Czy to normalne, aby dać administratorom „użytkownikom” dostęp do komputera firmowego?

13

Mam użytkownika, który chce być administratorem swojego komputera roboczego. Opowiedział o tym, jak nie może bez niego pracować, więc kazano mi to naprawić (jakby to była usterka, którą zalogował jako użytkownik!).

Moi współpracownicy IT i ja nie logujemy się jako administratorzy z powodu zatrzymania wirusów / złośliwego oprogramowania i skonfigurowania się jako serwery do przeprowadzania ataku (tak, zdarzyło się to w przeszłości).

Jaka jest „norma” dla użytkowników sieci i jak radzisz sobie z żądaniami dostępu administratora?

Dzięki

permissions Phillipe B.
źródło
3
Jeśli nie zgadzasz się na przyznanie mu uprawnień administratora, Twoim obowiązkiem jest upewnienie się, że ma on wszystkie szczegółowe uprawnienia i dostęp z góry włączony, aby nie napotkali przeszkód na drodze do posiłku. Jest to bardzo trudne do przewidzenia w systemie Windows, biorąc pod uwagę złożoność dzisiejszego oprogramowania. Na przykład mogą zobaczyć dziwne zachowanie w aplikacji, a po całym dniu rozwiązywania problemów dowiedz się, że aplikacja po cichu nie odczytała niektórych ustawień rejestru, do których użytkownik nie miał dostępu.
AaronLS,

Odpowiedzi:

12

Obecnie mamy trzy poziomy wsparcia dla użytkowników:

  1. Pełne wsparcie. Użytkownicy mają tylko podstawowy dostęp i standardowy zestaw aplikacji
  2. Ograniczone wsparcie. Wykonujemy centralne łatanie systemu operacyjnego i dostarczanie aplikacji. Użytkownik ma dostęp do konta root.
  3. Bez wsparcia. Zapewniamy użytkownikowi połączenie internetowe. Użytkownik bierze odpowiedzialność za komputer, w tym za oprogramowanie i poprawki. Monitorujemy sieć pod kątem problemów i odcinamy użytkownika, jeśli występuje problem.

W ten sposób użytkownicy mogą wybrać, czego chcą, a my minimalizujemy wpływ, zarówno dla personelu IT, jak i użytkowników. Odkryliśmy, że użytkownikom można ufać, że wybiorą odpowiedni poziom wsparcia. Mam wrażenie, że domyślnie blokowanie użytkowników jest bardzo kosztowne pod względem produktywności.

pehrs
źródło
1
+1 Podoba mi się i mogę spróbować w mojej pracy.
Nic
4
Chociaż jest to interesujące i warte rozważenia podejście, w przypadku systemów operacyjnych podatnych na złośliwe oprogramowanie, bardzo prawdopodobne jest, że umożliwi to utrwalenie złośliwego oprogramowania typu robak w całej sieci wewnętrznej. Aby wyeliminować to ryzyko, opcje 2 i 3 nie mogą obejmować nieograniczonego wewnętrznego dostępu do sieci.
Warner
2
Myślę, że to doskonałe podejście. Ludzie z komputerami PC na biurkach są zwykle „pracownikami wiedzy” (KWs), a KW zwykle najlepiej jest podejmować własne decyzje dotyczące technologii. W latach 80-tych informatyka była nadal nazywana „przetwarzaniem danych”, a oni byli odpowiedzialni tylko za duże żelazne i głupie terminale. To właśnie KW wprowadziły własne komputery PC, które zmusiły działy przetwarzania danych na całym świecie do skupienia się na obsłudze komputerów osobistych i przejścia na model klient-serwer, by ostatecznie zmienić markę na „IT”. Niech twoi KW sami sami zdecydują, ile trzymają za rękę.
Spiff
@Warner, w którym pracuję, większość ludzi nie używa systemów operacyjnych podatnych na złośliwe oprogramowanie i wybrała numer 3, i mają nieograniczony wewnętrzny dostęp do sieci. Ludzie, którzy chcą korzystać z systemów podatnych na złośliwe oprogramowanie, są zmuszani do uzyskania drugiego lub pierwszego miejsca i są zmuszeni do używania zarejestrowanych statycznych adresów IP tylko w swoich skrzynkach podatnych na złośliwe oprogramowanie, aby łatwiej skanować porty lub ruch sieciowy w poszukiwaniu aktywności złośliwego oprogramowania, i łatwiej wyśledzić winnego użytkownika.
Spiff
Warunki są kluczowe. Nie możesz mnie przekonać, że zapewnienie klientowi nieograniczonego dostępu do stacji roboczych Windows w sieci wewnętrznej byłoby dobrym pomysłem, przy zachowaniu rozsądnego poziomu usług dla użytkowników końcowych. Wprowadziłoby to poważne zagrożenie bezpieczeństwa między niezdolnością do utrzymania standardów, aktualizacji a dodatkowymi uprawnieniami pozwalającymi na wolne działanie złośliwego oprogramowania bez ograniczeń. Podoba mi się pomysł 3, ponieważ swoją karierę koncentruję na technologiach internetowych i rozwiązaniach na wysokim poziomie - nie na technologiach typu intranet.
Warner
5

Moje dwa centy :

1 / Prawa administratora są ZŁE. A złośliwe oprogramowanie nie jest jedynym powodem. Innym i często większym problemem jest to, że wielu użytkowników doda aplikacje, których obsługi nie znasz, lub z czasem przestaną być obsługiwane. Wynik? Trzy lub cztery lata tak, a ty płaczesz, ponieważ z jakiegoś powodu proces krytyczny dla biznesu jest obsługiwany za pomocą aplikacji, której nikt nie zna, lub która została opracowana przez przyjaciela faceta, który opuścił- firma lub cokolwiek innego. Mam na przykład klienta, który opracował DUŻĄ - i BARDZO PRZYDATNĄ - aplikację przy użyciu Lotus 1-2-3. Bardzo stara wersja. To nie działa na żadnym późniejszym systemie operacyjnym niż ... Windows 98. A facet, który to zrobił, opuścił firmę. Widzisz problem?

2 / Jeśli KTOŚ NIE powinien mieć uprawnień administratora, jest to programista . Ponieważ jeśli są administratorami, nie podejmą ŻADNEGO wysiłku, aby napisać swoje oprogramowanie zgodnie z wytycznymi dotyczącymi kodowania. I w końcu skończą pisać aplikacje, do uruchomienia których będą potrzebne uprawnienia administratora. Co jest złe

Jestem administratorem systemu i działam BEZ uprawnień administratora (nawet lokalnego administratora mojego komputera). Kiedy ich potrzebuję, łapię je na czas mojego zadania administratora. To mój własny ratownik. Mogę popełniać błędy ... A błędy z prawami administratora mogą być straszne.


źródło
Zmieniający życie !!!!
Saariko,
4

Może istnieć uzasadnienie biznesowe, aby użytkownik końcowy miał wyższe uprawnienia. Często będzie to podyktowane kulturą Twojej firmy.

Najlepszą polityką IT jest domyślnie korzystanie z najmniejszych uprawnień niezbędnych do wykonywania funkcji zadania. Jeżeli istnieje uzasadnienie i nie ma technicznych rozwiązań dla utrzymania mniejszych uprawnień, istnieje uzasadnienie biznesowe dla dodatkowego dostępu.

Niektóre firmy techniczne decydują się na zapewnienie wszystkim użytkownikom dostępu lokalnego administratora. Inni, tylko personel techniczny.

W moim dziale: bez uzasadnienia nie mają dostępu. W odniesieniu do lokalnego dostępu administratora do stacji roboczej: użytkownicy techniczni zazwyczaj go otrzymują. Jeśli stanowią one ryzyko dla firmy, można je ponownie ocenić indywidualnie. Przeciętny pracownik nietechniczny tego nie robi. Nigdy nie mieliśmy żadnego incydentu ze złośliwym oprogramowaniem, ale ogólnie prowadzimy napięty statek.

Odpowiedziałem również dzisiaj na pytanie , które jest związane z pańskim pytaniem tutaj. Obejmuje niektóre podstawowe zasady związane z polityką i procedurą kontroli dostępu.

Warner
źródło
4

Nie nie nie nie nie!

Żaden komputer z użytkownikiem z uprawnieniami administratora nie powinien nigdy wchodzić do sieci. Z pewnością żaden komputer należący do firmy nie powinien mieć uprawnień administratora:

Nie nienawidzę użytkowników, ale dział IT po prostu nie może skutecznie wykonywać swojej pracy, jeśli stale muszą naprawiać problemy z komputerem.

Dlaczego, u licha, użytkownicy (programiści, jeśli je masz, z wyjątkiem) potrzebują dostępu administratora.

Aby zainstalować aplikacje?

Spędzamy dużo czasu i wysiłku testując aplikacje pod kątem zgodności, a następnie standaryzujemy dla konkretnej wersji. Przechowujemy informacje licencyjne i zgadzamy się wspierać wszystko, co instalujemy.

Aby uruchomić aplikacje wymagające dostępu administratora?

Hej, nie korzystamy już z systemu Windows 98. Nie mogę sobie przypomnieć standardowej aplikacji biznesowej wymagającej uprawnień administratora. Gdyby tak było, nie pozwolilibyśmy przede wszystkim.

Aktualizacje

Po to jest WSUS / ASUS. Większość użytkowników nie potrzebuje najnowszych sterowników kart graficznych - nie są graczami!

Co jeśli [wstaw tutaj powód] musiał działać jako administrator?

Następnie są całkowicie oddzielone od reszty sieci, być może, jeśli będzie ich wystarczająco dużo, we własnej domenie. Co najważniejsze, zarządzamy ich oczekiwaniami - jeśli je złamiesz, naprawisz - normalne czasy rozdzielczości SLA nie mają zastosowania.

Istnieje wiele przypadkowych przypadków, ale staramy się prowadzić nasz dział, aby żaden użytkownik nigdy nie potrzebował dostępu administratora ani nawet nie prosił o nie. Jeśli Twoi użytkownicy mają uprawnienia administratora, to nie kontrolujesz swojej „sieci”, a nie jest to sytuacja, w której kiedykolwiek chciałbym być.

Jon Rhoades
źródło
2
Dobrze, że decydujący jest rodzaj użytkownika (a zatem i rodzaj organizacji). Mam doświadczenie w administrowaniu sklepami programistycznymi, ale wyraźnie inne wymagania mogą się różnić.
Charles Duffy,
@Charles Duffy - Zgadzam się, że programiści zmieniają wszystko, mamy tylko jedno, a on jest również członkiem zespołu IT, więc nie ma żadnych problemów.
Jon Rhoades
2

Zazwyczaj tam, gdzie pracowałem, programiści mieli dostęp administratora i ogólnie nikt inny.

W jednym miejscu, które podpisałem, mieli dobry pomysł. Aby uzyskać dostęp administratora, musiałem przeczytać i podpisać formularz potwierdzający, że jeśli kiedykolwiek będę musiał zadzwonić do IT w sprawie problemów z komputerem lub jeśli ktoś zauważy problemy na moim komputerze, IT spróbuje to naprawić przez piętnaście minut, a następnie wyczyść i zmień obraz.

David Thornley
źródło
1

Jak widać z poprzednich odpowiedzi, nie ma na to żadnej normy. Istnieje jednak Złota Reguła Najmniejszych Przywilejów. Oznacza to po prostu, że użytkownik powinien mieć minimalne prawa dostępu wymagane do wykonywania swojej pracy. Szkoda, że ​​szczególnie w świecie Windows oznacza to, że niektórzy użytkownicy (np. Programiści) wymagają pełnych uprawnień administratora.

Sugeruję, aby poprosić danego użytkownika o udokumentowanie, czego on / ona nie jest w stanie zrobić jako użytkownik i sprawdzić, czy problem można rozwiązać za pomocą czegoś mniej niż pełne uprawnienia administratora. Jeśli nie są w stanie lub nie chcą udokumentować problemów, możesz być w stanie przedstawić zarządowi sprawę, że roszczenie jest bezzasadne i dlatego nie wymaga zmian. Oczywiście, jak dobrze to idzie, często zależy od tego, kto jest do kitu w twojej organizacji.

John Gardeniers
źródło
0

Jeśli ktoś naprawdę potrzebuje uprawnień administratora na swoim komputerze lokalnym, kusiłoby mnie, aby ustawić coś takiego jak Virtual Box / Vmware Player jako piaskownicę. Pozwól im robić, co tylko zechcą, w piaskownicy, a na systemie operacyjnym hosta zostaną zablokowane jak każda inna maszyna.

Specyfika zależy w dużym stopniu od oczekiwań dla konkretnego systemu.

  • Czy użytkownik (i jego menedżerowie) chcą, aby ten użytkownik był odpowiedzialny za tworzenie kopii zapasowych?
  • Czy użytkownik będzie w stanie zaakceptować, że jeśli czegoś nie da się szybko naprawić, ponieważ on / ona sfałszował to, że otworzysz dysk i natychmiast go sformatujesz?
  • Czy użytkownik i menedżer są gotowi wziąć odpowiedzialność za wszelkie kwestie prawne wynikające z nielicencjonowanego oprogramowania, naruszenia bezpieczeństwa, uszkodzenia innych systemów w sieci?
Zoredache
źródło
Zakładając, że maszyna wirtualna nie była podłączona do sieci, łatwiej byłoby po prostu odłączyć kabel sieciowy. W przeciwnym razie wszystkie ryzyka nadal istnieją.
Joe Internet