У меня есть пользователь, который хочет быть администратором своего рабочего ПК, он придумал какую-то историю о том, как он не может работать без него, поэтому мне сказали «исправить это» (как будто это ошибка, он вошел в систему как Пользователь!).
Мои ИТ-сотрудники и я не авторизуемся как администраторы из-за того, что вирусы / вредоносные программы задерживаются и настраиваются в качестве серверов для распространения атаки (да, это случалось в прошлом).
Что является «нормой» для пользователей вашей сети и как вы обрабатываете запросы на доступ администратора?
Спасибо
В настоящее время у нас есть три уровня поддержки пользователей:
Таким образом, пользователи могут выбирать то, что им нужно, а мы сводим к минимуму влияние как на ИТ-персонал, так и на пользователей. Мы обнаружили, что пользователям можно доверять в выборе соответствующего уровня поддержки. Мне кажется, что блокировка пользователей по умолчанию очень дорого обходится с точки зрения производительности.
Для конечного пользователя может быть коммерческое оправдание более высоких привилегий. Часто это будет продиктовано культурой вашей компании.
Лучшая ИТ-политика - по умолчанию использовать минимум привилегий, необходимых для выполнения должностных функций. Если есть обоснование и нет технических решений для сохранения меньших привилегий, тогда есть бизнес-обоснование для дополнительного доступа.
Некоторые технические компании предпочитают предоставлять всем пользователям доступ локального администратора. Остальные, только технический персонал.
В моем отделе: без обоснования не имеют доступа. Что касается доступа локального администратора к рабочей станции: технические пользователи обычно его получают. Если они представляют риск для компании, его можно будет повторно оценить в индивидуальном порядке. Средний нетехнический сотрудник - нет. У нас никогда не было инцидентов, связанных с вредоносным ПО, но в целом у нас все в порядке.
Я также ответил вопрос сегодня, что связано с вашим вопросом здесь. Он охватывает некоторые из фундаментальных принципов, связанных с политикой и процедурой контроля доступа.
Мои два цента :
1 / Права администратора ПЛОХОЕ. И вредоносное ПО - не единственная причина. Другая и часто более серьезная проблема заключается в том, что многие пользователи будут добавлять приложения, которые вы не знаете, как поддерживать, или которые будут прекращены со временем. Результат? Три или четыре года так, и вы в конечном итоге плачете, потому что по какой-то причине критически важный для бизнеса процесс обрабатывается с помощью приложения, о котором никто не знает, или которое было разработано другом-парнем, который-ушел. компания или что-то еще. У меня, например, есть заказчик, который разработал БОЛЬШОЕ - и действительно ОЧЕНЬ ПОЛЕЗНОЕ - приложение с помощью Lotus 1-2-3. Очень старая версия. Это не работает в более поздних версиях ОС, чем ... Windows 98. И парень, который это сделал, ушел из компании. Видите проблему?
2 / Если КТО-ТО НЕ должен иметь прав администратора, это разработчики. Потому что, если они являются администраторами, они не будут прилагать НИКАКИХ усилий для написания своего программного обеспечения с соблюдением правил кодирования. И они в конечном итоге напишут приложения, для запуска которых НУЖНЫ права администратора. Что плохо.
Я системный администратор и работаю БЕЗ прав администратора (даже не локального администратора моего компьютера). Когда они мне нужны, я беру их на время своей административной задачи. Это моя собственная спасательница. Я могу ошибаться ... И ошибки с правами администратора могут быть ужасными.
Нет-нет-нет-нет-нет!
Ни один компьютер с пользователем с правами администратора никогда не должен выходить в вашу сеть. Конечно, ни один компьютер компании не должен иметь прав администратора:
Я не ненавижу пользователей, но ИТ-отдел просто не может эффективно выполнять свою работу, если им постоянно приходится исправлять самостоятельно возникшие проблемы с компьютером.
Зачем пользователям (за исключением разработчиков, если они есть) нужен доступ администратора?
Для установки приложений?
Мы тратим много времени и усилий на тестирование приложений на совместимость, а затем стандартизируем их для конкретной версии. Мы храним лицензионную информацию и соглашаемся поддерживать все, что устанавливаем.
Для запуска приложений, требующих доступа администратора?
Эй, мы больше не используем Windows 98. Я не могу вспомнить стандартное бизнес-приложение, для которого требуются права администратора. Если бы это было так, мы бы не позволили.
Обновления?
Для этого и нужны WSUS / ASUS. Большинству пользователей не нужны новейшие драйверы видеокарт - они не геймеры!
Что, если [укажите причину здесь] придется работать от имени администратора?
Тогда они полностью отделены от остальной сети, возможно, если их было достаточно, в их собственном домене. Самое главное, мы управляем их ожиданиями - вы нарушаете это, вы исправляете - обычные сроки разрешения SLA не применяются.
Есть много крайних случаев, но мы стремимся управлять нашим отделом, поэтому ни один пользователь не должен необходимость доступ администратора или даже запросить его. Если у ваших пользователей есть права администратора, то вы не контролируете свою «сеть», в которой я бы никогда не хотел оказаться.
Обычно там, где я работал, у разработчиков программного обеспечения был доступ администратора, и вообще никто другой.
В одном месте, с которым я заключил контракт, у них была хорошая идея. Чтобы получить доступ администратора, мне нужно было прочитать и подписать форму, в которой я соглашался, что, если мне когда-либо придется позвонить в ИТ по поводу проблем с компьютером или если кто-то другой заметит проблемы на моем компьютере, ИТ-служба попытается исправить это в течение пятнадцати минут, а затем протрите и повторно изображение.
Как видно из предыдущих ответов, для этого нет нормы. Однако существует Золотое правило наименьших привилегий. Это просто означает, что ваш пользователь должен иметь минимальные права доступа, необходимые для выполнения его работы. К сожалению, особенно в мире Windows, это означает, что некоторым пользователям (например, программистам) требуются полные права администратора.
Я предлагаю вам попросить пользователя, о котором идет речь, задокументировать, что он / она не может делать как пользователь, и посмотреть, можно ли решить проблему с помощью чего-то менее полного прав администратора. Если они не могут или не хотят задокументировать проблемы, вы вполне можете представить руководству дело о том, что претензия необоснованна и, следовательно, не требует изменений. Конечно, насколько хорошо это происходит, часто зависит от того, кто кому подлизывается в вашей конкретной организации.
Если кому-то действительно нужны права администратора на его локальном компьютере, я бы хотел настроить что-то вроде Virtual Box / Vmware Player в качестве своей песочницы. Позвольте им делать все, что они хотят, в своей песочнице, и в ОС хоста они будут заблокированы, как и любой другой компьютер.
Специфика будет во многом зависеть от ожиданий от конкретной системы.