Нормально ли предоставлять администратору пользователей доступ к ПК своей компании?

13

У меня есть пользователь, который хочет быть администратором своего рабочего ПК, он придумал историю о том, как он не может работать без него, поэтому мне сказали «исправить это» (как будто это ошибка, в которую он вошел как Пользователь!).

Мои коллеги по ИТ и я не входим в систему как администраторы из-за того, что вирусы / вредоносные программы начинают действовать и настраиваются в качестве серверов для распространения атаки (да, это происходило в прошлом).

Что такое «норма» для пользователей вашей сети и как вы обрабатываете запросы на доступ администратора?

Благодарность

Филипп Б
источник
3
Если вы возражаете против предоставления ему прав администратора, то вы несете ответственность за то, чтобы заранее убедиться, что он имеет все детальные разрешения и доступ, чтобы они не сталкивались с препятствиями в виде частичной еды. Это очень трудно предвидеть в системе Windows, учитывая сложность современного программного обеспечения. Например, они могут видеть странное поведение в приложении, и после дня устранения неполадок выяснить, что приложение молча не смогло прочитать некоторые параметры реестра, к которым у пользователя не было доступа.
AaronLS

Ответы:

12

В настоящее время у нас есть три уровня поддержки пользователей:

  1. Полная поддержка. Пользователи имеют только базовый доступ и стандартный набор приложений.
  2. Ограниченная поддержка. Мы делаем центральное исправление ОС и поставляем приложения. Пользователь имеет root-доступ.
  3. Без поддержки. Мы предоставляем пользователю подключение к интернету. Пользователь несет ответственность за компьютер, включая программное обеспечение и исправления. Мы следим за сетью на предмет проблем и отключаем пользователя, если есть проблема.

Таким образом, пользователи могут выбирать, что они хотят, и мы минимизируем влияние, как для ИТ-персонала, так и для пользователей. Мы обнаружили, что пользователям можно доверять, чтобы выбрать соответствующий уровень поддержки. У меня такое ощущение, что блокировка пользователей по умолчанию очень затратна с точки зрения производительности.

pehrs
источник
1
+1 Мне это нравится, и я могу попробовать это на моей работе.
Ник
4
Хотя это интересный подход и заслуживает рассмотрения, в случае склонных к вредоносным программам операционных систем он, скорее всего, позволит распространять червеобразные вредоносные программы во всей вашей внутренней сети. Чтобы устранить этот риск, варианты 2 и 3 не могут включать неограниченный внутренний доступ к сети.
Уорнер
2
Я думаю, что это отличный подход. Люди с ПК на своих рабочих местах, как правило, являются «работниками умственного труда» (KW), а KW, как правило, лучше всего принимать собственные персональные технологические решения. В 80-х годах ИТ еще называли «Обработка данных», и они отвечали только за большие железные и тупые терминалы. Именно KW привезли свои собственные ПК, которые заставили отделы обработки данных повсюду сосредоточиться на поддержке ПК, перейти на модель клиент-сервер и, в конечном итоге, переименовать себя в «ИТ». Пусть ваши KW сами решат, сколько рук они хотят от вас.
Spiff
@ Где бы я ни работал, большинство людей не используют предрасположенные к вредоносным программам операционные системы, и они выбирают №3 и получают неограниченный внутренний доступ к сети. Люди, которые хотят использовать подверженные вредоносным программам операционные системы, вынуждены переходить на # 2 или # 1 и вынуждены использовать только зарегистрированные статические IP-адреса для своих склонных к вредоносным программам ящиков, чтобы ИТ-специалисты более легко сканировали свои порты или свой сетевой трафик на наличие вредоносных программ, и легче отследить виновного.
Spiff
Условия являются ключевыми. Вы не могли бы убедить меня в том, что предоставление клиентскому обслуживанию неограниченного доступа к их рабочим станциям Windows во внутренней сети было бы хорошей идеей при сохранении разумного уровня обслуживания конечного пользователя. Это создаст серьезную угрозу безопасности между неспособностью поддерживать стандарты, обновлениями и дополнительными привилегиями, позволяющими вредоносным программам работать без ограничений. Мне нравится идея 3, так как я концентрирую свою карьеру на интернет-технологиях и высокоуровневых решениях, а не на технологиях типа поддержки в интрасети.
Уорнер
5

Мои два цента :

1 / Права администратора - ПЛОХО. И вредоносные программы не единственная причина, почему. Другая, и часто более важная проблема, заключается в том, что многие пользователи добавляют приложения, которые вы не знаете, как поддерживать, или которые со временем прекращают работу. Результат? Три или четыре года, как это, и вы в конечном итоге плачете, потому что по какой-то причине критически важный для бизнеса процесс обрабатывается с помощью приложения, которое никто не знает, или которое было разработано "другом парня, который ушел" компания, или что-то еще. Например, у меня есть клиент, который разработал БОЛЬШОЕ и действительно ОЧЕНЬ ПОЛЕЗНОЕ приложение с использованием Lotus 1-2-3. Очень старая версия. Это не работает на более поздних ОС, чем ... Windows 98. И парень, который сделал это, покинул компанию. Видишь проблему?

2 / Если у кого-то НЕ должно быть прав администратора, то это разработчики . Потому что, если они администраторы, они не будут прилагать никаких усилий для написания своего программного обеспечения, соблюдая правила кодирования. И они в конечном итоге будут писать приложения, которым НУЖНЫ права администратора для запуска. Что плохо

Я системный администратор, и я работаю без прав администратора (даже не локального администратора моего компьютера). Когда они мне нужны, я беру их на время моей задачи администратора. Это мой спаситель жизни. Я могу делать ошибки ... А ошибки с правами администратора могут быть ужасными.


источник
Жизнь меняется !!!!
Саарико
4

Конечному пользователю может быть предоставлено более обоснованное бизнес-обоснование для получения более высоких привилегий. Часто это будет продиктовано культурой вашей компании.

Лучшая ИТ-политика заключается в том, чтобы по умолчанию использовать наименьшее количество привилегий, необходимых для выполнения функции работы. Если есть обоснование и нет технических решений для сохранения меньших привилегий, то есть дополнительное обоснование для бизнеса.

Некоторые технические компании предпочитают предоставлять всем пользователям доступ локального администратора. Другие, только технический персонал.

В моем отделе: без обоснования они не получают доступ. Что касается доступа локального администратора рабочей станции: технические пользователи обычно получают его. Если они представляют риск для компании, он может быть переоценен в индивидуальном порядке. Средний нетехнический работник не делает. У нас никогда не было инцидента с вредоносным ПО, имеющего какое-либо значение, но в целом мы работаем на малой судне.

Я также ответил на вопрос ранее сегодня, который связан с вашим вопросом здесь. Он охватывает некоторые фундаментальные принципы, связанные с политикой и процедурой контроля доступа.

сигнализатор
источник
4

Нет-нет-нет-нет-нет!

Ни один компьютер с пользователем, обладающим правами администратора, не должен подключаться к вашей сети. Конечно, ни один компьютер, принадлежащий компании, не должен иметь прав администратора:

  • Пользователи будут устанавливать нежелательные программы - P2P / Torrents и т. Д.
  • Пользователи устанавливают пиратское / нелицензионное программное обеспечение на машине, принадлежащей компании, за которую отвечает ИТ-отдел.
  • Пользователи, как правило, "портят" свои компьютеры, загружая несовместимые обновления и т. Д.
  • Их компьютер менее защищен - 90% уязвимостей Windows 7 устраняются, если пользователь работает с ограниченными правами.

Я не ненавижу пользователей, но ИТ-отдел просто не может эффективно выполнять свою работу, если им постоянно приходится исправлять проблемы с компьютером.

С какой стати пользователям (разработчикам, если они у вас есть, за исключением) нужен доступ администратора.

Для установки приложений?

Мы тратим много времени и усилий на тестирование приложений на совместимость, а затем стандартизируем для конкретной версии. Мы храним информацию о лицензировании и соглашаемся поддерживать все, что устанавливаем.

Для запуска приложений, которые требуют доступа администратора?

Эй, у нас больше нет Windows 98. Я не могу вспомнить стандартное бизнес-приложение, которое требует прав администратора. Если бы мы это сделали, мы бы не допустили в первую очередь.

Обновления?

Вот для чего WSUS / ASUS. Большинству пользователей не нужны последние драйверы видеокарты - они не геймеры!

Что если [указать причину здесь] нужно было запускать от имени администратора?

Затем они полностью отделены от остальной части сети, возможно, если их было достаточно, в своем собственном домене. Самое главное, мы управляем их ожиданиями - вы нарушаете это, вы исправляете это - обычное время разрешения SLA не применяется.

Существует множество крайних случаев, но мы стремимся запустить наш отдел, поэтому ни одному пользователю никогда не понадобится доступ администратора или даже его запрос. Если у ваших пользователей есть права администратора, вы не управляете своей «сетью», и я бы не хотел, чтобы в этой ситуации.

Джон Роудс
источник
2
Хороший момент, что тип пользователя (и, следовательно, тип организации) является решающим фактором. Мой опыт в администрировании магазинов разработки программного обеспечения, но требования в других местах могут отличаться.
Чарльз Даффи
@Charles Duffy - я согласен с тем, что разработчики меняют все, у нас есть только один, и он также является членом команды ИТ, поэтому никаких проблем нет.
Джон Роудс
2

Как правило, там, где я работал, разработчики программного обеспечения имели доступ администратора и, как правило, никто другой.

В одном месте я заключил контракт, у них была хорошая идея. Чтобы получить административный доступ, мне пришлось прочитать и подписать форму, в которой говорилось, что, если мне когда-нибудь придется звонить в ИТ-отдел по поводу проблем с компьютером или если кто-то еще замечает проблемы на моем компьютере, он будет пытаться исправить это в течение пятнадцати минут, а затем протрите и повторно изображение.

Дэвид Торнли
источник
1

Как видно из предыдущих ответов, для этого нет нормы. Однако существует золотое правило наименьших привилегий. Это просто означает, что ваш пользователь должен иметь минимальные права доступа, необходимые для выполнения своей работы. К сожалению, особенно в мире Windows, это означает, что некоторым пользователям (например, программистам) требуются полные права администратора.

Я предлагаю вам попросить данного пользователя задокументировать, что он / она не может сделать как пользователь, и посмотреть, можно ли решить проблему с помощью чего-то меньшего, чем полные права администратора. Если они не могут или не желают задокументировать проблемы, вы вполне можете представить руководству заявление о том, что претензия необоснованна и, следовательно, не требует изменений. Конечно, то, насколько хорошо это происходит, часто зависит от того, кто поддастся тому, кто в вашей конкретной организации.

Джон Гарденье
источник
0

Если кому-то действительно нужны права администратора на их локальном компьютере, я бы хотел установить что-то вроде Virtual Box / Vmware Player в качестве своей песочницы. Разрешите им делать все, что они хотят в своей песочнице, и в ОС хоста они будут заблокированы, как и любая другая машина.

Специфика будет во многом зависеть от ожиданий конкретной системы.

  • Готов ли пользователь (и его менеджеры) сделать так, чтобы этот пользователь отвечал за резервное копирование?
  • Сможет ли пользователь принять, что если что-то не может быть быстро исправлено, потому что он / она выдумал, что вы вставите диск и сразу отформатируете его?
  • Готовы ли пользователь и менеджер взять на себя ответственность за любые юридические проблемы, возникшие в результате использования нелицензионного программного обеспечения, нарушений безопасности, повреждения других систем в сети?
Zoredache
источник
Предполагая, что виртуальная машина не подключена к сети, было бы проще просто отключить их сетевой кабель. В противном случае все риски все еще существуют.
Джо Интернет