Jak przekonać dużego szefa, że ​​nie potrzebuje uprawnień administratora?

Wiele razy zdarzyło mi się, że „wielki szef” w firmie chce być w stanie zainstalować „cokolwiek” i zrobić cokolwiek na swoim komputerze.

Oczywiście możemy mu powiedzieć, że jest źle, ponieważ administratorzy systemów informatycznych tracą kontrolę nad komputerem i tak dalej.

Jakikolwiek niezaprzeczalny argument przekonujący dużych szefów, że lepiej nie mieć uprawnień administratora na komputerze stacjonarnym?

Jedyny raz, kiedy udało mi się choć odrobinę odnieść sukces, był szef, który chciał użyć polecenia run z alternatywnymi danymi uwierzytelniającymi, jeśli chciał coś zainstalować. Wyjaśniłem, że nawet sysadmini przez większość czasu logowali się do systemów z normalnymi kontami, a następnie stworzyli mu własne konto administratora, z którego mógł korzystać tylko wtedy, gdy chciał zrobić coś specjalnego. To było naprawdę bardzo skuteczne i powstrzymało jego maszynę przed całkowitym zepsuciem w ciągu dwóch lat pracy w firmie. Był to względnie bystry dyrektor generalny, który był w stanie zrozumieć cały bieg jako coś i jestem pewien, że miał tam rzeczy, których nie zaakceptowałbym, ale przynajmniej powstrzymało go to od biernego zepsucia.

Powiedz im, że mogą mieć taki sam dostęp, jaki uzyskują administratorzy domeny, a następnie daj im dokładnie to:

• Standardowe konto użytkownika połączone z ich pocztą e-mail, dokumentami i aplikacjami biznesowymi, z którego mogą korzystać w codziennej pracy.
• Oddzielne konto na komputerze, które ma uprawnienia administratora dla tego komputera (podobne do konta administratora domeny administratora), ale NIE jest połączone z ich kontem e-mail ani żadnymi aplikacjami biznesowymi wymagającymi uwierzytelnienia na podstawie bieżącego zalogowanego użytkownika, i nie ma skonfigurowanych żadnych drukarek. Konto to powinno być podzielone według projektu, tak aby nie nadawało się do codziennego użytku.

Chodzi o to, że uprzywilejowane konto powinno zostać złamane na tyle, aby mniej bolesne było pozostanie zalogowanym przez większość czasu jako standardowy użytkownik; szef będzie chciał korzystać z konta uprzywilejowanego tylko wtedy, gdy naprawdę go potrzebuje. Duzi bossowie prawie zawsze bardzo mocno polegają na dostępie do systemów e-mail i raportów, więc jeśli możesz sprawić, by dostęp do nich z konta uprzywilejowanego był nieco mniej wygodny, jesteś w dobrej formie. Połowa czasu twój szef i tak po prostu zapomni poświadczeń.

Jeśli to nadal ich nie satysfakcjonuje, przekaż pełne konto administratora / root domeny, ale nadal rób to jako oddzielne konto od ich normalnego konta roboczego - w końcu są szefem. Upewnij się, że konto jest dokładnie kontrolowane. W tym momencie często tak naprawdę szukają po prostu polisy ubezpieczeniowej lub zabezpieczenia przed nieuczciwym administratorem; muszą czuć, że złotówka się z nimi skończy, jeśli o to chodzi, i dopóki mają standardowe konto użytkownika do codziennej pracy, nie ma w tym nic złego.

Brak, z wyjątkiem poinformowania ich, że wyczyszczenie komputera zajmie co najmniej 3 do 4 godzin, gdy beznadziejnie go zamknie.

Sprawiedliwe ostrzeżenie ...

Zajmuję się wyłącznie pracą najemną, więc robię wszystko, co powiedzą mi moi Klienci lub, jeśli mi się to nie podoba, stosuję w mojej umowie „klauzulę ratunkową”.

Mając to na uwadze, większość ludzi doświadczyła dziś pewnego rodzaju „złośliwego oprogramowania”. Dyskutuję z Klientem, w jaki sposób złośliwe oprogramowanie uruchamiane przez błędy przeglądarki itp. Ma takie same prawa i uprawnienia jak konto użytkownika, na którym jest zalogowany (w tym dostęp do poczty e-mail i naciśnięć klawiszy, nie wspominając o zasobach na serwery).

Zwykle pojawia się pytanie: „Dlaczego oprogramowanie antywirusowe nie zajmie się tym?” Następnie mamy rozmowę o „wyścigu zbrojeń” - o tym, w jaki sposób szkodliwi użytkownicy pobierają te same aktualizacje oprogramowania antywirusowego, którym jesteś, i opracowują nowe „sygnatury” itp.

Podsumowując, wyjaśniam, że używam ograniczonych kont użytkowników na wszystkich moich komputerach (i robiłem to od lat).

To wszystko, co zajęło mi przekonanie użytkowników do korzystania z kont o ograniczonej liczbie użytkowników. W kilku przypadkach musiałem najpierw pozwolić użytkownikowi na złośliwe oprogramowanie (co niezmiennie się zdarza), ale ponieważ moje usługi zazwyczaj zawierają bardzo wyraźne wskazanie związane z tym związane koszty, zwykle dzieje się to tylko raz.

Zasadniczo tworzę użytkowników na poziomie „administratora” jako konta lokalne lub konta domeny (wraz z zasadami grup ograniczonych, które faktycznie przyznają „uprawnienia” konta użytkownika), w zależności od liczby komputerów, do których użytkownik potrzebuje dostępu. Dbam o to, aby nie wymieniać go w żadnej grupie używanej przez codzienne konto użytkownika i nie dawać mu dostępu do skrzynki pocztowej Exchange. Chcę, aby konto na poziomie administratora było jak najbardziej bezużyteczne do wszystkiego oprócz instalowania oprogramowania / sterowników na komputerze.

Ta strategia pozwoliła mi zaoszczędzić sporo bólu głowy i zaoszczędzić moim Klientom znaczne pieniądze. Rozmowy, których potrzebujesz, wymagają „umiejętności ludzi”, a bycie kontrahentem z pewnością pomaga, ale z pewnością jest to problem nie do pokonania.

Zamiast próbować go przekonać, że się myli, być może powinieneś spróbować znaleźć jakiś sposób na kompromis. Być może pozwól mu uruchomić kopię VMware z gościnnym vm, w którym będzie szaleć. Spróbuj dać mu możliwość osiągnięcia tego, co według niego powinien zrobić, w sposób, który zapewni mu stabilny system zarządzany.

Naprawdę, prawdopodobnie potrzebujesz uzasadnienia biznesowego, że może on mieć komputer, który jest niezawodny i który można przywrócić, gdy ulegnie awarii lub straci komputer, ponieważ dokładnie wiesz, co jest w systemie i jak to naprawić i gdzie wszystko media są. Lub może mieć komputer, za który jest odpowiedzialny, a kiedy komputer się zepsuje, nie możesz zagwarantować, że będziesz w stanie zrobić coś innego niż sformatowanie + ponowna instalacja.

Spróbuj przekazać informacje o ryzyku i tym, co robisz, i spróbuj osiągnąć kompromis. Zastanów się nad skonfigurowaniem maszyny wirtualnej, konfiguracją podwójnego rozruchu lub czymś, co zapewni mu elastyczność, której potrzebuje / chce, ale nadal pozwoli mu mieć stabilny system.

Niestety, facet, który podpisuje twoją wypłatę, niewiele może zrobić. :-)

Najlepsza (praktyczna) rada, jaką mógłbym ci dać, to upewnić się, że masz dobrą procedurę tworzenia kopii zapasowych dla jego systemu i pozwolić mu odejść jak szalony. lol

To naprawdę sprowadza się do tego:

1. Ktoś musi być na miejscu kierowcy. To jego firma tak wyraźnie, że jest szefem. Najlepsze, co możesz zrobić, to ZALECAĆ mu najlepszy sposób działania (cokolwiek), a następnie pozwolić mu podjąć „świadomą decyzję”. Jeśli nie pójdzie za twoją radą ... i jest cholerstwo ... to JEGO wina, że ​​nie słucha.

2. Jeśli pójdzie za twoją radą i dojdzie do zamieszania ... to wciąż JEST jego wina, ponieważ to on podjął decyzję. Pamiętaj, ON jest na siedzeniu kierowcy.

Teraz ... od czasu do czasu będziesz wyglądać dziwnie ... nawet chichot lub śmiech.

Wyjaśnij jednak, że RÓŻNICA jest ... posprzątaj SWOJE bałagany (za darmo) i postaraj się rozwiązać sytuację. Drugi płaci ci za posprzątanie, a ty zastrzegasz sobie prawo do „głoszenia” mu przez 5-10 minut, a on zgadza się słuchać.

Postaraj się, aby było to POŚMIECHNE.

Nigdy nie miałem problemu z wyjaśnieniem tej logiki właścicielowi firmy. Większość z nich już to wie. Fajnie jest tłumaczyć to dosadnie (ale delikatnie). ;-)

Powiedz mu, że powinien naprawdę dać przykład reszcie firmy.

Jeśli zacznie „dostosowywać” swój (najgorszy przypadek) laptop za pomocą „pobrań internetowych”, wówczas jego dyrektor ds. Sprzedaży zrobi, dyrektor finansowy, asystent dyrektora ds. Sprzedaży, wola handlowca, technicy zrobią, obsługa klienta itd. Itd. .

Następnie wyjaśnij, że a) ryzyko dla INFRASTRUKTURY BIZNESOWEJ jest zwiększone (wyszukane znalezienie wszystkich informacji o klientach i zamówieniach w Internecie), b) ustanawia luźną kulturę bezpieczeństwa i profesjonalizmu w organizacji oraz c) kosztuje znacznie więcej i zmniejszona niezawodność.

Jeśli chce grać na maszynie, pozwól mu to zrobić na własnym komputerze, ale biznesowy komputer / laptop / sprzęt jest przeznaczony do celów biznesowych.

To dorosła rzecz ...

Nie rozumiem jednostronności odpowiedzi tutaj. Duży ser dostaje to, czego chce wielki ser.

Czy nietechniczny dyrektor wykonawczy będzie miał kłopoty z własnej produkcji?

Może - ale spójrz na to jako okazję do zdobycia umiejętności z pierwszej ręki, aby pochwalić się swoimi umiejętnościami i spędzić trochę czasu z facetem podpisującym czeki. Udzielenie talentowi młodego administratora kontaktu z dyrektorem generalnym to świetny sposób na zapewnienie dziecku twarzy i ułatwia proces promocji ... „Pamiętaj o facecie, który uratował dzień w zeszłym miesiącu ...”

Lub możesz przyjąć zrzędliwe podejście według książki, wkurzyć dyrektora generalnego i doprowadzić do zgagi szefa.

Całkowicie ominąłem ten problem i kupiłem CEO bardzo drogą, bardzo wysokiej klasy (wówczas) stację roboczą dla komputerów Mac z dużym wyświetlaczem studyjnym. Uwielbiał wyłączność, podobało mi się to, że było trochę mniej problemów, do których mógł się dostać. Utrzymałem zdolność ssh i biec na górę, żeby mieć wszystko na oku. Na szczęście nie był facetem od laptopa.

Powiedz mu, że bardzo niewielu szefów szpitali wykonuje operacje mózgu lub inne zabiegi chirurgiczne w tym zakresie.

Zamiast próbować powstrzymać szefa przed instalowaniem rzeczy na jego komputerze, myślę, że lepiej jest wymyślić sposób, aby powstrzymać jego komputer przed spowodowaniem niechcianego zniszczenia pozostałych systemów informatycznych, gdy on / ona nieuchronnie dostanie wirusa po wyłączeniu skaner antywirusowy.

Jeśli to pytanie się pojawi, zgaduję, że organizacja nie ma wyraźnych zasad postępowania w przypadku tego rodzaju wniosków. Gdyby to było na miejscu, byłoby to nie do pomyślenia, albo zapisywałby specjalne prośby o zdobycie szeregów. Albo poprosiłby cię o naruszenie zasad. ahem.

Niewiele możesz zrobić. Nie ma magicznego argumentu, jeśli ktoś tego nie rozumie lub twój szef lub organizacja nie rozpoznaje możliwych zagrożeń. Możesz zająć stanowisko i powiedzieć „nie”, ale to może, ale nie musi działać, i może prowadzić do złych uczuć.

Konkluzja: jeśli szef nie jest zainteresowany wyglądem preferowanego leczenia lub ryzykiem związanym z użytkownikami działającymi jako administratorzy ORAZ ty (lub twój oddział) nie masz uznanego upoważnienia do odrzucenia wniosku, równie dobrze możesz dać to mu.

Najlepsze, co możesz zrobić, to sformułować uprzejme stwierdzenie „jest to sprzeczne z najlepszą praktyką techniczną”, poprzeć jego rzeczy, wypuścić i pozwolić mu pojechać do miasta.

Przekonałem się, że większość menedżerów ma jeden z dwóch stylów korzystania z komputera: albo są bardzo bezużyteczni, ponieważ mają ważniejsze rzeczy do roboty niż granie z komputerem, lub lubią się tam bawić i bawić.

Kierownicy bezproblemowi nie mają problemów - konfigurujesz ich komputer, mówisz im, co mogą, a czego nie mogą robić, i upewniasz się, że zawsze jesteś przy nich, jeśli coś trzeba zainstalować (i mieć jak najwięcej opcji - np. konto lokalne z dostępem administratora, testowany dostęp zdalny przez VPN itp.).

W moim przypadku prawie wszyscy menedżerowie i ludzie na poziomie VP, którzy lubili instalować lub konfigurować rzeczy na swoich komputerach, w pewnym momencie zabili ich komputery, więc nie mieliśmy zbyt dużego problemu z ich zablokowaniem. Kilka z nich musieliśmy opowiedzieć o lokalnym koncie administratora, aby ich uszczęśliwić, ale rozumieli ryzyko zrobienia czegoś bez angażowania nas lub przynajmniej wcześniejszego pytania.

Prezydent jednak nigdy nie zrozumiał, ile to kosztuje, kiedy zabił swój system, ale przeszedł na emeryturę, zanim spróbowaliśmy naszej ostatniej próby rozwiązania: zamierzamy zdobyć dla niego dwa komputery, jeden zamknięty wszystkimi naszymi standardowymi rzeczami. zainstalowany, a drugi, w którym mógł zainstalować wszystko, co mu się podobało. Lubił małe notebooki na długo przed stworzeniem terminu „netbook”, więc pomyślałem, że może nosić ze sobą dwa, ale tylko jeden zasilacz.

Wyjaśnij, że posiadanie uprawnień administracyjnych sprawia, że ​​jego komputer jest bardziej podatny na ataki hakerów, którzy mogą kraść tajemnice firmowe, niszczyć dane lub usługi związane z nadużyciami lub wirusy, które mogą zniszczyć dane lub spowodować, że będzie on częścią botnetu, który może otworzyć je na zarzuty przestępstwa komputerowego jeśli biorą udział w ataku DoS lub podobnym.

Ponadto wyjaśnij, że jeśli przypadkowo coś uszkodzą, mogą pozostawać bez komputera przez kilka godzin (lub dni) podczas próby naprawy. Jeśli nie mają uprawnień administracyjnych, będą mieli mniejszą zdolność do niszczenia rzeczy.

Najpierw potrzebujesz zasad IT - rozwiązania techniczne są zawsze oparte na nich, a nie na odwrót, bez względu na to, jak oczywiste wydają się nam niektóre konfiguracje techniczne, takie jak konta użytkowników niebędących administratorami.

Zapytałbym go, co on myśli, że nie może zrobić ze swoimi przywilejami. Poza tym daj mu uprawnienia administratora - podpisuje czek na nadgodziny, gdy go zepsuje.

To, co zrobiliśmy, to wyjaśnienie tego, o czym już wspomnieliśmy ... jeśli musimy wyczyścić system, oznacza to, że nie ma go przez ten okres czasu. Mamy również surowe zasady, które dokonujemy szybkiej oceny. Jeśli czyszczenie potrwa dłużej niż godzinę lub jeśli nie będziemy w stanie szybko ocenić stopnia infekcji, po prostu ponownie zobrazujemy system. Problem z tym, jeśli chodzi o kierownictwo, polega na tym, że wszystkie ich zabawki zniknęły. Ale skoro nie wiedzieliśmy, co jest w systemie ani gdzie uzyskać wszystkie pakiety instalacyjne ... masz pomysł. Być może nie masz takiej dźwigni, ale warto spróbować.

Ostatecznie wielki szef musi podjąć decyzję biznesową, co jest dla niego akceptowalne. Technicznie możemy się z tym nie zgodzić, ale to nie nasza sprawa. Jeśli nie możemy żyć z tą decyzją, zawsze mamy możliwość poszukiwania zatrudnienia gdzie indziej.

Nawiasem mówiąc, jeśli szukasz zasobu do pomocy w tym argumencie, sprawdź następującą witrynę: Threatcode.com . Nie wiem, czy jest przechowywany, ale był reklamowany w przeszłości.

Jeśli pójdziesz dalej i powiesz „nie możesz tego zrobić” z facetem, który podpisuje, czek jest płatny, wtedy przegrasz!

Jak zawsze, musisz się przekręcić i obrócić, aby to obejść. Odpowiedź można znaleźć tylko wtedy, gdy zrozumiesz, dlaczego on chce być administratorem.

Jeśli jest to techniczne, możesz go przekonać, ale jeśli chodzi o „moc” i bycie szefem, to nie masz szczęścia. Bardzo trudno jest przekonać szefa, że ​​potrzebuje mniej przywilejów niż ludzie, nad którymi on rządzi, co prawdopodobnie oznaczałoby z jego punktu widzenia, że ​​mogą robić więcej niż on, i to odwraca normalną hierarchię do góry nogami ( i większość bossów tego nie lubi).

Dlatego starannie wybieraj słowa i nie zapomnij o ludzkiej stronie tego problemu.

\ nazwa_komputera \ c $ na komputerze, przeczytaj wszystkie jego dokumenty, skopiuj je, wklej w inne miejsce, a następnie pokaż mu przykład tego, co haker zrobi z jego systemem i ze wszystkimi informacjami osobistymi, jeśli zostanie zainfekowany ponieważ chciał przejść do dziwnych stron lub skądś pobrać darmowe gry.

Prawdopodobnie cię zwolni. Byłem w takiej sytuacji wcześniej i jest to sytuacja, w której nie ma wygranej. Jestem teraz w innym. Pracuję dla firmy, która nie śmieje się z przyznawania użytkownikom uprawnień lokalnych administratorów. Cały czas mamy problemy z wirusami / programami szpiegującymi / złośliwym oprogramowaniem. Co więcej, nasz facet od pulpitu jest noobem, ale bardzo zarozumiałym, jakby wynalazł Internet.

W każdym razie jestem administratorem sieci. Po prostu blokuję naprawdę złe witryny i staram się nie dopuścić do tego, aby coś się wydarzyło, ale głupi użytkownicy zawsze wydają się znaleźć sposób. Cieszę się, że nie muszę zbyt często kryć się za facetem od pulpitu.