Я много раз обнаруживал, что «большой босс» в компании хочет иметь возможность устанавливать «что угодно» и делать что угодно на своем компьютере.
Конечно, мы можем сказать ему, что это плохо, потому что системные администраторы теряют контроль над компьютером и так далее.
Есть ли неопровержимый аргумент, чтобы убедить крупных начальников в том, что лучше не иметь прав администратора на их настольных компьютерах?
Единственный раз, когда я хоть немного преуспел в этом, был босс, который хотел использовать run as с альтернативными учетными данными, если он хотел что-то установить. Я объяснил, что даже системные администраторы большую часть времени входили в системы с обычными учетными записями, а затем создали ему свою собственную учетную запись администратора, которую он мог использовать только тогда, когда хотел сделать что-то особенное. На самом деле это было очень эффективно и помогло его машине не выйти из строя за те два года, что я проработал в компании. Это был относительно сообразительный генеральный директор, который мог понять весь запуск как вещь, и я уверен, что у него были вещи, которые я бы не одобрил, но, по крайней мере, это помешало ему пассивно облажаться.
Скажите им, что они могут иметь такой же доступ, что и администраторы домена, а затем предоставьте им именно это:
Идея состоит в том, что привилегированная учетная запись должна быть взломана настолько, чтобы было менее болезненно оставаться в системе как обычный пользователь большую часть времени; босс захочет использовать привилегированную учетную запись только тогда, когда она ему действительно нужна. Большие начальники почти всегда очень сильно полагаются на доступ к электронной почте и системам отчетов, поэтому, если вы можете сделать доступ к ним из привилегированной учетной записи немного менее удобным, вы в хорошей форме. В половине случаев ваш босс все равно просто забудет учетные данные.
Если это по-прежнему их не устраивает, то давайте раздадим полную учетную запись администратора / root домена, но все же сделаем это как отдельную учетную запись от их обычной рабочей учетной записи - в конце концов, они - босс. Убедитесь, что учетная запись тщательно проверена. На этом этапе то, что они часто действительно ищут, - это просто страховой полис или хеджирование от мошеннического администратора; им нужно чувствовать, что деньги за них не стоят, если дело дойдет до них, и пока у них есть стандартная учетная запись пользователя для повседневной работы, в этом нет ничего плохого.
Нет, кроме как сообщить им, что очистка его компьютера займет не менее 3-4 часов, когда он безнадежно залил его из шланга.
Просто честно предупреждение ..
Я выполняю только контрактную работу, поэтому я делаю то, что мне говорят мои Клиенты, или, если мне это действительно не нравится, я использую «пункт о спасении» в своем контракте.
Имея это в виду, большинство людей сегодня сталкивались с каким-либо «вредоносным ПО». Я обсуждаю с Заказчиком, каким образом вредоносное программное обеспечение, которое они запускают через ошибки браузера и т. Д., Имеет те же права и привилегии, что и учетная запись пользователя, с которой они вошли в систему (включая доступ к их электронной почте и их нажатиям клавиш, не говоря уже о ресурсах на серверов).
Обычно меня спрашивают: «Почему антивирусное ПО не позаботится об этом?» Затем у нас есть разговор о «гонке вооружений» - о том, как злоумышленники загружают те же обновления для антивирусного программного обеспечения, что и вы, и разрабатывают новые «сигнатуры» и т. Д.
В довершение всего я объясню, что использую ограниченные учетные записи пользователей на всех своих компьютерах (и делал это годами).
Это все, что мне потребовалось, чтобы убедить пользователей работать с учетными записями с ограниченным доступом. В нескольких случаях мне приходилось позволять пользователю сначала познакомиться с вредоносным ПО (что неизменно случается), но поскольку мои услуги обычно поставляются с очень четким указанием связанных затрат, это обычно происходит только один раз.
Обычно я создаю пользователей уровня «Администратор» в качестве локальных учетных записей или учетных записей домена (вместе с политикой ограниченных групп, фактически предоставляющей «права» учетной записи пользователя), в зависимости от того, к скольким компьютерам пользователю нужен доступ. я удостоверюсь не чтобы назвать его в любой из групп, используемых повседневной учетной записью пользователя, и не чтобы предоставить ему доступ к своему почтовому ящику Exchange. Я хочу, чтобы учетная запись уровня «Администратор» была как можно более бесполезной для чего-либо, кроме установки программного обеспечения / драйверов на их ПК.
Эта стратегия избавила меня от множества головных болей и сэкономила моим клиентам значительную сумму денег. Чтобы вести разговоры, которые вам необходимы, требуются «навыки общения», и работа подрядчика, безусловно, помогает в этом, но это определенно преодолимая проблема.
К сожалению, вы мало что можете сделать с парнем, подписывающим вашу зарплату. :-)
Лучший (практический) совет, который я мог бы вам дать, - убедиться, что у вас есть хорошая процедура резервного копирования для его системы, и пусть он сходит с ума. ржунимагу
Это действительно сводится к следующему:
КТО-ТО должен быть на водительском сиденье. Это его компания, поэтому очевидно, что он главный. Лучшее, что вы можете сделать, это ПОСОВЕТОВАТЬ ему, как лучше всего действовать (с чем угодно), а затем позволить ему принять «осознанное решение». Если он не согласится с твоим советом ... а это ошибка ... это ЕГО вина, что он не слушает.
Если он ДЕЙСТВИТЕЛЬНО последует твоему совету и случится провал ... это все равно ЕГО вина, потому что ОН принял решение. Помните, ОН на месте водителя.
Теперь ... это время от времени будет вызывать странные взгляды ... даже смешок или смех.
Но обязательно объясните, что РАЗНИЦА в том ... что вы убираете СВОИ беспорядки (бесплатно) и делаете все возможное, чтобы разрешить ситуацию. Другой он платит вам за уборку, а вы оставляете за собой право «проповедовать» ему в течение 5-10 минут, и он соглашается слушать.
Постарайтесь, чтобы это было ВЕСЕЛО.
У меня никогда не было проблем с объяснением этой логики владельцу бизнеса. Большинство из них это уже знают. Просто забавно объяснить это прямо (но мягко). ;-)
Вместо того, чтобы убеждать его в своей неправоте, возможно, вам стоит попытаться найти способ пойти на компромисс. Возможно, разрешите ему запустить копию VMware с гостевой виртуальной машиной, на которой он сможет сойти с ума. Попытайтесь дать ему возможность выполнять то, что, по его мнению, ему нужно делать, таким образом, чтобы у него по-прежнему оставалась стабильная управляемая система.
На самом деле, вам, вероятно, нужно обосновать экономическое обоснование того, что у него может быть либо надежный компьютер, который можно восстановить в случае отказа, либо он потеряет свой компьютер, потому что вы точно знаете, что находится в системе, как это исправить и где все СМИ есть. Или у него может быть компьютер, за который он отвечает, и когда компьютер сломается, вы не можете гарантировать, что сможете делать что-либо, кроме форматирования + переустановки.
Постарайтесь сообщить о рисках и о том, что вы делаете, и постарайтесь достичь компромисса. Подумайте о настройке виртуальной машины, или двойной загрузки, или чего-то еще, что дает ему гибкость, в которой он нуждается / хочет, но при этом позволяет ему иметь стабильную систему.
Скажите ему, что он действительно должен подавать пример, которому должна следовать остальная компания.
Если он начнет «настраивать» свой (в худшем случае) ноутбук с помощью «загрузки из Интернета», то это сделает его директор по продажам, финансовый директор, помощник директора по продажам, завещание продавца, технические специалисты, служба поддержки клиентов и т. Д. .
Затем объясните, что а) риск для БИЗНЕС-ИНФРАСТРУКТУРЫ увеличивается (интересно найти всю информацию о своих клиентах и заказах в Интернете), б) создает слабую культуру безопасности и профессионализма в организации, и в) расходы на поддержку намного выше. и пониженная надежность.
Если ему нужна игровая машина, пусть делает это на своем собственном ПК, но бизнес-ПК / ноутбук / оборудование предназначены для деловых целей.
Это по-взрослому ...
Я не понимаю здесь односторонности ответов. Большой сыр получает то, что хочет большой сыр.
Попадет ли в руки нетехнического руководителя какие-нибудь проблемы?
Возможно, но посмотрите на это как на возможность из первых рук продемонстрировать свои способности и пообщаться с парнем, подписывающим чеки. Предоставить талантливому молодому администратору возможность познакомиться с генеральным директором - отличный способ дать ребенку время и упростить процесс продвижения ... «Вспомните парня, который спас день в прошлом месяце ...»
Или вы можете использовать сварливый, привычный подход, рассердить генерального директора и вызвать изжогу у начальника.
Скажите ему, что очень немногие руководители больниц проводят операции на головном мозге или какие-либо хирургические процедуры в этом отношении.
Я полностью обошел стороной этот вопрос и купил генеральному директору очень дорогую (в то время) высокопроизводительную рабочую станцию Mac с огромным студийным дисплеем. Ему нравилась эксклюзивность, мне нравился тот факт, что было немного меньше проблем, в которые он мог попасть. Я сохранил возможность подключаться по ssh и запускать топ, просто чтобы следить за происходящим. К счастью, он не был любителем ноутбуков.
В первую очередь вам нужны ИТ-политики - на них всегда основываются технические решения, не наоборот, независимо от того, насколько очевидными нам кажутся некоторые технические настройки, такие как учетные записи пользователей без прав администратора.
Объясните, что наличие административных привилегий делает его компьютер более уязвимым для хакеров, которые могут украсть секреты компании, уничтожить данные или злоупотребить сервисами или вирусами, которые могут уничтожить данные или сделать его частью ботнета, что может открыть их для компьютерных уголовных обвинений. если они участвуют в DoS-атаке и т.п.
Кроме того, объясните, что если они случайно что-то повредят, они могут остаться без компьютера в течение нескольких часов (или дней), пока вы пытаетесь это исправить. Если у них нет прав администратора, у них будет меньше возможностей для взлома.
Я обнаружил, что у большинства менеджеров есть один из двух стилей использования компьютера: они либо крайне невнимательны, потому что у них есть более важные дела, чем игра с компьютером, либо им нравится вмешиваться и возиться.
Менеджеры без вмешательства не создают проблем - вы настраиваете их компьютер, говорите им, что они могут, а что не могут, и убедитесь, что вы всегда рядом, если им действительно нужно что-то установить (и у вас есть как можно больше вариантов - например, локальная учетная запись с доступом администратора, проверенный удаленный доступ через VPN и т. д.).
В моем случае почти все менеджеры и парни на уровне вице-президента, которым нравилось устанавливать или настраивать что-то на своих компьютерах, в какой-то момент отключили свои компьютеры, поэтому у нас не было особых проблем с их блокировкой. Паре из них нам пришлось рассказать об учетной записи местного администратора, чтобы они были довольны, но они понимали, насколько рискованно делать что-то без нашего участия или, по крайней мере, не спрашивая нас.
Президент, однако, так и не понял, во что обошлось, когда он отключил свою систему, но он ушел на пенсию прежде, чем мы успели опробовать нашу последнюю попытку решения: мы собирались получить ему два компьютера, один заблокирован со всеми нашими стандартными вещами. установлен, и второй, на который он мог установить все, что пришло ему в голову. Ему нравились маленькие ноутбуки задолго до появления термина «нетбук», поэтому я решил, что он может носить с собой два из них, но только один блок питания.
Если возникает этот вопрос, я предполагаю, что в организации нет четких политик для обработки такого рода запросов. Если бы они были на месте, это было бы запретом, иначе он бы записывал специальные запросы на получение привилегий. Или он будет просить вас нарушить политику. кхм.
Вы мало что можете сделать. Нет никакого волшебного аргумента, если кто-то этого не понимает или ваш начальник или организация не осознают возможные риски. Вы можете занять позицию и сказать «нет», но это может сработать, а может и не сработать, и это может привести к плохим чувствам.
Итог: если босс не обеспокоен появлением предпочтительного лечения или риска, связанного с пользователями, работающими в качестве администраторов, И у вас (или вашего отдела) нет признанных полномочий отклонить запрос, вы также можете передать его ему.
Лучшее, что вы можете сделать, это попытаться сформулировать какое-нибудь вежливое заявление «это противоречит передовой технической практике», поддержать его вещи, подняться и отпустить его в город.
Вместо того, чтобы пытаться помешать боссу устанавливать что-то на его машину, я думаю, вам лучше придумать способ уберечь его компьютер от бессмысленного разрушения остальных ваших ИТ-систем, когда он / она неизбежно получит вирус после отключения антивирусный сканер.
Что мы сделали, так это объяснили то, что уже было упомянуто ... если нам нужно очистить систему, это означает, что они находятся без своей системы в течение этого периода времени. У нас также есть строгая политика, по которой мы делаем быструю оценку. Если очистка займет больше часа, или если мы не можем быстро оценить степень заражения, мы просто повторно создаем образ системы. Проблема с исполнительной властью в том, что теперь у них больше нет игрушек. Но поскольку мы не знали, что было в системе или где взять все установочные пакеты ... вы поняли. Возможно, у вас нет такого рычага, но попробовать стоит.
В конечном итоге большой босс должен принять бизнес-решение о том, что для него / нее приемлемо. Мы можем не соглашаться с этим технически все, что хотим, но это не наше дело. Если мы не можем смириться с указанным решением, у нас всегда есть возможность поискать работу в другом месте.
Кстати, если вы ищете ресурс, который поможет с этим аргументом, посетите следующий сайт: Threatcode.com. Я не знаю, что он обновляется, но в прошлом его рекламировали.
Я бы спросил его, что, по его мнению, он не может сделать с теми привилегиями, которые у него есть. Помимо этого, дайте ему права администратора - он подписывает чек за сверхурочную работу, когда он его нарушает.
Если вы пойдете прямо и скажете «вы не можете этого сделать» с парнем, который подписывает ваш чек, то вы проиграете!
Как всегда, нужно крутить и поворачивать, чтобы обойти это. Ответ можно найти только в том случае, если вы поймете, почему он хочет быть админом.
Если речь идет о технической стороне дела, вы можете убедить его, но если речь идет о «силе» и о том, чтобы быть вашим начальником, вам не повезло. Очень сложно убедить начальника, что ему нужно меньше привилегий, чем людям, которыми он руководит, это, вероятно, означало бы с его точки зрения, что им позволено делать больше, чем он, и это переворачивает нормальную иерархию вверх дном ( и большинству боссов это не нравится).
Так что подбирайте слова осторожно и не забывайте о человеческой стороне этой проблемы.
\ computername \ c $ на свой компьютер, прочтите все его документы, скопируйте их, вставьте в другое место и затем представьте ему пример того, что хакер сделает с его системой и сделает со всей его личной информацией, если он заразится потому что он хотел просматривать странные сайты или скачивать откуда-нибудь бесплатные игры.
Вероятно, вас уволят. Я был в такой ситуации раньше, и это безвыходная ситуация. Я сейчас в другом. Я работаю в компании, которой наплевать на предоставление пользователям прав локального администратора. У нас ВСЕГДА возникают проблемы с вирусами / шпионскими / вредоносными программами. Вдобавок ко всему, наш настольный парень новичок, но очень дерзкий, как будто он изобрел Интернет.
Во всяком случае, я сетевой администратор. Я просто блокирую действительно плохие сайты и пытаюсь предотвратить появление вещей с моей стороны, но глупые пользователи, кажется, всегда находят способ. Рад, что мне не нужно слишком прикрывать настольного парня.