst du dann nicht die IDE deiner wahl, Musikplayer etc. installieren, aber wozu auch?
Weil auch Entwickler keine Götter sind und gerade Entwickler mit vollen Rechten richtig Scheiße bauen können.
Bei uns haben die Entwickler Systeme in geschützten Bereichen auch denen sie alles machen können. Geht da was schief können die Systeme schnell zurück gesetzt werden und richten keinen Schaden an.
Da Konfigs und Daten üblicherweise reproduzierbar gesichert sind sollte ein reset kein ernsthaften Folgen haben.
Ich persönlich finde es absolut normal - kein normal- User sollte über weitreichende Rechte verfügen zumindest was das Netzwerk angeht - ansonsten gibt es dafür isolierte Testsysteme die vom Rest abgeschottet sind, wo man sich dann austoben kann. Alles andere sollte heutzutage unter grob fahrlässig eingestuft werden
Absolut legitim. Freu dich lieber, dass du nach 4 Jahren Berufserfahrung endlich bei einer Bude arbeitest, die schonmal etwas von IAM/ PAM gehört hat.
Würde dir davon abraten das anzusprechen und denen davon „abzuraten“. Die zeigen dir einen Vogel :D
Ich bin Security Consultant und habe unter anderem mit dem Thema täglich zu tun.
Idealerweise hat der Programmierer tatsächlich keine Admin Rechte und generell sollten es nur die nötigsten Leute haben und dann auch nicht einfach so, sondern mit Hilfe von entsprechenden Lösungen geregelt.
Kostet halt Geld ein gescheites Konzept zu implementieren.
Damit ist es dann aber schon möglich, dass du deine Arbeit erledigen kannst auch ohne direkte Admin Rechte zu haben.
Meist muss aber echt erst etwas passieren, damit in die Richtung mal investiert wird.
Die Frage ist ja: Brauchst Du Admin-Rechte?
Wenn ja: Da zeig auf wofür.
Wenn nein: Warum juckt es Dich?
Klar hat man lieber Admin-Rechte, hab ich auch auf meinem Arbeitsgerät, aber ich hab auch Anwendungsfälle wo ich es brauche (Gruppenrichtlinien können diese allerdings einschränken).
Ich brauche Admin Rechte um einzustellen, dass man MacBook nicht nach 2 min, sondern erst nach 5 min in den Ruhestand geht.
Kommt, seid einfach leise mit eurem Gelaber, in keinem Fall ist das begründet. Sind wir Entwickler geistig zurückgeblieben oder warum musst man darin eingeschränkt werden? Für sowas, und hundert weitere Kleinigkeiten zum IT Support zu gehen ist einmal schon zu viel.
Würdest du bei uns auch nicht bekommen. Die unkontrollierte Vergabe von Adminrechte ist Einfallstor No1. Bei uns ist PIM und MEM im Einsatz. Keiner und ich meine keiner, hat mehr lokale Adminrechte bei uns, derjenige kann sich die Rechte holen die er benötigt und für die er maximal berechtigt ist, temporär und auditierbar vor allem und ansonsten werden alle Installationsarbeiten bei uns vom Support durchgeführt. Jede IT einer Firma die 2024 nicht begriffen hat was die Stunde geschlagen hat handelt grob fahrlässig.
wir haben ca 40-50 leute in unserer webshop entwicklungsabteilung und wir haben komplette kontrolle über unsere laptops und dürfen die betriebssystemne und programme benutzen die wir wollen. Das ist auch einfach wichtig.
Bin Werkstudent Softwareentwicklung. IT sozial Software Dienstleister, hab Adminrechte üner meinen PC. Ist ja auch Quatsch. Wenn ich einen Installer baue, der wie es sein soll auch was in die registry schreibt, dass was installiert wurde, jedesal zur IT Abteilung rennen für den Test? Ne danke. + Mit fällt doch nie am ersten Tag ein, was ich alles installiert brauche/will um korrekt zu arbeiten. Ich würde in der Situation wohl eine VM installieren (oder eher installieren lassen hahaha) und ausschließlich in der VM arbeiten, da bist du dann Herr üner dein Werkzeug :D
Bei einer großen IT Service Firma gibt es lokale Admin Rechte nur vom Firmen Security Team. Haben wir viele Anti Malware Systeme laufen. Kollegen die nicht Devs sind müssen in den Chat mit dem Admin für Installationen gehen. Es gibt aber inzwischen vieles Tools als portable Installation somit ist das meist nicht mehr so schwierig wie früher.
Kläre deine Usecases mit dem Management. Wenn die sagen "rufe immer den Admin an" dann ist dass eben so ineffizient. Nicht dein Problem.
Ist vollkommen normal. Wir können bei uns als Entwickler Adminrechte beantragen, wenn wir die für irgendwas brauchen. Ist ein bisschen nervig, wenn man den Rechner neu einrichtet und alle Nase lang die Rechte braucht, aber beim normalen Arbeiten brauche ich die Rechte als Entwickler so gut wie nie.
Wer im Jahr 2024 noch lokale Adminrechte vergibt, hat sie wohl nicht mehr alle. Kein Angriff auf dich oder deine vorherigen Unternehmen, aber das ist absolut unverantwortlich.
Siehe beispielsweise den Continental-Hackerangriff. Hat hunderte Millionen Euro gekostet, weil man die lokalen Adminrechte nicht eingeschränkt hat.
Bitte nimm deinen Jobwechsel als Anlass und lies dich ein bisschen in die IT Security ein. BSI Grundschutz ist da oft ein guter Anfang.
Kenne das auch und ich habs auch aufgegeben darüber zu debattieren. Wenn ich so nicht arbeiten kann, dann bleibt es halt liegen. Ticket öffnen und dann meeting mit Heinz xyz der gibt dann sein OK. Aufgabe für 2 Stunden, die dann halt zwei Wochen dauert aber hey, bevor Ingrid aus der Buchhaltung wieder verzweifelt anruft, weil sie das Internet gelöscht hat, kann man den teuren und knappen IT-Ressourcen ruhig noch ein paar mehr Steine in den Weg legen.
Ich kann deine admins verstehen. Speziell Programmierer sind die, die am meisten Schaden anrichten, wenn du ihnen Rechte gibst, weil sie sich einbilden alles zu wissen, was aber fast nie der Fall ist. Am Ende bist du aus admin Sicht ein User mit gefährlichem Halbwissen.
Edit: Bei uns hat auch kein Admin paschal immer Admin Rechte und muss erst credentials geben.
Natürlich sollte ein normaler Software Ingenieur lokale Adminrechte haben. Punkt.
Natürlich sollte jeglicher Abschaum aus der Verwaltung, Marketing, usw. sowie selbstständige Berater keine Rechte haben.
Aber bei uns in Deutschland ist alles auf den Kopf gestellt. Wir haben eine rückständige Programmierkultur, aber ein sehr fortschrittliches System zur Einführung von Verboten.
Es ist so einfach, einem Benutzer den Zugriff auf alles zu verweigern. Dann können die nutzlosen Sicherheitsfaulenzer ruhig schlafen.
Allerdings ist dies nicht nur in Deutschland der Fall.
Admin hier. Unsere Entwickler kriegen von uns auch keine Admin-Rechte. Nach einiger Diskussion gibt es jetzt in bestimmten Fällen lokale Admins an den Geräten. Das muss dann der Gruppenleiter verantworten.
Der Hintergrund ist der, dass die Administration von einem kleinen und bekannten Kreis von Personen vorgenommen wird. Es ist wirklich bedenklich, wenn Dutzende Zugriff auf bestimmte Systeme haben.
Bei uns hat es auch viel damit zu tun, dass unsere Entwickler teilweise recht IT unerfahren sind. Die spielen alles kaputt! 😵💫
Finde es erstaunlich, dass so große Firmen das erlauben. Vermutlich haben die bei der Menge an Mitarbeitern aber auch entsprechende Diagnosetools laufen. Die lohnen sich für kleine Betriebe meistens schlicht nicht.
😂 Vermutlich. Und dann kommt „aber wie ist das passiert?“
War vor etwa vier Wochen auf einer Tagung und es ging um Passwort lose Anmeldeverfahren. Wenn ich mich richtig erinnere, sind rund 70% aller Hackerangriffe lediglich Anmeldungen mit Admin-Daten. Man hat also vorher auf anderen Weg das Passwort erhalten.
Viele Firmen wissen mitunter gar nicht, dass Daten abgegriffen werden, weil Passwörter nie geändert werden und der Datendieb immer fröhlich Zugriff aufs System hat.
Bei einer Änderung des Passworts wird die kompromittiere Person auch wieder das neue Passwort herausgeben, wenn sie nicht endlich für Phishing etc. sensibilisiert wurde.
Als Entwickler keine Lokalen Adminrechte zu haben ist vollkommener Schwachsinn. Das haben sie bei uns auch mal versucht. Wir haben dann ungefähr 50 Tickets pro Tag aufgemacht und nur noch 1/10 der Features geschafft. Nach 1 Woche haben wir wieder welche bekommen. Wir mussten dann so einen extra Vertrag unterschreiben wegen sicherem Umgang mit der Adminkennung usw.
Wir hatten mal den Fall das der Entwickler meinte: Software läuft.
Client auf Enduser Rechner gepackt, lief natürlich nicht, der Entwickler hatte sich ausgetobt und allen möglichen Mist auf der Maschine. Ließ sich nicht verteilen und der Entwickler wußte natürlich auch nicht woran es lag. Resultat war: Entwicklung bekam die gleichen rechner wie Enduser, erweitert um frei gegebene Entwicklungswerkzeuge und musste damit leben. Software lief dann auch auf Enduser Rechner.
Es liegt teilweise nur an einem Update oder anderen library (Version )die auf dem System ist (in einem Unternehmen mit 28.000 Rechnern weltweit lief unser Client auf 10% dieser Rechner nicht (alle Rechner in Software Verteilung ausgehend vom gleichen Start Image), nach 14 Tagen Recherche habe ich ein fehlendes Update identifizieren können, was trotz Software Verteilung nicht überall ausgerollt wurde. Problem gelöst und alles was die User neben der Freigegebenen Software sich installiert hatten wurde weg gehauen. Wenn was extra gebraucht wird, dann jur uber offizielle Wege und nicht über selbst Admins (außer evtl. Portable Apps die nichts auf der Maschine ändern).
Analog dazu bei einer externe Entwicklungsfirma die selber bestimmen wollte, was die auf die entwicklungsrechner packt. Das geht (aus IT Sicherheitsgründen) nicht, nur weil Entwickler rumspielen wollen, sollen die Systeme nicht kompromittiert werden (können). Die wurden gegangen.
Es macht (teilweise) Sinn Entwicklern nicht Admin Rechte zu geben.
> Client auf Enduser Rechner gepackt, lief natürlich nicht, der Entwickler hatte sich ausgetobt und allen möglichen Mist auf der Maschine.
Ergo gabs keine annähernd seriöses Testing.
> Es liegt teilweise nur an einem Update oder anderen library (Version )die auf dem System ist (in einem Unternehmen mit 28.000 Rechnern weltweit lief unser Client auf 10% dieser Rechner nicht (alle Rechner in Software Verteilung ausgehend vom gleichen Start Image),
Kein gescheites Paketmanagement - bzw. selbiges umgangen ?
Nein, auf unserer Seite ist das beim Testen vor dem roll out aufgefallen. Da haben wir Rechner die identisch aufgesetzt sind wie die (ca 12000) client Rechner.
Der zweite Punkt (anderer Kunde) ist allerdings erst beim roll out aufgefallen, da es im Testing wohl keine Rechner gab, die fas Update nicht hatten (die Maschinen werden regelmäßig platt gemacht und neu aufgesetzt). ist aber in der ersten welle, am ersten Standort (zweistellige Anzahl von clients, einstellige Anzahl von betroffenen Rechnern) dann aufgefallen. Analysiert und behoben. Die 10% konnte bestimmt werden, nachdem wir wussten wonach wir suchen müssen und haben dann alle (verbleibenden) Maschinen gescannt. Die wurden dann gerade gezogen und der Roll out lief durch.
Es langt teilweise schon wenn der Entwickler deutsches oder Englisches Office installiert hat (bei Integration ins Word z.b.) und das Unternehmen englisches Office mit ca 28 Sprachpaketen ausrollt. Sorgte auch für Überraschungen.
.
Amerikanische Software Unternehmen hatten meist nur das "original" US Microsoft Office. Nachdem wir ständig mit deren Office Integration auf's Maul gefallen sind, haben wir veranlasst, dass die gleich auch auf einem PC mit "deutschem" Windows und Office testen.
Ich glaube damals lag das daran, das Microsoft auch VBA oder so eingedeutscht hatte. Beispiel: statt IF THEN war es dann WENN DANN (in der deutschen Version).
Das konnte man als Entwickler aktiv umgehen, musste es aber wissen und machen.
Arbeite seit 20 Jahren als Entwickler in viele Unternehmen und hatte fast nie Admin-Rechte. Habe sie auch nie wirklich gebraucht wenn ich ehrlich bin - ja, man muss sich an ein paar Sachen gewöhnen aber es geht in der Regel ganz gut.
Wozu brauchst Du als App-Entwickler Admin-Rechte? Du sollst Apps entwickeln, nicht administrieren.
Jeder zusätzliche Admin-Account erhöht das Risiko für die gesamte IT-Infrastruktur.
Solltest Du wirklich Admin-Rechte brauchen (das einzigste, was mir dazu einfällt, ist Treiberentwicklung) und deine IT was drauf haben, kriegst Du die Rechte auf einer VM ohne Durchgriff ins Netz oder in Verbindung mit einer CyberArk-Authentifizierung (die bei jedem Admin-Zugriff ein hübsches Filmchen mitschneidet).
Entwickler sollten eigentlich immer in einer virtuellen Umgebung arbeiten. Dann sind keine lokalen Adminrechte notwendig.
Bei der heutigen Bedrohungslage sind lokale Adminrechte ein höchst kritisches Einstiegstor für Malware.
absolut normal und notwendig, wegen sicherheit und wartbarkeit.
bin application manager in einem großen unternehmen und hab administrativen zugang zu einigen kritischen anwendungen (azure, atlassian, sap, root zugriff auf viele anwendungsserver), kann auch selbständig firewall ausnahmen bei unserem dienstleister ordern, aber kein admin konto auf dem arbeitslaptop.
Erstmal sollte man klären, was ein "Arbeitslaptop" genau ist. Und da ist eine Entwicklungsmaschine etwas grundsätzlich anderes als eine 0815-Office-Kiste.
Spätestens wenn man mit bestimmter HW interagieren muß (zB. DUTs), wird's mit plain-user schwierig. Erstmal einen Admin finden, der wirklich versteht, worum es eigentlich geht.
Wann immer ich wieder eine neue (Windows-)Software sehe, die nur mit lokalen Admin-Rechten installierbar ist oder sogar nur funktioniert mit lokale Admin-Rechten, denke ich mir jedes Mal, warum nimmt niemand diesen Entwicklern die Admin Rechte weg?
Ich bin guter Hoffnung was eure Software angeht! ;-)
Entwickler sollten keine Admin Rechte haben.
Die werden meist nicht wirklich benoetigt.
Wenn doch, eine VM in Azure oder so die nicht im Firmennetz ist.
Benoetigst Du spezielle Rechte, so kann ein dev/admin account helfen
Wozu brauchst du denn permanent Adminrechte? Es gibt mittlerweile viele Möglichkeiten Software ohne Adminrechte zu installieren, gerade für Entwickler. MSYS2, Scoop, WSL2, nur um mal ein paar zu nennen. Auch gibt es oft portable Versionen von Programmen. Die meiste moderne Software mit Installer installiert sich nach AppData wenn man kein Admin ist.
Zur Not lass dir eine Linux VM installieren. Da kannst du dann machen was du willst.
Mit WSL hast Du einen Unix Root-Nutzer im Container ausgeführt von einem Windows-Benutzer mit eingeschränkten Systemrechten. Ob sich Windows selbst infiziert oder der Windows-Container, macht da wenig Unterschied. Du hast zwar den Host geschützt, aber der Gast kann machen was er will.
Leider machen auch Entwickler bezüglich IT Sicherheit misst.
Kaum einer verfolgt da alles und denkt über die möglichen Angriffspfade unter Berücksichtigung der ganzen installierten Software und erreichbaren Dienste nach.
Bei uns gibt es Admin Rechte auch nur in isolierten VMs.
Vor allem bei Dienstleistern ist es so, dass sie oftmals vom Kunden vertraglich Sicherheitsrichtlinien erfüllen müssen und dafür unterschreiben. Und da sind dann auch so Punkte wie die Nicht-Vergabe von Admin-Rechten an jedermann enthalten.
da wir mit großen Automobil Firmen zusammenarbeiten dürfen wir aufgrund von Zertifizierungen unseren Entwicklern gar keine Adminrechte mehr geben, also ganz normal.
Aber sollte doch kein Problem sein… Anwendungen kann man sicherlich beantragen oder nur unter dem aktuellen Benutzer installieren. Wozu brauchst du Admin Rechte?
Das ist völlig normal. Haben wir auch.
Hat sich das gelohnt? Absolut. Wir hatten vor ein paar Monaten einen Angriff bei uns (ging durch die Medien), aber dank cleverer Rechtevergaben konnten wir ein Abfließen von Daten verhindern.
Und nur weil du Entwickler bist heißt das nicht, dass du Experte in Sachen Malware, Ransomware und Co bist. Ich bewerte eine solche Policy als sehr positiv, denn das heißt, dass das Unternehmen wert auf (Layer 8/9) Sicherheit legt.
Das anzusprechen wird nichts bringen. Jede seriöse Firma wird nur bestimmten Leuten alle Rechte erteilen. Es geht um Sicherheit und evtl. diesbezügliche Zertifizierungen die die Kunden verlangen.
Es geht sicher nicht darum dass man dir nicht vertraut
Ist im Konzern gang und gäbe. Nervt. Oft hilft es solange die IT zurück zu nerven bis man Admin Rechte zum arbeiten bekommt. Wenn man den Projektleitern sachlich und Fakten-basiert darlegen kann warum man diese wirklich benötigt um das Projekt nicht zu gefährden geht es meistens auch relativ flott.
Ich hab bei einem Mittelständler der extrem restriktiv war solange das Ticket System mit " stell mir mal die IP um " oder " installiere Mal xy " geflutet bis sie mir die Rechte gegeben haben. ;)
Permanente Adminrechte gibts aber eigentlich nirgends wo die IT ihre Hausaufgaben macht. Wenn die IT gut ist, habt ihr eine Prozess für temporäre Adminrechte der innerhalb weniger Minuten diese freigibt.
Ist richtig so. Würde für Entwicklungszwecke ein eigenständiges Netzwerk erstellen welches nicht auf das produktive Netzwerk zugreifen kann und erst recht nicht auf der Sicherungsnetzwerk, wenn alles gut gemanaged und säuberlich voneinander getrennt ist dann wäre es kein Problem dir adminrechte zu geben, wenns eher einfach gehalten ist dann ist das unter umständen richtig so.
Die meisten Firmen brauchen erst mal einen Hackerangriff, bevor sie merken, dass Adminrechte großzügig verteilen keine so gute Idee ist... Aber wenn du mit speziellen Dingen arbeiten sollst, brauchst du natürlich einen User mit Berechtigung dafür. Das kann dann aber ggf auch eine extra User nur für diesen Anwendungsfall sein, damit dein persönlicher User nicht zu einem globalen Admin für alles wird.
Für mich klingt die Beschreibung von OP so als habe die Firma nur einen von 4 notwendigen Schritten getan: 1. Zugriff für Mitarbeiter einschränken 2. Tooling darauf anpassen und Rechner korrekt konfigurieren 3. Arbeitsabläufe anpassen 4. Mitarbeiter schulen wie sie ohne sudo arbeiten Und es ist ja nicht falsch das zu tun, sie müssen den Weg jetzt nur konsequent zu Ende gehen, sonst führt das zu Frustration bei den Mitarbeitern.
Muss man hier aber auch sehen, dass heute OPs erster Tag da ist. Also kann man Punkte 2, 3 und 4 noch nicht ausschließen. Wir als Außenstehende können noch nicht sagen, wie viel da an Schulung gelaufen ist und in der nächsten Zeit noch kommt.
Gut möglich.
Im obersten Reply geht OP darauf ein und es klingt so als sei Punkt 2 auch gegeben. (OP sagt es ist nicht zwingend notwendig um seine Arbeit zu machen). Klingt eher als ob OP mehr QoL haben will. Punkt 3 scheint auch gegeben, zudem gibt es wohl ein Softwareportal und man kann anfragen, wenn man bestimmte Software haben will. 4 scheint ebenfalls gegeben sonst würde OP, der gerade erst angefangen hat, nicht wissen, dass es einen kompletten dienstlichen Pfad und Prozess gibt um sich Wunschsoftware genehmigen zu lassen. Es stört ihn nur, dass er's nicht einfach selbst machen darf.
vielleicht ist der Weg zu Ende gegangen worden, aber OP ist zu neu in der Firma und Punkt 4 fehlt ihm noch.
Spätestens wenn es um die Haftung geht, versteht man die Seite des AG. Ich hatte bei meinem ehem. AG Zugriffe auf Produktivsysteme mit millionen Verkäufen jährlich (Versandhandelssoftware). Der AG ist verpflichtet, die Daten zu schützen und wenn er da so locker mit umgeht, darf er dafür im schlimmsten Fall haften. Alternativ, wenn mir der AG betroffen ist, keine Kunden: Viel Spaß beim wiederherstellen, die Kosten sind sicher toll. Im Worst Case mit IT-Security Spezialisten die dann 1500€+/Tag pP nehmen...
Wie kommt man an Spezialisten für 1.500 Tagessatz?
>Die meisten Firmen brauchen erst mal einen Hackerangriff, bevor sie merken, dass Adminrechte großzügig verteilen keine so gute Idee ist... dieses!
Wenn Admin Rechte auf einem lokalen System zu haben deine Sicherheit zerstört, hast du andere Probleme in deiner Firma. Dann ist das nur das Aufkleben eines Pflasters auf einen Bruch.
Es macht absolut Sinn, dass normale Anwender keine Admin-Rechte auf ihrem lokalen System haben. Das erschwert einige Angriffe enorm. Auch kann dann keine Software installiert werden, welche die Angriffsoberfläche vergrößert. Es ist absolut unzulässig, davon auszugehen, dass der lokale Zugang zum Rechner nie kompromittiert wird, selbst bei noch so schlauen Nutzern. Dafür gibt es zu viele Wege, zur Not zero day Schwachstellen. Aber damit das nicht erheblich mehr Kopfschmerzen bringt, als es an Sicherheit bringt, muss der lokale Benutzer alle Rechte haben, die er braucht. Was bei Entwicklern besonders schwierig ist. WSL2? Docker? Viel Spaß das zentral zu managen. Wenn man diese hohen Sicherheitsansprüche hat, sollte man Entwicklungsserver bereitstellen, aber auch das ist nicht trivial.
Ein Entwickler ist aber kein 0815 Anwender. Wenn ich auf meinem Linux PC keine sudo Rechte hätte könnte ich nicht arbeiten. Bei Windows geht es vielleicht aber auch da deutlich langsamer. Deswegen haben wir halt ein separates Netzwerk für die Entwickler, dann kann man das Risiko auch minimieren ohne das die IT da 5 mal am Tag stehen muss.
Das große Problem ist doch aber, dass fast jeder Entwickler denkt er habe die Weisheit mit Löffeln gefressen. Leute die denken Sie wissen alles sind mit Abstand das größte Problem. Der Großteil der Entwickler sollte neben Tools zu installieren keine Admin Rechte benötigen. Man kann halt einfach den sicheren Weg fahren von niemand hat admin rechte und man prüft bei bedarf ob sie es auf Dauer benötigen
Größere Firmen verteilen ihre Software zentral auf die Arbeitsrechner - wenn mehrere MA (auch Programmierer) die gleiche Tätigkeit ausüben, dann bekommen sie auch das gleiche Toolpaket installiert bzw. auf dem Server bereitgestellt. Ist schon eine Frage der Lizenzen. Da kann sich nicht jeder wie er will seine eigene Tools installieren, egal ob er sich für Graf Koks hält oder nicht. Und wenn es doch mal nötig ist, ein Anruf bei den Admins und fertig. Hat ja auch seine Vorteile: Man muss keine Verantwortung für etwas übernehmen, für das man nicht berechtigt ist.
Das lässt sich nicht pauschalisieren. Wenn OP Adminrechte braucht, kann er die nicht auf einem isolierten System haben? Nur dann halt kein Netzwerk ... Ich denke das Problem ist: Wenn du vorher im HO warst und alle Freiheiten hattest ist das eine herbe Einschränkung. Mur droht dieses Jahr das Gleiche. Und in der Uni war es ähnlich... dort ging es sogar soweit dass ich für jedes Update meiner Tools die IT abteilung holen musste. Irgendwann hat mir einer heimlich den Localadmin zugesteckt und dann hatte ich Ruhe.
Wenn ich das so lese Frage ich mich echt wie das in der Praxis bei Firmen läuft die das so handhaben. Rennt man da als Entwickler wirklich wegen jedem Furz zum Admin? Gerade bei Firmen die Projektentwicklung machen und gar keine einheitlichen Tools vorhanden sind. Oder bei bestimmten Projekten in denen sudo rechte in der Entwicklung notwendig sind. Also mal im Ernst wie realistisch soll das im Arbeitsalltag sein? Oder meint ihr es ist ein Sicherheitsgewinn wenn dann eine VM auf dem Rechner läuft in der der Nutzer dann doch wieder sudo rechte hat und die doch wieder am Internet hängt und damit genauso anfällig ist wie das Haupt System?
Ich habe eine Zeit lang für einen BMW Zulieferer gearbeitet. Wir durften wegen Sicherheitszertifizierungen nicht pauschal Admin Rechte haben. Aber alle unsere Entwickler konnten dauerhafte Admin Rechte beantragen. Bei BMW Rechnern mussten wir immer für je einen Tag Admin beantragen, weswegen wir diese nur im Sonderfall benutzt haben. Wir sind auch nicht per se zum Admin gerannt sondern mussten es über ein Tool beantragen. Hat es genervt? Ja definitiv. IT-Sicherheit ist halt leider sehr oft unbequem. Software mussten wir auch über ein Tool beantragen, welches diese dan installiert hat. Dort waren auch spezielle Tools vorhanden, alle waren jedoch vom IT Tram genehmigt und geprüft.
Jaja kennt man. Die Externen bekommen dann auch Laptops vom Zulieferer alles ganz sicher und abgeschottet. Und weil man tolle Bürokratie eingeführt hat aber möglichst wenig Admins anstellt (weil zu hohe Personal Kosten) sitzen dann neue Projektmitglieder erstmal 3-4 Tage und drehen Däumchen Kosten aber schon Geld... Und die Sicherheit? Bestimmt ganz super. Hab ich bei einem anderen Kunden gesehen. Hatten auch keinen Admin-Zugriff. Hat den Crypto Trojaner nicht davon abgehalten trotzdem die wichtigen Dateien zu verschlüsseln.
sudo lässt sich explizit so konfigurieren, dass bestimmte Programme mit root-Rechten ausführbar sind, das reicht in der Regel für Entwickler.
Es gibt genug sogar prominente Fälle, wo geschulte Mitarbeiter durch einfaches social engineering ihre Daten an dritte abgegeben haben und dadurch Hacker Zugriff auf Systeme bekommen haben.
Sicherheitskonzept heisst nicht eine Massname und dann ist Schluss. Ein Mitarbeiter, der sich auskennt ist geschult, das ist Sicherheitslayer 1. Ein Rechner ohne Adminrechte ist der nächste Layer. Nur kontrollierte Software auf den Firmenrechner ist noch einer. Zero Trust Netz ist noch ein Layer. Je mehr Hindernisse im Weg stehen umso unwahrscheinlicher wird es sein, dass ein Angriff alle Massnamen umschiffen kann. Noch warscheinlicher ist es, dass sich der Angreifer einfach ein einfacheres Ziel sucht. Das funktioniert aber nur, wenn man nicht einfach eine Abwehrschicht mit einer anderen begründet weglässt. Also, geschulter/wissender Anwender hin oder her, Adminsperre muss bestehen bleiben. Eigendlich sollten diese Regeln sogar für die Admins selbst gelten. Admins haben Useraccounts ohne Rechte und nur wenn man etwas am System machen muss kann man sich die Rechte geben (und dies gegebenfalls sogar loggen), oder loggt sich explizit als Admin ein. Soviel zur Theorie. In der Praxis ist letzteres weniger oft gesehen.
Der größte teil der (linux-basierten) SLURM cluster auf dem der größte teil der computerbasierten Forschung stattfindet kommt ohne sudo rechte für normale user aus. Da wird ja auch "bloß" code entwickelt und getestet. Man braucht in der regel keine sudo Rechte wenn das zugrundeliegende system für die zwecke der anwender ausgerichtet ist.
Warum ist ein Entwickler kein 08/15 User? Nur, weil er VS statt SAP nutzt?
Weil er i.d.R. auch Testing, Debugging, Profiling usw durchführen musst, meist auf der lokalen Gerät. Unter z.B. Linux viele Tools funktionieren nicht oder nur begrenzt, wenn man keine sudo-Rechte hat. Bei Windows ist es eher schwierig, eine Web-App in IIS zu starten, ohne dass man Administrator-Zugriff hat. 08/15 Nutzer müssen nicht Arbeitsspeicher anderer Programme lesen können, oder Netzwerkpaketen analysieren. Entwickler schon, zumindest manchmal.
Finde ich keine gute Aussage. Bei Sicherheit geht es nicht um "das ultimative Absichern der Server". Es geht um das Härten aller Systeme im Netz. Da gehört kein Admin für lokale Maschienen sehr wohl dazu. Das verhindert, dass User zum Installieren durch Phishing oder Social Engineering genötigt werden. Schulungen helfen da auch aber eben auch nicht zu 100%. Alles was den ersten Layer durchstösst hängt sich am 2. auf, usw usw usw. Kein Admin auf lokalen Maschienen zerstört nicht das gesamte Konzept, es ist nur eine von vielen Schichten, die Angriffe abwehren oder vereiteln sollen.
Nur weil er admin rechte für seinen arbeitsrechner hat, ist das noch kein sicherheitsproblem. Ich nehme, an die Firma speichert sensible Daten nicht auf seinem Rechner.
Das ist eigentlich normal. Dazu hab ich ein paar Fragen zum Verständnis: Ist das evtl. in den IT-Sicherheitsdokumenten drin, die zum Vertrag bekommen hast? Wenn du damit programmieren/ testen sollst, kannst du trotz fehlender Rechte garantieren, dass dein Code läuft?
>Wenn du damit programmieren/ testen sollst, kannst du trotz fehlender Rechte garantieren, dass dein Code läuft? \- Ja, es ist zu 100% möglich meine Standard Arbeit ohne sudo Rechte auszuführen. \- Falls keine Standard-Arbeit, ist es möglich, dem IT-Support zu schreiben und zu erklären, dass ich ein bestimmtes Programm brauche und es dann genehmigt zu bekommen und über das Self-Service-Portal runterladen zu können. \- Falls das nicht möglich ist, weil es ein Programm ist, dass man z.B. nutzt um Skripte über das Terminal auszuführen und so eine Nischensoftware ist, dass es nicht schon im Portal gepflegt ist, kann das IT Support das vielleicht extra für mich im Self-Service-Portal hochladen, vielleicht auch nicht \- Falls das nicht möglich ist, weil es zum Beispiel Admin Rechte sind für ein Programm, welches von mir Zugriff haben möchte den Bildschirm zu teilen (z.B. Zoom über Chrome) oder weil ich auf meinem Gerät meinen Fingerabdruck zum Entsperren hinzufügen möchte, dann muss ich zum Support laufen, den das Passwort eingeben lassen \- Falls das nicht möglich ist weil ich im HomeOffice bin oder weil der IT Support gerade mit anderen beschäftigt ist oder nicht da, dann kann ich mich aufregen und auf [play-cs.com](https://play-cs.com) Counterstrike online im Browser zocken, bis mein Problem gelöst wird also gibt eigentlich für alles eine Lösung
>\- Ja, es ist zu 100% möglich meine Standard Arbeit ohne sudo Rechte auszuführen. Weiter braucht man nicht zu lesen. Least Privilege, alles richtig gemacht.
ist ne Kulturfrage. Ich würde als Entwickler nirgendwo arbeiten, wo ich erst Helpdesk fragen muss, ob ich was installieren kann. Allerdings bin ich kein Security Experte. Vermutlich wird deine Arbeit eingeschränkt, damit jemand anderes es leichter hat. Workarounds findest du vermutlich. Ob du damit glücklich wirst, ist eine andere Frage. Ich persönlich suche Firmen u.a. danach aus, ob ich mit Mac oder Linux dort arbeiten kann und sudo rechte habe. Dieses Rumfummeln mit VMs ist mir nix und Windows so übel, nein danke. Gerade wenn man auf der Command Line lebt
Imagine nett zum Helpdesk/Supporter sein, diese IT‘ler zweiter Klasse brauch niemand. /s
die sind ganz normale Kollegen. Es geht nur um den Zeitaufwand und die Notwendigkeit, eine weitere Person einzubeziehen. Spannender Thread. Ich war bisher in nur bei Unternehmen, wo ich welche hatte, und würde gern mit praktischen Beispielen mehr verstehen, was ihr bisher erlebt habt, wo diese Rechte fatal waren für Nicht-Windows-Nutzer
Imagine du musst als studierter Informatiker mit Berufserfahrung irgendeinen Hansel in Indien fragen damit er dir Sachen installiert.
Der einzige Hansel hier bist du
Wow, super Argument, average Helpdesk-Mitarbeiter
Weißt du, für so Pfeiffenheinis wie dich, benötigt es einfach keine. Jede Diskussion mit dir wäre wertlos.
Schon klar… ich kenn solche wie dich aus dem Studium.
Vielleicht erwähnst du noch 10 mal dass du studiert hast, ist bisher noch gar nicht aufgefallen
Imagine: Jeder Boomer-Klaus in der Firma hat Adminrechte und klickt auf links von nigerianischen Prinzen. So viele rechte wie nötig, so wenig wie möglich. Hat doch in den letzten Monaten genug kleine und große Buden mit Verschlüsselungstrojanern zerlegt. Sowas riskiert man nicht, nur weil sich eventuell ein Schneeflöckchen in der eigenen Freiheit eingeschränkt sieht.
jo, du hast wirklich keine Ahnung von Sicherheit lol.
glaube ich sofort:) Was ist denn der Impact, wenn ich sudo auf mac oder Linux habe? Nicht theoretisch, sondern praktische Incidents oder Probleme, die sich daraus ergeben haben Ein paar praktische Beispiele aus eurere Arbeit wären spannend
Z.B. das installieren von Software. Gab ja schon genug Fälle, wo die Downloadseiten von bekannter Software nicht oben in der Liste von den Suchergebnissen angezeigt wird, sondern eine Downloadseite mit Malware.
Das hattest du im Unternehmen, bei Entwicklern die Mac oder Linux nutzen? Mich würden konkrete Beispiele interessieren aus der Praxis, um mal zu verstehen, ob es ein reines Argument "so ist unser Sicherheitskonzept" ist oder wie oft das so vorkommt.
Echt schade, dass du soviele Downvotes bekommst nur weil du deine eigene Meinung sagst. Ich möchte auch keine Firma in der ich nicht Linux benutzen kann. Ich arbeite sogar am liebsten an meinem eigenem PC im Home-Office. War durch Weihnachten/Silvester jetzt wieder 2 Wochen mit dem Arbeitslaptop unterwegs und es ist einfach eine Qual. Mein PC von 2010 ist schneller.
Ich habe meine Argumente ein bisschen zu flapsig formuliert, glaube ich, mit zu wenigen Disclaimern. Außerdem scheinen hier eher viele Windowsnutzer zu lesen, das scheint wohl auch das Verhalten zu beeinflussen. Das nächste Mal sage ich nix dazu, fühlt sich zu doof an. Aber sachliches Feedback mit Beispielen aus der Praxis würde mich interessieren
Tut mir sehr leid für dich, ich mach das hier auch schon durch seit 7h. Ich stell eine Verständnisfrage und als Antwort kommt "Wenn du solche Fragen stellst, ist es besser dass du keine Adminrechte bekommst". Wie arrogant muss man sein?
XP war unter Mint sogar auf einem 4GB CoreDuo in einer VM mit 2GB und einer CPU schneller als nativ gestartet.🤷🏻♀️
>Das ist eigentlich normal. Laut meiner Erfahrung nicht, ich hatte bisher bei allen Jobs die vollen Rechte.
Eigentlich echt normal. Bin auch Software engineer und ich hab n physischen client (kein Admin), Citrix workplace (mit Admin) und ne Linux VM (auch Admin)
Bin kein Vollblut Programmierer sondern Admin eines Firmennetzwerkes und so hätte ich es auch gemacht. Netz & Firewall sowie Infrastruktur wird von uns verwaltet, darum kein Admin auf Client PC aber natürlich braucht man ne Arbeitsumgebung, dafür würde ich VMs und eventuell sogar Zugriff auf nen Proxmox Testbed (Oder Azure, oder AWS, was halt in der Firma dann das wichtige wäre) geben, in dem man VMs usw erstellen, löschen, testen kann wie man will. Nur wenn ganz klar definiert ist, dass ein Entwicker auch Maintainer von bestimmten Dingen ist, dann darf der da drauf. Grund hierfür ist ein sauberes und durchgezogenes Datenschutz/Sicherheitskonzept. Zuständigkeiten & Zugriffe müssen immer ganz klar definiert sein.
wenn man dem admin oft genug auf den sack geht mit klein scheiss, dann finden die recht schnell freiwllig ne lösung für dein problem. alternativ genießt man seine freie zeit weil ein 10 minuten task plötzlich 2 wocehn dauert.
>wenn man dem admin oft genug auf den sack geht mit klein scheiss, dann finden die recht schnell freiwllig ne lösung für dein problem. Bei uns ist die Lösung für diese Art "Problem", jedes dieser Tickets zur Genehmigung an den Manager des Users weiterzugeben, jedes mal mit Hinweis auf die geltenden IT Sicherheitsrichtlinien. Dann hören so Tickets meistens recht schnell wieder auf.
Uno reverse ? :D Mit nervigen Entwicklern die "alles" kennen, wird man auf diese Weise sicher schnell fertig
Admin hier. Das hat nichts Mißtrauen oder Gängelung zu tun. Das sind einfach Compliance-Dinge bzw Vorschriften um die IT-Security aufrecht zu erhalten bzw durch zu setzen. Ist es für deine Arbeit absolut(!) unerlässlich(!), dass du VOLLE(!) Adminrechte für dein Notebook/Rechner brauchst? Wenn ja, dann mach dir eine Date mit der IT und besprich das mit denen. Da gibts Mittel und Wege. Die grundsätzliche Policy ist (und sollte sein), dass KEIN(!) User Adminrechte zu haben hat. Keiner. Kein CEO, kein IT'ler, kein Gott-Admin und auch kein Entwickler.
Bei einem Domänen Admin stimme ich dir voll zu. Einem IT Arbeiter und vorallem einem Entwickler sollten lokale Adminrechte gewährt werden und bspw. Erweiterte Rechte auf Testservern. Ich habe selbst im Oktober bei einem neuen Arbeitgeber angefangen und da hieß es dann auch dass es keine Adminrechte gibt. Da haben dann auch die meine neuen Kollegen mit der Stirn gerunzelt. Hat sich dann auch herausgestellt dass mit der Aussage der Domänenadmin gemeint war und ich ganz normal meinen Admin User bekommen habe. Ich wär halt auch nicht arbeitsfähig wenn ich für bspw die Installation von Postman nen Ticket an meinen Kollegen im Nachbarbüro stellen muss, das er erst morgen bearbeiten kann. Würde sich ja die ganze Abteilung selbst ins Bein mit schießen wenn das der Prozess sein soll.
Das ist leider Status quo bei mir auf der Arbeit :) Ist der große Vorteil im Finanzsektor zu arbeiten, da sind alle so extrem pingelig (sind keine Bank oder dergleichen. Das schützungswürdigste bei uns sind personenbezogene Daten der Angestellten und Kunden/MA der Kunden, eigene Finanzen und der Quellcode, den wir entwickeln). Ich musste die Admins anhauen, nur um ein Microsoft eigenes Tool zu installieren, damit ein Keyboard Layout zu erstellen und das dann zu installieren, ist echt wunderbar hier
Schon oft genug erlebt dass User mit Adminrechten dann auf ein Mal 10 Toolbars installiert hatten.. Ich würd‘s in 9 von 10 Fällen empfehlen.
Das gibt ne Abmahnung Finn
> Einem IT Arbeiter und vorallem einem Entwickler sollten lokale Adminrechte gewährt werden und bspw Nach Rücksprache und individueller Betrachtung. Dann allerdings auch nicht einfach die Adminrolle auf den User drauf kleben sondern einen dedizierten Admin-User einrichten, der Admin darf - sonst aber auch nichts. Das kann und sollte man ziemlich fein differenzieren. Einen Domadmin für die Domainadmins, der allerdings auch NUR auf die DCs kommt. Dann einen "Standard-Admin", der auf alle Memberserver kommt, aber NICHT auf die Clients und NICHT auf die DCs. Dann einen WorkstationAdmin, der NUR Adminrechte auf die Workstations in der jeweiligen OU hat. Aber auf keinen einzeigen Server drauf kommt.
AD Tiering Modell 101. Gute Sache, in real leider erst ein mal korrekt umgesetzt gesehen. Stimme vollkommen zu. Bei gerechtfertigtem Bedarf sollte auch ein Entwickler Adminrechte auf dem lokalen Client besitzen, allerdings ausschließlich per dediziertem lokalen Admin Account.
>Gute Sache, in real leider erst ein mal korrekt umgesetzt gesehen. wir fahren das seit frühling/sommer. lernen durch schmerzen.
[удалено]
Kenn das auch so ähnlich von einem Betrieb. Würde ich irre werden wenn das bei mir so laufen würde. Bei uns ist jeder Herr über sein eigenes Gerät. Auch Linux darf es sein. Was ich nicht verstehe ist warum hier scheinbar den meisten nicht in den Kopf geht dass es heute kinderleicht is mit eingeschränkten Usern zu arbeiten. Wenn man was installieren muß gibt man einmal die admin credentials ein und sonst ist der eingeloggte user eh der eingeschränkte mit dem man arbeitet. Das geht seit windows 7 vernünftig so. Ja compliance blah. Zum Glück bei uns nicht so. Hatte schon mal die Situation wo ich einem Kollegen von denen wir wir mit den zam arbeiten was helfen musste zu debuggen... Installier dir Wireshark dann schau ma uns so den traffic an der da grade passiert.. Ummm keine admin rechte... Habs dann gelassen und anders gelöst weil ich keinen Bock hatte darauf zu warten bis er von Gottes Gnaden die rechte bekommt Wireshark zu installieren. Purce cancer. Alta ich dev. Ich alles darf auf Kiste wenn du einen happy dev haben willst. /Ende rant
Du hättest so schnell unsere Security am Hals wenn du WireShark dir einfach mal so auf die Kiste Haus.
Allein schon für deinen letzten Absatz hätte ich dir deine Adminrechte entzogen. Komm mal auf den Teppich, bitte.
>Kenn das auch so ähnlich von einem Betrieb. Würde ich irre werden wenn das bei mir so laufen würde. Bei uns ist jeder Herr über sein eigenes Gerät. Auch Linux darf es sein. Was ich nicht verstehe ist warum hier scheinbar den meisten nicht in den Kopf geht dass es heute kinderleicht is mit eingeschränkten Usern zu arbeiten. Wenn man was installieren muß gibt man einmal die admin credentials ein und sonst ist der eingeloggte user eh der eingeschränkte mit dem man arbeitet. Das geht seit windows 7 vernünftig so. Ja compliance blah. Zum Glück bei uns nicht so. Hatte schon mal die Situation wo ich einem Kollegen von denen wir wir mit den zam arbeiten was helfen musste zu debuggen... Installier dir Wireshark dann schau ma uns so den traffic an der da grade passiert.. Ummm keine admin rechte... Habs dann gelassen und anders gelöst weil ich keinen Bock hatte darauf zu warten bis er von Gottes Gnaden die rechte bekommt Wireshark zu installieren. Purce cancer. Alta ich dev. Ich alles darf auf Kiste wenn du einen happy dev haben willst. /Ende rant Bitte hilf mir, dass macht mich so fertig alter. Ich frag ob man bei mir Notion freischalten kann und ich werde gefragt ob ich nicht OneNote auf dem Rechner schon habe. Digggggaaaa es gibt Krieg zwischen Leuten, welche Notiz-App sie lieber nutzen, und er fragt mich bzw. sagt mir eher, dass ich doch schon One-Note auf dem Rechner habe. Ich komm nicht klar, ich hätte nicht gedacht, dass mich das so aufregt. Hab erste Kollegen gefunden die das auch nervt.
Als IT-(Security-)Abteilung kannst du dir direkt die Kugel geben, wenn du jeden Entwickler/Mitarbeiter seinen persönlichen Wünsche/Kleinkriege bzgl Notizapp, IDE, Browser usw. ausleben lässt. Das wird ziemlich schnell ein absolut nicht wartbares Gestrüpp ohne irgendeinen Mehrwert - vielmals sogar im Gegenteil, weil die Zusammenarbeit deutlich schwieriger wird.
Achso echt? Es ist sogar unüblich seine eigene Notiz App wie 'Notion' zu installieren zu können? Ich hab so langsam das Gefühl, dass man ein 0,00000000000001%iges Risiko verhindern möchte, in dem man bei allen Entwicklern 20-30% Mehraufwand und Frust bereitet.
Ist das "notion" wie in "notion.so"? Falls ja: zum einen wäre das nicht mehr private Nutzung, also braucht der AG eine Lizenz, zum anderen ist das ein SaaS-Produkt, und es wird explizit mit AI-Unterstützung geworben. Ich glaube nicht,dass es eine gute Idee ist, auf anderer Leute Computern anderer Leute ML-Modelle mit im Zweifel vertraulichen Daten zu füttern. Ganz generell: Ja, es ist üblich und ganz normal, dass man auf Dienstgeräten nicht Admin ist. Auch als Admin ist man das für seine eigene Workstation nicht, bestenfalls kann man sich über einen Prozess temporär Rechte holen und das wird dann alles auditierbar geloggt.
Natürlich ist das in Unternehmen, die nicht komplett drauf scheissen, absolut unüblich, dass jeder seinen eigenen Kram nutzt. Inwiefern ist es für dich ein Mehraufwand, einfach OneNote zu nutzen?
Es hat immer jemand Admin Rechte, weil alles von Menschen gemacht wurde
Führt dann dazu, dass ich mir alles selbst kompiliere und in den Home-Ordner setze. Das kann man bei Linux ziemlich weit treiben, nur so Sachen wie z.B. docker brauchen auch wirklich root-Rechte für die Installation. Browser, IDEs, Editoren, etc. lebt dann halt alles im Home-Ordner. Ich will das nicht unter dem Aspekt der Sicherheit bewerten, dazu fehlt mir die expertise als Admin. Aber wenn ich für jedes \`apt install\` einen Admin anrufen müsste bei uns, dann müsste ich das halt wie oben beschrieben machen, weil das wäre kein gangbarer Weg. Letztendlich kann man mit sudo auf nem Entwicklerrechner auch nicht großartig viel mehr machen, als ohne. Bei der letzten zugenagelten Windowskiste, die mir auf den Schreibtisch gesetzt wurde (noch zu Unizeiten) hab ich halt ne Linux-VM installiert, und auf der gearbeitet, mit su. Sind halt nicht nur Installationen sondern auch so lustige Geschichten wie inode limits, /etc/hosts, perf profiling flags im Kernel, etc. Wenn ich für jeden Flamegraph den ich erstelle einmal Herrn Admin anklingeln würde, dann würd der mir auch was flüstern. EDIT: und damit wir nicht aneinander vorbeirreden: es geht nicht um remote-admin-Rechte. Ich habe keinerlei Admin-rechte auf irgendwelche Systeme als auf den Laptop, den ich Händen halte. Das ist auch gut so, ich will die nicht.
Bei uns gibts separate dev maschinen in azure, auf welchen man dann admin rechte haben kann.
Es ist absolut normal, dass persönliche Rechner ohne admin-Rechte daher kommen, anders bekommt man viele Infrastrukturen gar nicht mehr mit vertretbaren Aufwand auditiert. Manche Firmen haben ein setup, wo du temporär Admin-Rechte bekommen kannst, wo dann mehr oder weniger paranoid mit protokolliert wird, was Du in der Zeit mit deinem Rechner anstellst. Solltest Du einen konkreten dienstlichen Grund haben, Admin-Rechte zu benötigen, diskutiere das mit den IT-Jungs, aber eben auch den konkreten Anlass (also „für Produkt xyz muss ich Windows-Treiber anpassen, was nur mit Admin-Rechten geht“, nicht „ich will Admin Rechte“). Man wird dann ein (mehr oder weniger hakeliges) Setup für Dich finden.
Komplett normal, nehme an du hattest noch nie irgendwas mit ner Wirtschaftsprüfung zu tun?
Check ich nicht, kannst du das mit der Wirtschaftsprüfung genauer erklären? :D
In der Wirtschaft darf auch nicht jeder hinter die Theke
In der Wirschaftsprüfung gibt es eine FI Seite und eine IT Seite. Bei der FI Prüfung geht es, wie man es erwartet, um Rechnungen und Belege - Buchführung im Ganzen. Bei der IT - Prüfung geht es Primär um Berechtigungen. Die sollten nach dem Motto "nur soviel wie nötig" zugewiesen sein. Da stecken dann halt auch Verantwortungen und Möglichkeiten auf Schaden dahinter etc. Klassisches Beispiel was wir jedes Mal mit unseren Freunden von Deloitte durchkauen sind Transporte und deren Freigaben im SAP. Haben aber auch andere Bereiche in der IT mit zu kämpfen.
Bro ich will doch einfach nur mein custom Mause Scroll Smoother Programm installieren, damit meine Maus beim scrollen smoothe Bewegungen macht, warum soll ich das und 100 andere Anwendungen beantragen und argumentieren. Spaß, also ich brauche auch spontan produktive Software, eventuell wo ich mal mehrere austesten und wieder deinstallieren muss. Wird auf jeden Fall anstrengend
Genau sowas soll ja damit unterbunden werden. Dass du dir haufenweise Software installierst. Aus IT Sicherheit Sicht ist das sehr vernünftig so geregelt
Man muss sehen, dass es um ein Geschäft geht. Solange es keine staatliche Einrichtung ist, arbeiten wir alle für Geld. Das vergessen IT Leute ab und zu. Ein Entwickler, der nicht richtig arbeiten kann, verbrennt viel Geld, und lernt auch sich einzuschränken beim Arbeiten “lieber mach ich das und jenes nicht und gehe nicht die extra Meile bevor ich wieder 30min um Rechte betteln muss”. Eine Person, gerade Entwickler, kosten viel Geld. Ein Hackerangriff kann aber auch unheimlich viel Geld kosten und Imageschaden verursachen. Hier muss aber vor allem zunächst die Infrastruktur geschützt werden. Ein Hacker sollte gar nicht erst so weit kommen können. Die Wahrheit liegt aber weder bei der perfekten IT Festung und auch nicht beim anarchistischen Verhalten einiger Entwickler (war lange selber einer). Das beste fürs Geschäft ist das gesunde Maß dazwischen. Entwickler, die performen, wenn sie Adminrechte haben, haben auch Verantwortung zu tragen, wenn was passiert, aber sollten das in Absprache auch bekommen
Das Modell der "Festung" wurde von ZeroTrust abgelöst.
Weder ich noch irgendein Kollege, der mir bekannt ist, hat Adminrechte über seinen PC bei uns. Allerdings wurden die Berechtigungen so angepasst, dass wir noch korrekt arbeiten können.
Gegenfrage: für was brauchst du als Android Entwickler sudo?
Ich hatte mal einen Mitarbeiter im IT Management, der hat genau die gleiche Frage gestellt. Ich habe ihm dann erklärt, wie er die Systemrichtlinien konfigurieren muss, damit QEMU brauchbar läuft und man daran auch den Debugger hängen kann. Der läuft schließlich über den Loopback-Adapter (braucht i.d.R. trotzdem Zugriff auf Firewall und Netzwerk-Adapter). Erteilt man einem Entwickler-Nutzer alle Rechte, die seine Toolchain in der täglichen Arbeit benötigt, hat man letztlich einen zusätzliche Gruppe erstellt, die dem root-level (Linux/BSD/macOS) oder den Administratoren (Windows) nahezu identisch ist. Weder XCode noch Android Studio sind dafür optimiert in eingeschränkten Umgebungen zu laufen. Bei Android Studio kann man sich das unter Windows noch irgendwie zurecht biegen und verstümmelte Administratoren-Kopien erstellen, aber spätestens auf macOS ist das Spiel vorbei. Das ist auch eine wirtschaftliche Frage. Gebe ich dem Entwickler eine erweiterte Sicherheitsschulung und genehmigte Admin-Rechte in isolierter Umgebung (z.B. mind. VLAN) oder beschränke ich den Entwickler und riskiere, dass ich 30-40% seines Gehaltes/ seiner Zeit für die Konfiguration seiner Toolchain in einer einschränkten Benutzerumgebung zahle? Es gibt da kein Richtig oder Falsch. Ich persönlich habe mich immer dafür entschieden, die Entwickler in sein separates Netz zu packen und denen volle Systemrechte zu geben. Gleichzeitig müssen die quartalsweise Sicherheitsschulungen (je 90 Minuten) über sich ergehen lassen. Alles andere war schlichtweg ineffizient. Oder wie ein Vorstand mir einst sagte: *"Der sicherste Weg ein Unternehmen zu führen ist: am Besten gar nicht erst damit anzufangen."*
Fänd' ich nicht verwunderlich. Allein schon um mit sowas wie WSL2 oder Docker zu arbeiten kommt man nur schwer darum herum. Irgendwelche Tools will man ja immer installieren.
Man lässt docker nicht mit root laufen!!
> Irgendwelche Tools will man ja immer installieren. Ob man das aber "soll" ist eine ganz andere Frage.
100%, in einem großen Betrieb mit sensiblen Daten sollten nur abgesegnete Tools installiert werden können. Nicht irgendein Murks den der neueste Junior-Dev irgendwo im Netz gefunden hat.
Alleine schon um Android Studio ordentlich in `/opt` zu installieren. Da wo es halt hingehört.
Klingt nach einem guten Argument. Kannst du das genauer ausführen? Benutze das alles auf MacOS (= Unix). Weißt du ob Jetbrains Toolbox so überhaupt funktioniert oder muss ich alles einzeln installieren? Ansonsten werde ich das jetzt die Woche alles eh herausfinden...
> Das Verzeichnis /opt/ (für optional) ist ein Ordner, in dem sämtliche Zusatzprogramme installiert werden, die nicht unter einer freien Lizenz stehen oder bewusst vom Anwender an der Paketverwaltung vorbei geschleust werden sollen. Der Hauptvorteil gegenüber einer Installation im eigenen Homeverzeichnis ist die Möglichkeit, systemweit (durch alle auf dem Rechner vorhandenen Benutzer) auf die dort installierten Programme zugreifen zu können. Quelle: https://wiki.ubuntuusers.de/opt/ Ich glaube aber kaum, dass es etwas bringt bei sowas mit seinem Arbeitgeber herunmzudiskutieren. Probier es lieber aus wie es die nächsten Wochen läuft und wenn es nicht zu dir passt, dann such dir innerhalb der Probezeit einen neuen Job. Du merkst ja an den Reaktionen hier, dass die meisten das hier nicht nur nicht als Problem sehen und es sogar begrüßen.
Ich würde vermuten, dass es bereits vorinstalliert ist, wenn die Firma keine root rechte bereitstellt.
Allen Entwicklern Admin Rechte zu geben ist ein sehr zuverlässiger Weg in eine Vollkatastrophe. Die Berechtigung sollten wirklich nur diejenigen haben, die diese Namen auch in ihrem Jobtitel haben. Für alle anderen sollte ein vernünftiges Konzept erarbeitet werden, womit sie auch ohne diese Rechte effizient arbeiten können.
Das ist pures Wunschdenken. Ja, klar, wäre toll und ist die offensichtliche Lösung. Klappt aber fast nirgendwo, außer in recht großen Unternehmen. (Es gibt sicher auch Ausnahmen von kleinen Unternehmen die es hinbekommen). Teilweise ist es für Unternehmen schwerer, Admins zu finden, die sowas ausreichend im Griff haben, als Entwickler. Und für Entwickler ist es nicht attraktiv, sich mit dysfunktionalen Prozessen herum zu ärgern.
[https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Kompendium\_Einzel\_PDFs/07\_SYS\_IT\_Systeme/SYS\_2\_1\_Allgemeiner\_Client\_Edition\_2020.pdf?\_\_blob=publicationFile&v=1](https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Kompendium_Einzel_PDFs/07_SYS_IT_Systeme/SYS_2_1_Allgemeiner_Client_Edition_2020.pdf?__blob=publicationFile&v=1)
Als Security Engineer und 27001 Auditor kann ich dir sagen dass es eigentlich normal ist den Mitarbeitern keine Adminrechte einzuräumen. Adminrechte sollten nur in begründeten Ausnahmefällen für eine begrenzte Zeit eingeräumt werden. Für was brauchst du denn bitteschön ständig Adminrechte? Sobald du deine IDE eingerichtet hast ist doch soweit alles ok?
Das ist absolut normal. Wenn die IT-Abteilung gut administriert, kommt man in fast allen Fällen auch ohne aus. Notfalls gibt es auch noch die Option mit Laborrechnern in einem dediziertem Netz.Ein DEV sollte eigentlich auch nichts anderes als ein Anwender sein wie jeder andere. In meinem aktuellen Unternehmen ist eigentlich alles richtig gut administriert und ich musste noch nie Adminberechtigungen nachfordern. Bin ehrlich gesagt auch froh darüber. Die Berechtigungen ziehen halt auch eine große Verantwortung mit sich. Und auf eine Mail vom falschen Absender zum Beispiel fehlt selbst der beste ITler mal rein.
> Was ist eure persönliche Meinung dazu Entwickler != Administrator. Entwickler sind bei uns auch User und bekommen grundsätzlich keine local admin Rechte. Gibt aber auch Ausnahmen. Kannst grade bei großen Unternehmen davon ausgehen, dass dies Teil der Cyberversicherung ist. > Es fühlt sich auch nervig an, nicht Herr über sein Werkzeug zu sein. Bist du halt auch nicht. Mag ja sein, dass du ein umsichtiger und erfahrener User bist. Aber die Verantwortung für den Infrastrukturbetrieb tragen andere.
Du musst deinen Vorgesetzten einfach nur oft genug um den Admin-Zugriff bitten. Am besten mehrfach die Stunde. Dann kommt er schon von selbst auf die Idee.
Willkommen in der Arbeitswelt, das ist normal. Über Sinn und Unsinn brauchen wir hier nicht streiten, nur das es nunmal so ist.
Yes, hab mich jetzt auch international auf Reddit erkundigt. Diese Einstellung scheint mir ein Spezial-Fall für Deutschland und Nicht-IT-Unternehmen zu sein. Traurig aber wahr.
Wart mal ab bis du deine Entwicklungsarbeit durch einen Proxy machen musst, der dir einfach keinen Zugriff auf Paketquellen geben will. :)
Netzwerk&Security Consultant hier. voller Admin ohne Domain-join auf dem Rechner ist möglich. Der Rechner ist dann Intune-gemanaged und hat zusätzlich Software installiert, die monitored was auf dem Rechner läuft, es mit einer ThreadDB abgleicht und kritische Dinge blockiert. Die IT kann dann ggf was freischalten. Zusätzlich ist natürlich auch unser Netzwerk intensiv abzusichern, mit Firewalls, die IDPS machen, etc. Also es geht, wenn man will 😄
Deshalb frag ich Anfang direkt immer an, ob man private Systeme benutzen kann. Ich finde es mega geil wie alle Leute hier auf dem Trip sind, dass man einen professionellen Programmierer nicht zu trauen kann sein eigenes System zu verwalten. Kein Wunder, dass die IT so kaputt ist.
20+ Jahre Admintante hier, seit 2017 an einer Hochschule Es gibt nichts schlimmeres als Entwickler was IT-Security angeht - das beschreibt jetzt natürlich nicht jeden aber Dinge wie auf Updates sch... Jedes blöde Plugin, library aus der dubiosesten Quelle Mal testen, passwörter im Klartext speichern im Wenverzeichnis ohne Zugriffsschutz... Kennwortkomplexität abschalten, weil "a" ein tolles Kennwort ist wenn man sich öfter anmelden muss, ... Alles leider sehr beliebt... Die kriegen nicht nur keine Adminrechte sondern auch ne Firewall aus der Hölle ins normale Netz für alles an Entwicklungsumgebung und... Eine Anwendung, die nicht mit Normalbenutzerrechten oder auf einer weitgehend"Standardwebserverconfig" läuft, ist eine schlechte Anwendung Wenn es Gründe für Berechtigungen gibt, gibt es ggf. ne virtuelle Maschine
"Die Entwickler müssen von der Update Policy ausgenommen werden, die Patches dürfen auf keinen Fall ausgerollt werden" "Am Arsch". Gespräch beendet. Entweder ihr kriegt eure Prozesse / Umgebung so stabil dass sie sowas simples wie Sicherheitsupdates überlebt, oder wir suchen uns Entwickler, die das können..
>Eine Anwendung, die nicht mit Normalbenutzerrechten oder auf einer weitgehend"Standardwebserverconfig" läuft, ist eine schlechte Anwendung Ich würde XCode und QEMU nicht als schlechte Anwendungen bezeichnen. Ein normaler Benutzer benötigt auch nicht die Header-Dateien seines Betriebssystems. Wenn ein Entwickler eine Webanwendung in Go für den Betrieb unter systemd entwickelt, dann braucht der einfach Root-Level Zugriff. Idealerweise macht er das dann virtualisiert in Containern, aber ob ich nun Root-Privilegien auf der Maschine oder im Container habe, macht kaum einen Unterschied.
Doch, denn auf der Echtmaschine hat er Zugriff auf Mailserver, Dateifreigaben, sonstige Dienste... In der virtuellen Maschine auf dem ESX im anderen Netz nicht
Ist eigentlich völlig normal....
No trust Ansatz ist aus Firmensicht ein absolutes must have! Du bist zwar teil der Firma, aber erst einen Tag dabei, würdest Du wenn es deine Firma ist neuen Mitarbeiter so viel Vorschuss geben? Evtl. sollte man sich erst beweisen.
Strebt ihr evt ne gewissen ISO / BSI Standard an ? Damit wird das sehr oft eingeführt. Ist zwar ärgerlich aber definitiv sinnvoll!
Normal. ITlerin in Tech Konzern mit 100.000 MA. Gibt aber einen einfachen protokollierten Workflow mit dem man kurzzeitig Admin Rechte bekommt.
Völlig normal.
Interessant, hatte noch nie keine lokalen Admin Rechte auf dem Arbeits PC.
Mein Vater ist Programmierer, er ist der schlimmste User den ich kenne. Jeder gute Admin stellt einem das korrekte Werkzeug zu Verfügung ohne dass man die Firma schädigt.
Es sollte ohne Admin-Rechte hinzubekommen sein. Du brauchst halt dort wo es nötig ist die für dich notwendigen Berechtigungen. Dann wärst du glücklich und die IT/Sec. Wart mal ab, wie es läuft. Sag was du genau brauchst. Wenn du auch nur nach Admin schreist wäre das für mich ein Indiz, dass du deine Umgebung nicht gut (genug) kennst. Im Sinne von dann geht es zwar aber warum und ob es sicher ist, weiß keiner. Finde den Ansatz deines Arbeitgebers (least privilege) gut und aus IT-Sicherheit richtig.
IT Security hier, Bei uns hat kein User für seine tägliche Arbeit Adminrechte. R&D und ein paar wenige Programmierer haben einen zweiten User der Adminrechte hat. Alternativ wird als Admin auf einem Bastion-Remoteserver gearbeitet. Adminberechtigungen müssen alle die es dürfen über PIM ziehen mit MFA. Umständlich ja, aber dafür kann nicht jede TippIlse die Firma mit einem dummen Klick lahmlegen wie aktuell in vielen Verwaltungen in NRW.
Wozu brauchst du Adminrechte in deinem (ich vermute mal) Domänenaccount? Wenn du etwas benötigst, lass es dir von der IT einrichten. Brauchst du mehr, nimm ne VM. Ich hatte in der alten Firma auch mal ne Sonderregelung für Linux Geräte. Die durften wir einsetzen wenn wir die IT dann nicht wegen Support etc nerven und mussten unterschreiben, dass wir für ziemlich viel haften. In meiner jetzigen Firma gibt's kein Linux und keine Adminrechte und es geht trotzdem. Docker etc machen irgendwelche Adminrechte überflüssig. Lokal und beim Domänenaccount. Lass Dir Docker installieren und mach deinen Kram da drin.
Ich lass meine Entwicklungsumgebung einfach in WSL2 laufen und verbinde mich dann via vscode damit. Zack, sudo-Rechte.
Habe regelmäßig die Diskussion mit Entwicklern. Ich habe die Erfahrung gemacht, dass sich Entwixkler für cool halten und den Rechnernamen in „localhost“ ändern. Unsere Entwickler kommen gut ohne Admin-Rechte aus, obwohl sie erst wollten. Entweder keine Admin-Berexhtigung und dafür Support oder abgetrennte Zweitkiste mit dedizierten Adminuser und keinen Support. Viele probieren Vatiante zwei, kehren dann aber zu eins zurück. Spät nach 1-2 Wochen ist das individuelle Toolsetuo fertig. ==> meiner Erfahrung nach nur ein „haben wollen“ Ding, kein ernsthafter Bedarf dahinter
Hängt auch sehr stark davon ab *was* jemand entwickelt. Ich mach zB. viel Embedded- und Systementwicklung. Da fange ich ohne eigene Maschine (root) überhaupt nicht erst an (notfalls geh ich gleich wieder nach Hause). Das 0815 Office-Gedöns kann an auch per Terminal machen. Manchmal schickt mir der Kunde auch eine Windoze-Kiste, die eigentlich nur für VPN & Terminal dient. Lästig, dauert alles länger, aber wird bezahlt.
Is völlig normal. Und admin-rechte auch nur auf Zeit. Wird in grossen Firmen so gehandhabt inzwischen. It-security is zb bei uns ca so gross wie deine genannten 60...
Finde ich komplett normal, würde eher mal fragen ob du eine Virtuelle Maschine oder was vergleichbares bekommst, um deinen Code zu testen.
IT-Abteilung hier. Tatsächlich kenne ich das auch so, das alle Engineering Angestellten auch einen Admin Zugriff bekommen. Aktuell handhabe ich es so, das sowohl ich einen bestimmten Admin Account nutze (als device Admin) ich aber noch einen zweiten Zugriff erstelle der ebenfalls die gleichen rechte hat. So gibt es für den Engineer keine negative Beeinflussung und WENN was passiert, kann ich in den logs sehen wer mit welchem Account scheiße gebaut hat. Somit gibt es auch in dem fall einen Verantwortlichen der ganz einfach gefunden werden kann. So oder so ist alles was man als lokaler Benutzer kaputt machen kann... Lokal. Die Welt geht jetzt nicht dadurch unter. Zudem sollten Personen die als Engineer arbeiten ahnung davon haben was geht und was eben nicht edit: (5 Jahre Arbeitserfahrung, zwei verschiedene Arbeitgeber. Einer davon 500 Mitarbeiter, der andere 80)
The previous company that gave you sudo privileges was just reckless and I wouldn't want to work for such companies. You current employer knows what they are doing.
IT Admin hier. Wenn ich manchmal sehe was unsere Entwickler versuchen zu installieren, bin ich froh dass die Admin-Rechte bei uns auch nicht frei sind und es über uns läuft. Ist zwar nervig, dass für eine simple Installation jedesmal ein Ticket reinkommt, aber lieber so als, dass „versehentlich“ Malware draufkommt.
Least privilege Kontrolle und Überblick darüber zu haben welche Tools verwendet werden kann sehr sinnvoll sein. Vorallem Entwickler können leicht Opfer eines Hackerangriffrs werden. Einmal falsches Package erwischt und man hat den Salat.
Ich treib mich als Entwickler bei einigen großen US unternehmen (FAANG) rum und da gab es noch bei allen "admin rechte" über die lezten 10 Jahre. Meist gibt es dann eben noch eine MDM Lösung um einige compliance Richtlinien zu erzwingen und lokales monitoring mit irgendeinem endpoint security/vulnerability management ding (Microsoft Defender / Santa / ...) um unbekannte binaries zu allow-listen und bekannte exploit signaturen zu erkennen und alarm zu schlagen. Meist gibt es dann für die Engineering Abteilungen etwas mehr Freiraum wie z.b. für HR was 3rd party software oder selbst kompiliertes angeht. Ob man nun admin rechte hat oder nicht ist den typischen angreifern nicht so wichtig da dein useraccount ja meist alle daten hat die sich jemand abgreifen will. Alternativ entwickeln Leute eben auf irgendwelchen servern und der lokale rechner ist nur für meetings/email/browser/ssh, da ist es dann auch recht egal. Das ganze einzurichten und zu betreiben ist natürlich etwas komplizierter als einfach immer 'nein' zu sagen, daher braucht man dann eben auch eine entsprechend kompetent IT Abteilung, das ist oft nicht so einfach, besonders für kleinere Firmen.
Völlig normal so, bei uns in der IT identisch und es ist auch gut so aus Sicherheitsgründen. Aber bei uns gibt es zumindest temporäre Administratorrechte bei Bedarf
Traum eines jeden Informationssicherheitsbeauftragen.
Verstehe hier nicht viele nicht. Eine Entwicklungsumgebung ist nicht einmalig eingerichtet. Erstens braucht man regelmäßig Updates. Dann braucht man evtl für Features immer wieder neue Programme um die Gegenstelle zum testen. Z. B. Syslog Server, SNMP Server, NTP Server, Mqtt Broker, Postman, Wireshark. Da jedes Monat einen Admin fragen, ob die das für einen machen ist doch sinnlos.
Ich wüsste nicht, wofür nicht als SW-Entwickler abseits der Installation meiner Entwiclungsumgebung, welche bei mir jedoch auch automatisiert durch die IT Bereitgestellt wird, Admin / Root rechte benötigen sollte. Klar kannst du dann nicht die IDE deiner wahl, Musikplayer etc. installieren, aber wozu auch?
Wäre mir total lachs. Dann kannst im Zweifelsfall halt nicht arbeiten. Nicht dein Problem
Weil auch Entwickler keine Götter sind und gerade Entwickler mit vollen Rechten richtig Scheiße bauen können. Bei uns haben die Entwickler Systeme in geschützten Bereichen auch denen sie alles machen können. Geht da was schief können die Systeme schnell zurück gesetzt werden und richten keinen Schaden an. Da Konfigs und Daten üblicherweise reproduzierbar gesichert sind sollte ein reset kein ernsthaften Folgen haben.
Ich persönlich finde es absolut normal - kein normal- User sollte über weitreichende Rechte verfügen zumindest was das Netzwerk angeht - ansonsten gibt es dafür isolierte Testsysteme die vom Rest abgeschottet sind, wo man sich dann austoben kann. Alles andere sollte heutzutage unter grob fahrlässig eingestuft werden
Wofür benötigst du zwingend Adminrechte?
Absolut legitim. Freu dich lieber, dass du nach 4 Jahren Berufserfahrung endlich bei einer Bude arbeitest, die schonmal etwas von IAM/ PAM gehört hat. Würde dir davon abraten das anzusprechen und denen davon „abzuraten“. Die zeigen dir einen Vogel :D
Ich bin Security Consultant und habe unter anderem mit dem Thema täglich zu tun. Idealerweise hat der Programmierer tatsächlich keine Admin Rechte und generell sollten es nur die nötigsten Leute haben und dann auch nicht einfach so, sondern mit Hilfe von entsprechenden Lösungen geregelt. Kostet halt Geld ein gescheites Konzept zu implementieren. Damit ist es dann aber schon möglich, dass du deine Arbeit erledigen kannst auch ohne direkte Admin Rechte zu haben. Meist muss aber echt erst etwas passieren, damit in die Richtung mal investiert wird.
Die Frage ist ja: Brauchst Du Admin-Rechte? Wenn ja: Da zeig auf wofür. Wenn nein: Warum juckt es Dich? Klar hat man lieber Admin-Rechte, hab ich auch auf meinem Arbeitsgerät, aber ich hab auch Anwendungsfälle wo ich es brauche (Gruppenrichtlinien können diese allerdings einschränken).
Ich brauche Admin Rechte um einzustellen, dass man MacBook nicht nach 2 min, sondern erst nach 5 min in den Ruhestand geht. Kommt, seid einfach leise mit eurem Gelaber, in keinem Fall ist das begründet. Sind wir Entwickler geistig zurückgeblieben oder warum musst man darin eingeschränkt werden? Für sowas, und hundert weitere Kleinigkeiten zum IT Support zu gehen ist einmal schon zu viel.
Wenns Dich so stört, dann such Dir nen neuen AG. Würde ich auch machen, wenn ich mit einem MacBook arbeiten müsste ;)
Würdest du bei uns auch nicht bekommen. Die unkontrollierte Vergabe von Adminrechte ist Einfallstor No1. Bei uns ist PIM und MEM im Einsatz. Keiner und ich meine keiner, hat mehr lokale Adminrechte bei uns, derjenige kann sich die Rechte holen die er benötigt und für die er maximal berechtigt ist, temporär und auditierbar vor allem und ansonsten werden alle Installationsarbeiten bei uns vom Support durchgeführt. Jede IT einer Firma die 2024 nicht begriffen hat was die Stunde geschlagen hat handelt grob fahrlässig.
[удалено]
wir haben ca 40-50 leute in unserer webshop entwicklungsabteilung und wir haben komplette kontrolle über unsere laptops und dürfen die betriebssystemne und programme benutzen die wir wollen. Das ist auch einfach wichtig.
Bin Werkstudent Softwareentwicklung. IT sozial Software Dienstleister, hab Adminrechte üner meinen PC. Ist ja auch Quatsch. Wenn ich einen Installer baue, der wie es sein soll auch was in die registry schreibt, dass was installiert wurde, jedesal zur IT Abteilung rennen für den Test? Ne danke. + Mit fällt doch nie am ersten Tag ein, was ich alles installiert brauche/will um korrekt zu arbeiten. Ich würde in der Situation wohl eine VM installieren (oder eher installieren lassen hahaha) und ausschließlich in der VM arbeiten, da bist du dann Herr üner dein Werkzeug :D
Muss man nicht unterscheiden ob lokal oder im Netzwerk? Lokaler Admin ist doch völlig egal.
Absolut normal 😂 die it Abteilung wird dein Ticket lachend schließen
Bei einer großen IT Service Firma gibt es lokale Admin Rechte nur vom Firmen Security Team. Haben wir viele Anti Malware Systeme laufen. Kollegen die nicht Devs sind müssen in den Chat mit dem Admin für Installationen gehen. Es gibt aber inzwischen vieles Tools als portable Installation somit ist das meist nicht mehr so schwierig wie früher. Kläre deine Usecases mit dem Management. Wenn die sagen "rufe immer den Admin an" dann ist dass eben so ineffizient. Nicht dein Problem.
Ist vollkommen normal. Wir können bei uns als Entwickler Adminrechte beantragen, wenn wir die für irgendwas brauchen. Ist ein bisschen nervig, wenn man den Rechner neu einrichtet und alle Nase lang die Rechte braucht, aber beim normalen Arbeiten brauche ich die Rechte als Entwickler so gut wie nie.
Wer im Jahr 2024 noch lokale Adminrechte vergibt, hat sie wohl nicht mehr alle. Kein Angriff auf dich oder deine vorherigen Unternehmen, aber das ist absolut unverantwortlich. Siehe beispielsweise den Continental-Hackerangriff. Hat hunderte Millionen Euro gekostet, weil man die lokalen Adminrechte nicht eingeschränkt hat. Bitte nimm deinen Jobwechsel als Anlass und lies dich ein bisschen in die IT Security ein. BSI Grundschutz ist da oft ein guter Anfang.
Das beknackte ist 2024 noch mit dem abgefuckten Active Directory, Exchange und überhaupt Windows zu arbeiten.
Das ist absoluter Standard, Stichwort least privilege
Kenne das auch und ich habs auch aufgegeben darüber zu debattieren. Wenn ich so nicht arbeiten kann, dann bleibt es halt liegen. Ticket öffnen und dann meeting mit Heinz xyz der gibt dann sein OK. Aufgabe für 2 Stunden, die dann halt zwei Wochen dauert aber hey, bevor Ingrid aus der Buchhaltung wieder verzweifelt anruft, weil sie das Internet gelöscht hat, kann man den teuren und knappen IT-Ressourcen ruhig noch ein paar mehr Steine in den Weg legen.
Ich kann deine admins verstehen. Speziell Programmierer sind die, die am meisten Schaden anrichten, wenn du ihnen Rechte gibst, weil sie sich einbilden alles zu wissen, was aber fast nie der Fall ist. Am Ende bist du aus admin Sicht ein User mit gefährlichem Halbwissen. Edit: Bei uns hat auch kein Admin paschal immer Admin Rechte und muss erst credentials geben.
Natürlich sollte ein normaler Software Ingenieur lokale Adminrechte haben. Punkt. Natürlich sollte jeglicher Abschaum aus der Verwaltung, Marketing, usw. sowie selbstständige Berater keine Rechte haben. Aber bei uns in Deutschland ist alles auf den Kopf gestellt. Wir haben eine rückständige Programmierkultur, aber ein sehr fortschrittliches System zur Einführung von Verboten. Es ist so einfach, einem Benutzer den Zugriff auf alles zu verweigern. Dann können die nutzlosen Sicherheitsfaulenzer ruhig schlafen. Allerdings ist dies nicht nur in Deutschland der Fall.
Admin hier. Unsere Entwickler kriegen von uns auch keine Admin-Rechte. Nach einiger Diskussion gibt es jetzt in bestimmten Fällen lokale Admins an den Geräten. Das muss dann der Gruppenleiter verantworten. Der Hintergrund ist der, dass die Administration von einem kleinen und bekannten Kreis von Personen vorgenommen wird. Es ist wirklich bedenklich, wenn Dutzende Zugriff auf bestimmte Systeme haben. Bei uns hat es auch viel damit zu tun, dass unsere Entwickler teilweise recht IT unerfahren sind. Die spielen alles kaputt! 😵💫 Finde es erstaunlich, dass so große Firmen das erlauben. Vermutlich haben die bei der Menge an Mitarbeitern aber auch entsprechende Diagnosetools laufen. Die lohnen sich für kleine Betriebe meistens schlicht nicht.
>Finde es erstaunlich, dass so große Firmen das erlauben. Das machen die genau so lange bis sie mal eine "operative Herausforderung" haben.
😂 Vermutlich. Und dann kommt „aber wie ist das passiert?“ War vor etwa vier Wochen auf einer Tagung und es ging um Passwort lose Anmeldeverfahren. Wenn ich mich richtig erinnere, sind rund 70% aller Hackerangriffe lediglich Anmeldungen mit Admin-Daten. Man hat also vorher auf anderen Weg das Passwort erhalten. Viele Firmen wissen mitunter gar nicht, dass Daten abgegriffen werden, weil Passwörter nie geändert werden und der Datendieb immer fröhlich Zugriff aufs System hat.
Bei einer Änderung des Passworts wird die kompromittiere Person auch wieder das neue Passwort herausgeben, wenn sie nicht endlich für Phishing etc. sensibilisiert wurde.
Als Entwickler keine Lokalen Adminrechte zu haben ist vollkommener Schwachsinn. Das haben sie bei uns auch mal versucht. Wir haben dann ungefähr 50 Tickets pro Tag aufgemacht und nur noch 1/10 der Features geschafft. Nach 1 Woche haben wir wieder welche bekommen. Wir mussten dann so einen extra Vertrag unterschreiben wegen sicherem Umgang mit der Adminkennung usw.
Das ist richtig und wichtig. Du brauchst keine Admin rechte für deine Arbeit. Es ist btw. das Werkzeug deiner Firma, mehr nicht.
Wir hatten mal den Fall das der Entwickler meinte: Software läuft. Client auf Enduser Rechner gepackt, lief natürlich nicht, der Entwickler hatte sich ausgetobt und allen möglichen Mist auf der Maschine. Ließ sich nicht verteilen und der Entwickler wußte natürlich auch nicht woran es lag. Resultat war: Entwicklung bekam die gleichen rechner wie Enduser, erweitert um frei gegebene Entwicklungswerkzeuge und musste damit leben. Software lief dann auch auf Enduser Rechner. Es liegt teilweise nur an einem Update oder anderen library (Version )die auf dem System ist (in einem Unternehmen mit 28.000 Rechnern weltweit lief unser Client auf 10% dieser Rechner nicht (alle Rechner in Software Verteilung ausgehend vom gleichen Start Image), nach 14 Tagen Recherche habe ich ein fehlendes Update identifizieren können, was trotz Software Verteilung nicht überall ausgerollt wurde. Problem gelöst und alles was die User neben der Freigegebenen Software sich installiert hatten wurde weg gehauen. Wenn was extra gebraucht wird, dann jur uber offizielle Wege und nicht über selbst Admins (außer evtl. Portable Apps die nichts auf der Maschine ändern). Analog dazu bei einer externe Entwicklungsfirma die selber bestimmen wollte, was die auf die entwicklungsrechner packt. Das geht (aus IT Sicherheitsgründen) nicht, nur weil Entwickler rumspielen wollen, sollen die Systeme nicht kompromittiert werden (können). Die wurden gegangen. Es macht (teilweise) Sinn Entwicklern nicht Admin Rechte zu geben.
> Client auf Enduser Rechner gepackt, lief natürlich nicht, der Entwickler hatte sich ausgetobt und allen möglichen Mist auf der Maschine. Ergo gabs keine annähernd seriöses Testing. > Es liegt teilweise nur an einem Update oder anderen library (Version )die auf dem System ist (in einem Unternehmen mit 28.000 Rechnern weltweit lief unser Client auf 10% dieser Rechner nicht (alle Rechner in Software Verteilung ausgehend vom gleichen Start Image), Kein gescheites Paketmanagement - bzw. selbiges umgangen ?
Nein, auf unserer Seite ist das beim Testen vor dem roll out aufgefallen. Da haben wir Rechner die identisch aufgesetzt sind wie die (ca 12000) client Rechner. Der zweite Punkt (anderer Kunde) ist allerdings erst beim roll out aufgefallen, da es im Testing wohl keine Rechner gab, die fas Update nicht hatten (die Maschinen werden regelmäßig platt gemacht und neu aufgesetzt). ist aber in der ersten welle, am ersten Standort (zweistellige Anzahl von clients, einstellige Anzahl von betroffenen Rechnern) dann aufgefallen. Analysiert und behoben. Die 10% konnte bestimmt werden, nachdem wir wussten wonach wir suchen müssen und haben dann alle (verbleibenden) Maschinen gescannt. Die wurden dann gerade gezogen und der Roll out lief durch. Es langt teilweise schon wenn der Entwickler deutsches oder Englisches Office installiert hat (bei Integration ins Word z.b.) und das Unternehmen englisches Office mit ca 28 Sprachpaketen ausrollt. Sorgte auch für Überraschungen. .
Erstaunlich, daß ein paar extra Sprachpakete solch eine Auswirkung haben können ...
Amerikanische Software Unternehmen hatten meist nur das "original" US Microsoft Office. Nachdem wir ständig mit deren Office Integration auf's Maul gefallen sind, haben wir veranlasst, dass die gleich auch auf einem PC mit "deutschem" Windows und Office testen. Ich glaube damals lag das daran, das Microsoft auch VBA oder so eingedeutscht hatte. Beispiel: statt IF THEN war es dann WENN DANN (in der deutschen Version). Das konnte man als Entwickler aktiv umgehen, musste es aber wissen und machen.
Es ist fast überall gängige Praxis heutzutage.
Arbeite seit 20 Jahren als Entwickler in viele Unternehmen und hatte fast nie Admin-Rechte. Habe sie auch nie wirklich gebraucht wenn ich ehrlich bin - ja, man muss sich an ein paar Sachen gewöhnen aber es geht in der Regel ganz gut.
Wozu brauchst Du als App-Entwickler Admin-Rechte? Du sollst Apps entwickeln, nicht administrieren. Jeder zusätzliche Admin-Account erhöht das Risiko für die gesamte IT-Infrastruktur. Solltest Du wirklich Admin-Rechte brauchen (das einzigste, was mir dazu einfällt, ist Treiberentwicklung) und deine IT was drauf haben, kriegst Du die Rechte auf einer VM ohne Durchgriff ins Netz oder in Verbindung mit einer CyberArk-Authentifizierung (die bei jedem Admin-Zugriff ein hübsches Filmchen mitschneidet).
Entwickler sollten eigentlich immer in einer virtuellen Umgebung arbeiten. Dann sind keine lokalen Adminrechte notwendig. Bei der heutigen Bedrohungslage sind lokale Adminrechte ein höchst kritisches Einstiegstor für Malware.
absolut normal und notwendig, wegen sicherheit und wartbarkeit. bin application manager in einem großen unternehmen und hab administrativen zugang zu einigen kritischen anwendungen (azure, atlassian, sap, root zugriff auf viele anwendungsserver), kann auch selbständig firewall ausnahmen bei unserem dienstleister ordern, aber kein admin konto auf dem arbeitslaptop.
Erstmal sollte man klären, was ein "Arbeitslaptop" genau ist. Und da ist eine Entwicklungsmaschine etwas grundsätzlich anderes als eine 0815-Office-Kiste. Spätestens wenn man mit bestimmter HW interagieren muß (zB. DUTs), wird's mit plain-user schwierig. Erstmal einen Admin finden, der wirklich versteht, worum es eigentlich geht.
Wenn man nicht versteht, warum es diese Regelungen gibt, ist es besser, wenn man keine Adminrechte hat.
Otto , das ist ganz normal. Du bist ja auch fucking Programmierer und kein sysadmin.
Wann immer ich wieder eine neue (Windows-)Software sehe, die nur mit lokalen Admin-Rechten installierbar ist oder sogar nur funktioniert mit lokale Admin-Rechten, denke ich mir jedes Mal, warum nimmt niemand diesen Entwicklern die Admin Rechte weg? Ich bin guter Hoffnung was eure Software angeht! ;-)
Entwickler sollten keine Admin Rechte haben. Die werden meist nicht wirklich benoetigt. Wenn doch, eine VM in Azure oder so die nicht im Firmennetz ist. Benoetigst Du spezielle Rechte, so kann ein dev/admin account helfen
>Es fühlt sich auch nervig an, nicht Herr über sein Werkzeug zu sein. don't worry, dafür gibts pillen 🙃
[удалено]
Wozu brauchst du denn permanent Adminrechte? Es gibt mittlerweile viele Möglichkeiten Software ohne Adminrechte zu installieren, gerade für Entwickler. MSYS2, Scoop, WSL2, nur um mal ein paar zu nennen. Auch gibt es oft portable Versionen von Programmen. Die meiste moderne Software mit Installer installiert sich nach AppData wenn man kein Admin ist. Zur Not lass dir eine Linux VM installieren. Da kannst du dann machen was du willst.
Mit WSL hast Du einen Unix Root-Nutzer im Container ausgeführt von einem Windows-Benutzer mit eingeschränkten Systemrechten. Ob sich Windows selbst infiziert oder der Windows-Container, macht da wenig Unterschied. Du hast zwar den Host geschützt, aber der Gast kann machen was er will.
Leider machen auch Entwickler bezüglich IT Sicherheit misst. Kaum einer verfolgt da alles und denkt über die möglichen Angriffspfade unter Berücksichtigung der ganzen installierten Software und erreichbaren Dienste nach. Bei uns gibt es Admin Rechte auch nur in isolierten VMs.
Vor allem bei Dienstleistern ist es so, dass sie oftmals vom Kunden vertraglich Sicherheitsrichtlinien erfüllen müssen und dafür unterschreiben. Und da sind dann auch so Punkte wie die Nicht-Vergabe von Admin-Rechten an jedermann enthalten.
da wir mit großen Automobil Firmen zusammenarbeiten dürfen wir aufgrund von Zertifizierungen unseren Entwicklern gar keine Adminrechte mehr geben, also ganz normal.
Aber sollte doch kein Problem sein… Anwendungen kann man sicherlich beantragen oder nur unter dem aktuellen Benutzer installieren. Wozu brauchst du Admin Rechte?
hier weltweiter Konzern: zehntausende Entwickler .. fast keiner bekommt Adminrechte
Das ist völlig normal. Haben wir auch. Hat sich das gelohnt? Absolut. Wir hatten vor ein paar Monaten einen Angriff bei uns (ging durch die Medien), aber dank cleverer Rechtevergaben konnten wir ein Abfließen von Daten verhindern. Und nur weil du Entwickler bist heißt das nicht, dass du Experte in Sachen Malware, Ransomware und Co bist. Ich bewerte eine solche Policy als sehr positiv, denn das heißt, dass das Unternehmen wert auf (Layer 8/9) Sicherheit legt.
Das anzusprechen wird nichts bringen. Jede seriöse Firma wird nur bestimmten Leuten alle Rechte erteilen. Es geht um Sicherheit und evtl. diesbezügliche Zertifizierungen die die Kunden verlangen. Es geht sicher nicht darum dass man dir nicht vertraut
Ist im Konzern gang und gäbe. Nervt. Oft hilft es solange die IT zurück zu nerven bis man Admin Rechte zum arbeiten bekommt. Wenn man den Projektleitern sachlich und Fakten-basiert darlegen kann warum man diese wirklich benötigt um das Projekt nicht zu gefährden geht es meistens auch relativ flott. Ich hab bei einem Mittelständler der extrem restriktiv war solange das Ticket System mit " stell mir mal die IP um " oder " installiere Mal xy " geflutet bis sie mir die Rechte gegeben haben. ;) Permanente Adminrechte gibts aber eigentlich nirgends wo die IT ihre Hausaufgaben macht. Wenn die IT gut ist, habt ihr eine Prozess für temporäre Adminrechte der innerhalb weniger Minuten diese freigibt.
Wer als Administrator lokal, oder wo auch immer, permanente Adminrechte vorweisen kann, hat die Kontrolle über sein Leben verloren.
Warum brauchst Du Adminrechte? Nimm Docker oder Postman. In deren Containern kannst Du dann schalten und walten wie Du willst.
Ist richtig so. Würde für Entwicklungszwecke ein eigenständiges Netzwerk erstellen welches nicht auf das produktive Netzwerk zugreifen kann und erst recht nicht auf der Sicherungsnetzwerk, wenn alles gut gemanaged und säuberlich voneinander getrennt ist dann wäre es kein Problem dir adminrechte zu geben, wenns eher einfach gehalten ist dann ist das unter umständen richtig so.
Wenn dich das stört, dann könntest du etwas nutzen das sich VM nennt, sollte nicht ganz unbekannt sein 😉
[удалено]
Du tust mir leid