Як переконати великого начальника, що йому не потрібні права адміністратора?

Я багато разів виявляв, що "великий бос" в компанії хоче мати можливість встановити "що завгодно" і зробити що-небудь на своєму комп'ютері.

Звичайно, ми можемо сказати йому, що це погано, оскільки адміністратори ІТ-систем втрачають контроль над комп’ютером тощо.

Будь-який неспростовний аргумент, щоб переконати великих начальників, що краще не мати привілеїв адміністратора на настільному комп’ютері?

Єдиний раз, коли я навіть у цьому був маленьким успіхом, це був бос, який був готовий використовувати біг, як із альтернативними обліковими записами, якщо він хотів щось встановити. Я пояснив, що навіть системні адміністратори входили в системи з нормальними обліковими записами більшу частину часу, а потім створили йому власний акаунт адміністратора, який він повинен використовувати лише тоді, коли хотів зробити щось особливе. Насправді це було дуже ефективно, і за два роки, коли я був у компанії, його машина не закрутилася. Це був відносно кмітливий генеральний директор, який зміг зрозуміти весь пробіг як річ, і я впевнений, що у нього були речі, які я не схвалював би, але принаймні це заважало йому пасивно викручувати речі.

Скажіть їм, що вони можуть мати той самий доступ, що і адміністратори домену, і надайте їм саме це:

• Стандартний обліковий запис користувача, який пов'язаний з їх електронною поштою, документами та діловими програмами, якими вони можуть користуватися щодня.
• Окремий обліковий запис на апараті, який має права адміністратора на цій машині (аналогічно обліковому запису адміністратора домену адміністратора), але він НЕ пов'язаний з їх обліковим записом електронної пошти чи будь-якими бізнес-додатками, для яких потрібна автентифікація на основі поточного користувача, який увійшов, і не має налаштованих принтерів. Цей обліковий запис має бути розбитий таким чином, що він не буде корисним для щоденного використання.

Ідея полягає в тому, що привілейований обліковий запис повинен бути зламаний достатньо, щоб залишатись увійти в систему як стандартний користувач менш болісно; бос захоче користуватися привілейованим обліковим записом лише тоді, коли йому це справді потрібно. Великі начальники майже завжди дуже покладаються на доступ до систем електронної пошти та звітів, тому якщо ви можете зробити доступ до них з привілейованого облікового запису трохи менш зручним, ви в хорошій формі. Половину часу ваш начальник все одно забуде повноваження.

Якщо це все ще не задовольняє їх, тоді продовжуйте і роздайте повний адміністратор / кореневий домен, але все-таки робіть це як окремий обліковий запис від їхнього звичайного робочого рахунку - адже вони - бос. Переконайтеся, що обліковий запис суворо перевіряється. На даний момент те, що вони все-таки дуже часто шукають, - це лише страховий поліс або захист від адміністратора-шахрая; їм потрібно відчувати, що долар припиняється з ними, якщо справа доходить до цього, і поки у них є стандартний обліковий запис користувача для їх щоденної роботи, в цьому немає нічого поганого.

Ніхто, окрім того, щоб повідомити їм, що на очищення його комп’ютера знадобиться щонайменше 3 - 4 години, коли він безнадійно взяв його в руки.

Просто чесне попередження ..

Я виконую лише контрактну роботу, тому роблю все, що мені скажуть мої Клієнти, або, якщо мені це дійсно не подобається, я виконую "застереження" у своєму контракті.

Зважаючи на це, більшість людей сьогодні мали певний досвід "зловмисного програмного забезпечення". Я обговорюю з Клієнтом, як зловмисне програмне забезпечення, яке вони запускають через помилки браузера тощо, має всі ті ж права над привілеями, що й обліковий запис користувача, з яким увійшли в систему (включаючи доступ до своєї електронної пошти та натискань клавіш, не кажучи вже про ресурси на сервери).

Зазвичай у мене виникає запитання на кшталт "Чому антивірусне програмне забезпечення не подбає про це?" Тоді у нас є розмова про "гонку озброєнь" - про те, як люди, які зловмисне програмне забезпечення завантажують ті самі оновлення програмного забезпечення, що є у вас, і розробляють нові "підписи" тощо.

Я завершую все, пояснюючи, що я використовую обмежені облікові записи користувачів на всіх своїх комп’ютерах (і роблю це протягом багатьох років).

Це все, що мені потрібно, щоб переконати користувачів працювати з обмеженими обліковими записами. У деяких випадках мені довелося спочатку дозволити користувачеві мати зловмисне програмне забезпечення (що незмінно трапляється), але оскільки мої послуги зазвичай мають чітке вказівку на пов’язані пов'язані витрати, зазвичай це відбувається лише один раз.

Я, як правило, створюю користувачів на рівні "Адміністратор" як локальні акаунти, так і доменні акаунти (разом із обмеженою груповою політикою, щоб фактично надати "права" обліковому запису користувача), залежно від того, на скільки комп'ютерів користувачеві потрібен доступ. Я переконуюсь, щоб не називати його жодною з груп, що використовуються щоденним обліковим записом користувача, і не надавати йому доступ до своєї поштової скриньки Exchange. Я хочу, щоб обліковий запис рівня "Адміністратор" був максимально марним ні для чого, крім встановлення програмного забезпечення / драйверів на їх ПК.

Ця стратегія врятувала мені багато головних болів і врятувала моїм Клієнтам значну суму грошей. Необхідні "навички людей", щоб вести розмови, які вам потрібно мати, і бути підрядником, безумовно, допомагає питанням, але це, безумовно, непереборна проблема.

Замість того, щоб намагатися переконати його в тому, що він помиляється, можливо, вам слід спробувати знайти якийсь шлях для компромісу. Можливо, дозвольте йому запустити копію VMware з гостем vm, на який він може дивитися. Спробуйте дати йому можливість здійснити те, що, на його думку, потрібно зробити так, щоб все-таки залишити його стабільною керованою системою.

Дійсно, вам, мабуть, потрібно зробити діловий випадок, що він може мати або надійний комп'ютер, який можна відновити, коли він виходить з ладу, або він втрачає свій комп’ютер, тому що ви точно знаєте, що є в системі та як її виправити і де все ЗМІ є. Або він може мати комп’ютер, за який він несе відповідальність, і коли комп'ютер зламається, ви не можете гарантувати, що ви зможете робити щось інше, ніж формат + перевстановлення.

Спробуйте і повідомте про ризики та те, що ви робите, і намагайтеся досягти компромісу. Подумайте про налаштування VM, або налаштування подвійного завантаження або щось таке, що дозволяє йому гнучкість, яка йому потрібна / хоче, але все ж дозволяє йому мати стабільну систему.

На жаль, з хлопцем, який підписує вашу зарплату, не так багато можна зробити. :-)

Найкраща (практична) порада, яку я можу дати вам, - це переконатися, що у вас є гарний режим резервного копіювання для його системи, і відпустіть його на свиней. Лол

Це дійсно зводиться до цього:

1. ДЕЙНИК повинен бути на водійському сидінні. Його компанія так ясно, що він бос. Найкраще, що ви можете зробити, це ПОСЛІДИТИ його щодо найкращого курсу дій (з чим завгодно), а потім дозволити йому прийняти «обгрунтоване рішення». Якщо він не піде з вашою порадою ... і є викрутка ... його ВИНА винна в тому, що він не слухає.

2. Якщо він дотримується ваших порад, і там є викрут ... це все-таки його помилка, оскільки він прийняв рішення. Пам'ятайте, ВІН у водійському сидінні.

Тепер ... це час від часу отримуватиме вам дивні погляди ... навіть хихикання чи сміх.

Але обов'язково поясніть, що РІЗНАННЯ полягає в тому, що ви ... очистіть свої помилки (безкоштовно) і зробіть все можливе, щоб вирішити ситуацію. Інший він платить вам за прибирання, і ви залишаєте за собою право "проповідувати" на 5-10 хвилин, і він погоджується слухати.

Спробуйте тримати його на стороні FUNNY.

У мене ніколи не було проблем пояснити цю логіку власнику бізнесу. Більшість із них це вже знає. Просто цікаво пояснити це тупими (але ніжними) термінами. ;-)

Скажіть йому, що він справді повинен бути прикладом, за яким слід наслідувати решту компанії.

Якщо він почне "налаштовувати" свій (найгірший випадок) ноутбук з "завантаженнями в Інтернет", тоді його директор з продажу буде, фінансовий директор, помічник директора з продажу, воля хлопця з продажу, техніків, служб клієнтів буде і т.д. і т.д. .

Потім поясніть, що а) підвищується ризик для ІНФРАСТРУКТУРИ БІЗНЕСУ (фантазії знайти всю інформацію про свого клієнта та замовити в Інтернеті); б) встановити слабку культуру безпеки та професіоналізму в організації та в) коштувати набагато більше на підтримку і знижена надійність.

Якщо він хоче ігровий автомат, тоді нехай він робить це на своєму ПК, але бізнес-ПК / ноутбук / обладнання призначений для ділових цілей.

Це доросла річ ...

Я не розумію однобічності відповідей тут. Великий сир отримує те, що хоче великий сир.

Чи потрапить нетехнологічний керівник у якісь проблеми власного виготовлення?

Можливо - але погляньте на це як на можливість отримати можливість з перших рук проявити свої здібності та отримати деякий час, коли хлопець підписує чеки. Проведення талановитої молодої адміністративної витримки генерального директора - це прекрасний спосіб надати дитині час і полегшити процес просування ... "Згадайте хлопця, який врятував день минулого місяця ..."

Або ви можете скористатись бурхливим підходом до книги, зірватися з генерального директора та запалити начальство.

Я повністю обійшов цю проблему і купив генерального директора дуже дорогий дуже високий кінець (на той час) Mac робочу станцію з величезним студійним дисплеєм. Він любив ексклюзивність, я любив те, що було трохи менше клопотів, до яких він міг потрапити. Я підтримував здатність забиватися і бігати вгору, просто слідкувати за речами. На щастя, він не був хлопцем із ноутбука.

Скажіть йому, що дуже мало боссів у лікарнях проводять мозкову хірургію або будь-які хірургічні процедури з цього приводу.

Замість того, щоб намагатися зупинити боса від встановлення речей на його машину, я думаю, вам краще винайти спосіб запобігти його комп’ютеру, щоб не спричинити руйнування інших IT-систем, коли він / вона неминуче отримує якийсь вірус після відключення сканер вірусів.

Якщо це питання виникає, я б здогадався, що організація не має чіткої політики щодо вирішення подібних запитів. Якби вони були на місці, це було б забороною, інакше він буде записувати подання спеціальних запитів, щоб отримати приватні особи. Або він просить вас порушити політику. гм

Зробити не так вже й багато. Немає магічного аргументу, якщо хтось цього не сприймає або ваш начальник чи організація не визнають можливих ризиків. Ви можете зайняти позицію і сказати "ні", але це може бути, а може і не працювати, і це може призвести до поганих почуттів.

Підсумок: якщо начальник не переймається появою бажаного лікування або ризику, пов’язаного з користувачами, які працюють в якості адміністраторів, і ви (або ваш департамент) не маєте підтвердженого повноваження відмовити у запиті, ви можете також надати його його.

Найкраще, що ви можете зробити, - спробувати сформулювати якусь ввічливу заяву "це проти найкращої технічної практики", поверніть свої речі, відпустіть його до міста.

Я виявив, що у більшості менеджерів є один із двох стилів використання комп’ютера: вони або надзвичайно рукотворні, тому що у них важливіші справи, ніж грати з комп’ютером, або їм подобається заходити туди і безладно.

Професійні менеджери не мають жодних проблем - ви налаштовуєте їх комп’ютер, повідомляєте їм, що вони можуть, а що не можуть робити, і переконайтеся, що ви завжди там, якщо їм потрібно щось встановити (і мати якомога більше варіантів - наприклад, локальний обліковий запис з доступом адміністратора, перевірений віддалений доступ через VPN тощо).

У моєму випадку майже всі менеджери та хлопці на рівні VP, які любили встановлювати чи налаштовувати речі на своїх комп’ютерах, в певний момент вбили їх комп’ютери, тому у нас не було надто багато проблем із тим, як заблокувати їх. Кілька з них нам довелося розповісти про місцевий обліковий запис адміністратора, щоб зробити їх щасливими, але вони зрозуміли ризики зробити щось, не залучаючи нас або принаймні попросивши нас спочатку.

Президент, однак, ніколи не розумів, скільки це коштувало, коли він вбив свою систему, але він пішов у відставку, перш ніж ми спробували остаточну спробу рішення: ми збиралися дістати йому два комп’ютери, один замкнений із усіма нашими стандартними речами встановлений, і другий, що він міг би встановити все, що вражало його фантазію. Йому сподобалися невеликі зошити задовго до того, як був винайдений термін "нетбук", тому я подумав, що він може носити два з них, але лише один блок живлення.

Поясніть, що наявність адміністративних привілеїв робить його комп’ютер більш вразливим для хакерів, які можуть красти секрети компанії, знищувати дані або зловживати службами, або віруси, що може знищити дані або стати причиною того, що він стане частиною ботнету, що може відкрити їх для комп’ютерної кримінальної відповідальності якщо вони беруть участь у нападі DoS або подібному.

Крім того, поясніть, що якщо вони випадково щось пошкодять, вони можуть опинитися без свого комп’ютера протягом декількох годин (або днів), поки ви намагаєтеся це виправити. Якщо вони не матимуть адміністративних привілеїв, то у них буде менше можливостей порушувати речі.

Потрібно спочатку застосовувати ІТ-політику - технічні рішення завжди базуються на них, а не навпаки, якими б очевидними не виглядали деякі технічні налаштування, такі як облікові записи користувачів без адміністратора.

Я б запитав у нього, що він вважає, що він не може зробити з привидами, які у нього є. Окрім цього, надайте йому права адміністратора - він підписує перевірку понаднормових, коли він порушує її.

Те, що ми зробили, - це пояснити те, що вже згадувалося ... якщо нам доведеться очистити систему, це означає, що вони не мають своєї системи за той період часу. У нас також є сувора політика, що ми робимо швидку оцінку. Якщо очищення триватиме більше години, або якщо ми не можемо швидко оцінити ступінь зараження, ми просто переобразуємо систему. Проблема в цьому, що стосується виконавчої влади, то зараз усі їхні іграшки вже немає. Але оскільки ми не знали, що було в системі або де взяти всі встановлені пакети ... Ви отримуєте ідею. Можливо, у вас немає таких важелів, але варто спробувати.

Зрештою, великий начальник повинен прийняти ділове рішення щодо того, що йому / їй прийнятно. Ми можемо погодитися з цим технічно все, що хочемо, але це не наша справа. Якщо ми не можемо жити з таким рішенням, у нас завжди є можливість шукати роботу в іншому місці.

До речі, якщо ви шукаєте ресурс, який допоможе в цьому аргументі, перегляньте наступний сайт: Threatcode.com . Я не знаю, як це досі зберігається, але його рекламували раніше.

Якщо ви підете далі і скажете "ви не можете цього зробити" з хлопцем, який підписує, ви оплачуєте чек, тоді ви втратите!

Як завжди, вам потрібно скрутити і повернути, щоб обійти це. Відповідь можна знайти, лише якщо ви зрозумієте, чому він хоче бути адміністратором.

Якщо це технічно, ви можете переконати його, але якщо мова йде про "владу" і бути вашим начальником, вам не пощастить. Дуже важко переконати начальника, що йому потрібно менше привілеїв, ніж людям, яким він керує, це, мабуть, означало б з його точки зору, що їм дозволяється робити більше, ніж йому, і це повертає нормальну ієрархію вгору стороною вниз ( і більшість начальників цього не люблять).

Тому обережно вибирайте свої слова і не забувайте про людську сторону цієї проблеми.

\ ім'я комп’ютера \ c $ на свій ПК, прочитайте всі його документи, скопіюйте їх, вставте їх в інше місце і потім подайте йому приклад того, що хакер зробить у своїй системі та з усією своєю особистою інформацією, якщо він заразиться тому що він хотів переглядати незвичайні сайти або завантажити звідкись безкоштовні ігри.

Можливо, вас звільнять. Я був у цій ситуації раніше, і це ситуація без виграшу. Я зараз в іншому. Я працюю в компанії, яка не дає змоги надати права місцевого адміністратора користувачам. У нас є проблеми з вірусом / шпигунським / зловмисним програм ВСЕ ЧАС. На додаток до всього, наш настільний хлопець - ноб, але дуже зухвалий, ніби вигадав Інтернет.

У всякому разі, я адміністратор мережі. Я просто блокую справді погані веб-сайти і намагаюся запобігти тому, щоб моє життя закінчилося, але німі користувачі завжди, здається, знаходять спосіб. Радий, що мені не дуже доводиться покривати хлопця на робочому столі.