Чи нормально надати адміністраторам доступу користувачів до ПК компанії?

У мене є користувач, який хоче бути адміністратором свого робочого ПК, він розповів про те, як він не може працювати без цього, тому мені кажуть "виправити це" (начебто це помилка, на яку він увійшов як користувач!).

Мої ІТ-співробітники, і я не входжу як адміністратори через те, що віруси / зловмисне програмне забезпечення затримується і налаштовуються на сервери для розповсюдження атаки (так, це було раніше).

Що таке "норма" для користувачів вашої мережі та як ви обробляєте запити на доступ адміністратора?

Спасибі

Наразі у нас є три рівні підтримки для користувачів:

1. Повна підтримка. Користувачі мають лише базовий доступ та стандартний набір програм
2. Обмежена підтримка. Ми робимо центральне виправлення ОС та постачаємо додатки. Користувач має кореневий доступ.
3. Немає підтримки. Ми постачаємо користувачу підключення до Інтернету. Користувач несе відповідальність за комп'ютер, включаючи програмне забезпечення та виправлення. Ми відстежуємо мережу на предмет проблем і відключаємо користувача, якщо є проблема.

Таким чином користувачі можуть вибирати те, що хочуть, і ми мінімізуємо вплив, як для ІТ-персоналу, так і для користувачів. Ми з'ясували, що користувачам можна довіряти вибір відповідного рівня підтримки. У мене таке відчуття, що блокувати користувачів за замовчуванням дуже дорого в плані продуктивності.

Мої два центи:

1 / Права адміністратора - BAD. І зловмисне програмне забезпечення - не єдина причина. Інша, і часто більша проблема, полягає в тому, що багато користувачів додадуть додатки, які ви не знаєте, як підтримувати, або які з часом припиняються. Результат? Три-чотири роки, як це, і ви закінчуєте плакати, тому що чомусь критично важливий бізнес-процес обробляється за допомогою програми, про яку ніхто не знає, або яка була розроблена другом-хлопцем, який залишив- компанія, чи що завгодно. Наприклад, у мене є замовник, який розробив BIG - і дійсно ДУЖЕ КОРИСНО - додаток за допомогою Lotus 1-2-3. Дуже стара версія. Це не працює на будь-якій пізнішій ОС, ніж ... Windows 98. І хлопець, який це зробив, покинув компанію. Бачите проблему?

2 / Якщо SOMEONE НЕ повинен мати адміністраторських прав, це розробники . Тому що якщо вони адміністратори, вони не докладуть жодних зусиль, щоб написати своє програмне забезпечення з дотриманням правил кодування. І вони закінчать писати програми, які НЕОБХІДНІ права адміністратора на запуск. Що погано.

Я системний адміністратор і працюю БЕЗ прав адміністратора (навіть не локального адміністратора комп'ютера). Коли вони мені потрібні, я хапаю їх на час мого завдання адміністратора. Це моє власне рятівне життя. Я можу робити помилки ... І помилки з правами адміністратора можуть бути жахливими.

Для того, щоб кінцевий користувач мав більш високі привілеї, може бути виправданням бізнесу. Часто це буде продиктовано культурою вашої компанії.

Найкраща політика ІТ - це за замовчуванням мінімум привілеїв, необхідних для виконання функції завдання. Якщо є обгрунтування і немає технічних рішень для підтримки менших привілеїв, то для додаткового доступу існує обґрунтування бізнесу.

Деякі технічні компанії вирішують надати всім користувачам місцевий адміністратор. Інші, лише технічний персонал.

У моєму відділі: без обґрунтування вони не отримують доступу. Щодо доступу до робочої станції місцевий адміністратор: технічні користувачі зазвичай отримують її. Якщо вони представляють ризик для компанії, він може бути переоцінений на індивідуальній основі. Середній не технічний працівник цього не робить. У нас ніколи не було випадків зловмисного програмного забезпечення будь-якого значення, але загалом ми працюємо на жорсткому кораблі.

Я також відповів на питання раніше сьогодні, яке пов'язане з вашим тут питанням. Він охоплює деякі основні принципи, пов'язані з політикою та процедурою контролю доступу.

Ні, ні, ні, ні, ні!

Жоден комп’ютер із користувачем, який має права адміністратора, ніколи не повинен переходити у вашу мережу. Звичайно, жоден комп’ютер, що належить компанії, не повинен мати прав адміністратора користувача:

• Користувачі встановлюватимуть небажані програми - P2P / Torrents тощо
• Користувачі встановлюють піратське / неліцензійне програмне забезпечення, на машині якої належить компанія, департамент ІТ відповідає.
• Користувачі, як правило, "приховують" свої комп'ютери, завантажуючи несумісні оновлення тощо
• Їхній комп'ютер менш захищений - 90% уразливостей Windows 7 усуваються завдяки обмеженому користувачеві

Я не ненавиджу користувачів, але відділ інформаційних технологій просто не може ефективно виконати свою роботу, якщо їм постійно доводиться виправляти проблеми з комп’ютером, які завдають себе.

Чому на землі повинні користувачі (розробники, якщо у вас їх є, крім), потребують доступу адміністратора.

Щоб встановити програми?

Ми витрачаємо багато часу і зусиль на тестування програм на сумісність, потім ми стандартизуємо певну версію. Ми зберігаємо інформацію про ліцензування та погоджуємось підтримувати все, що ми встановлюємо.

Запускати програми, яким потрібен доступ адміністратора?

Гей, ми більше не працюємо з Windows 98. Я не можу згадати стандартний бізнес-додаток, для якого потрібні права адміністратора. Якби це зробили, ми не дозволили б в першу чергу.

Оновлення?

Саме для цього WSUS / ASUS. Більшість користувачів не потребують останніх драйверів відеокарт - вони не геймери!

Що робити, якщо [вставити причину сюди] довелося запускатись як адміністратор?

Потім вони повністю відокремлені від решти мережі, можливо, якщо їх було достатньо, у власному домені. Найголовніше, що ми керуємо їхніми очікуваннями - ви порушите це ви виправте - звичайний час дозволу SLA не застосовується.

Суттєвих випадків є багато, але ми прагнемо запустити наш відділ, тому жоден користувач ніколи не потребуватиме доступу адміністратора або навіть вимагати його. Якщо ваші користувачі мають адміністраторські права, то ви не контролюєте свою "мережу", а не ситуація, у якій я б хотів колись опинитися.

Як правило, там, де я працював, розробники програмного забезпечення мали доступ адміністратора і, як правило, ніхто інший.

В одному місці я уклав контракт, вони мали гарну ідею. Для того, щоб отримати доступ адміністратора, мені довелося прочитати та підписати форму, погоджуючись, що якщо мені колись доведеться зателефонувати в ІТ про проблеми з комп'ютером або якщо хтось ще помітив проблеми на моєму комп’ютері, ІТ спробує виправити це протягом п’ятнадцяти хвилин, а потім витирайте та повторно зображуйте.

Як ви можете зрозуміти з попередніх відповідей, для цього немає норми. Однак існує Золоте правило найменших привілеїв. Це просто означає, що користувач повинен мати мінімальні права доступу, необхідні для виконання своєї роботи. Прикро, особливо в світі Windows, це означає, що деякі користувачі (наприклад, програмісти) потребують повних прав адміністратора.

Я пропоную вам попросити відповідного користувача задокументувати, що він / вона не може зробити як користувач, і побачити, чи можна вирішити проблему чимось менше, ніж повні права адміністратора. Якщо вони не можуть або не бажають документувати проблеми, ви, можливо, зможете подати справу керівництву, що позов є необґрунтованим і тому не потребує змін. Звичайно, наскільки добре це знижується, часто залежить від того, хто підходить до кого у вашій конкретній організації.

Якщо комусь справді потрібні права адміністратора на їх локальній машині, я б спокусився налаштувати щось на зразок Virtual Box / Vmware Player як їх пісочниці. Дозвольте їм робити все, що завгодно, в межах своєї пісочниці, а на Host OS вони будуть заблоковані, як і будь-яка інша машина.

Специфіка багато в чому залежатиме від очікувань конкретної системи.

• Чи готовий користувач (та його менеджери) зробити так, щоб він відповідав за резервне копіювання?
• Чи зможе користувач прийняти це, якщо щось неможливо швидко виправити, оскільки він / вона підмілив це, що ви сплинете на диск і негайно відформатуєте його?
• Чи готовий користувач та менеджер брати на себе відповідальність за будь-які юридичні проблеми, що виникають внаслідок неліцензованого програмного забезпечення, порушення безпеки, пошкодження інших систем у мережі?