Heldere inrichting omgeving
Een van de problemen die ontstaan is door de inzet van verschillende beheerpartijen de afgelopen jaren, is het missen van structuur en documentatie over de wijze waarop de omgeving was ingericht. Dit is een logisch gevolg en zorgt ervoor dat een aanpassing een groter risico is dan wanneer dit inzichtelijk is. Een nadrukkelijke wens vanuit de gemeente was om de huidige omgeving en de inrichting daarvan gedegen tegen het licht te houden. Er is een logische structuur ontworpen waardoor de configuratie van de context van de gebruiker in RES ONE Workspace (Ivanti Workspace Control) zijn ondergebracht en zoveel als mogelijk gekoppeld aan de applicatie. Instellingen op systeemniveau zijn in RES ONE Automation opgenomen of in een Group Policy. Dit is afhankelijk van het dynamische- of statische karakter van de betreffende instelling.
GTS-Online heeft extra beveiligingsmaatregelen toegepast en heeft aanpassingen gedaan waardoor de verspreiding van ongewenste software en shadow-IT verder wordt beperkt.
Gemeente Putten
Toepassingen geautoriseerd
De functie ‘beheerde applicaties’, ofwel Managed Applications in RES ONE Workspace, zorgt ervoor dat alleen die toepassing gestart kan worden die geautoriseerd is. Sommige applicaties zijn globaal geautoriseerd, wat betekent dat deze zonder een snelkoppeling aangeboden worden vanuit RES ONE Workspace. Het gros van de toepassingen die gestart moeten kunnen worden zijn gekoppeld aan de aangeboden snelkoppeling. Snelkoppelingen die alleen beschikbaar zijn voor gebruikers die lid zijn van een gekoppelde Active Directory beveiligingsgroep. Registerinstellingen of Group Policy-instellingen en die specifiek nodig zijn voor een bepaalde applicatie zijn verplaatst naar deze snelkoppeling.
Shadow-IT tegengegaan
Doordat alleen geautoriseerde toepassingen gestart konden worden, hebben er diverse incidenten voorgedaan in de vorm van Shadow IT. (Shadow IT omvat alle IT binnen organisaties die niet officieel is goedgekeurd.) Sommige software werd al geruime tijd niet meer gestart vanaf de beheerde locatie, bijvoorbeeld door het gebruik van Click-Once applicaties. Het toepassen van de extra beveiligingslaag zorgde voor nieuwe incidenten. De software is vervolgens opnieuw opgenomen in beheer. Tijdens de inventarisatie is bepaald of de software nuttig is en of deze geautoriseerd moet worden.
Alleen gewenste gebruikersinstellingen opslaan
Voorheen werd gebruik gemaakt van Roaming Profiles om gebruikersintellingen op te slaan en in te laden op een volgende werkplek. Door van iedere toepassing vast te leggen (de functie Gebruikersinstellingen in RES ONE Workspace) welke gebruikersinstellingen onthouden moeten worden, wordt het zich verplaatsen van ongewenste software tegengegaan. Een gebruiker krijgt bij het inloggen op een VDI-werkplek een schoon lokaal profiel en alleen de opgeslagen gebruikersinstellingen worden (waar mogelijk per applicatie) geladen vanaf een centrale netwerklocatie.
Gefaseerde migratie
Vanwege het grote aantal wijzigingen in de omgeving hebben we besloten een nieuwe omgeving, seperaat aan de bestaande omgeving op te bouwen. Met behulp van slimme technologie zoals building blocks, is er flink wat tijd bespaart. Door deze blocks te exporteren en zoveel als nodig te importeren zijn de snelkoppelingen, printers, netwerkverbindingen, enz. snel beschikbaar gesteld. Door de building blocks voor de import e voorzien van de juiste instellingen is er nog eens extra configuratiewerk bespaard.
Alle snelkoppelingen zijn toegewezen aan een functioneel beheerder of een key-user. Deze hebben vervolgens individueel getest, zodat de grootste pijnpunten eruit werden gehaald. Vervolgens zijn deze personen gevraagd om de omgeving integraal te testen. Door de extra geactiveerde beveiliging zijn hier flink wat incidenten uit naar voren gekomen. In de volgende fase resulteerde dit in een geslaagde migratie voor de rest van de medewerkers.
Meer weten over dit onderwerp?
