Come convincere un grande capo che non ha bisogno dei privilegi di amministratore?

Ho scoperto molte volte che "il grande capo" in un'azienda vuole essere in grado di installare "qualsiasi cosa" e fare qualsiasi cosa nel proprio computer.

Ovviamente possiamo dirgli che è un male perché gli amministratori del sistema IT perdono il controllo del computer e così via.

Qualche argomento inconfutabile per convincere i grandi capi che è meglio non avere i privilegi di amministratore sul loro computer desktop?

L'unica volta in cui ho avuto anche un piccolo successo in questo è stato un capo che era disposto a usare la corsa come con credenziali alternative se voleva installare qualcosa. Spiegai che anche i amministratori di sistema accedevano ai sistemi con account normali per la maggior parte del tempo e quindi gli creavano il proprio account amministratore che doveva usare solo quando voleva fare qualcosa di speciale. In realtà è stato molto efficace e ha impedito che la sua macchina si rovinasse completamente nei due anni in cui ero in azienda. Questo è stato un CEO relativamente esperto che è stato in grado di comprendere l'intera faccenda come una cosa, e sono sicuro che avesse cose lì che non avrei approvato, ma almeno gli ha impedito di rovinare passivamente le cose.

Dì loro che possono avere lo stesso accesso che ottengono gli amministratori di dominio, quindi dai loro esattamente quello:

• Un account utente standard collegato a e-mail, documenti e app aziendali che possono utilizzare per il lavoro quotidiano.
• Un account separato sulla macchina che dispone dei privilegi di amministratore per quella macchina (analogo all'account amministratore di dominio di un amministratore), ma NON è collegato al proprio account di posta elettronica o a qualsiasi app aziendale che richiede l'autenticazione in base all'utente attualmente connesso, e non ha alcuna stampante impostata. Questo account dovrebbe essere interrotto in base alla progettazione, in modo tale da non essere utile per l'uso quotidiano.

L'idea è che l'account privilegiato dovrebbe essere rotto abbastanza da rendere meno doloroso rimanere connessi come utente standard per la maggior parte del tempo; il capo vorrà usare l'account privilegiato solo quando ne ha davvero bisogno. I grandi capi fanno quasi sempre molto affidamento sull'accesso all'e-mail e ai sistemi di report, quindi se riesci a rendere l'accesso a questi dall'account privilegiato un po 'meno conveniente sei in buona forma. La metà delle volte il tuo capo dimenticherà comunque le credenziali.

Se questo ancora non li soddisfa, vai avanti e distribuisci un account di dominio / amministratore completo di dominio, ma fallo comunque come un account separato dal loro normale account di lavoro - dopo tutto, sono il capo. Assicurati che l'account sia sottoposto a un controllo approfondito. A questo punto, ciò che spesso cercano davvero è solo una polizza assicurativa o una copertura contro un amministratore canaglia; hanno bisogno di sentirsi come se il dollaro si fermasse con loro se si tratta di esso, e finché hanno un account utente standard per il loro lavoro quotidiano non c'è niente di sbagliato in questo.

Nessuno, tranne per far loro sapere che ci vorranno almeno 3-4 ore per ripulire il suo computer quando lo ha irrimediabilmente ripulito.

Solo un giusto avvertimento ..

Faccio solo lavori a contratto, quindi faccio qualunque cosa i miei clienti mi dicono o, se davvero non mi piace, esercito la "clausola di salvataggio" nel mio contratto.

Con questo in mente, la maggior parte delle persone ha avuto una sorta di esperienza di "malware" oggi. Discuto con il Cliente in che modo il software dannoso che eseguono tramite i bug del browser, ecc., Ha tutti gli stessi diritti e privilegi dell'account utente con cui ha effettuato l'accesso (incluso l'accesso alla sua e-mail e ai tasti premuti, per non parlare delle risorse su server).

Normalmente ricevo una domanda del tipo "Perché il software antivirus non se ne occupa?" Discutiamo quindi della "corsa agli armamenti", quella su come le persone malintenzionate scaricano gli stessi aggiornamenti sul software antimalware che state progettando e sviluppando intorno alle nuove "firme", ecc.

Completo il tutto spiegando che utilizzo account utente limitati su tutti i miei computer (e lo faccio da anni).

Questo è tutto ciò che mi è servito per convincere gli utenti a correre con account per utenti limitati. In alcune occasioni ho dovuto prima consentire all'utente di avere un'esperienza di malware (cosa che accade invariabilmente), ma poiché i miei servizi in genere forniscono un'indicazione molto chiara delle spese connesse, di solito accade solo una volta.

Generalmente creo utenti di livello "Amministratore" come account locali o account di dominio (insieme a criteri di gruppi limitati per fornire effettivamente "diritti" all'account utente), a seconda del numero di computer a cui l'utente ha bisogno dell'accesso. Mi assicuro di non nominarlo in nessuno dei gruppi utilizzati dall'account utente corrente e di non dargli accesso alla loro cassetta postale di Exchange. Voglio che l'account di livello "Amministratore" sia il più inutile possibile per qualsiasi cosa tranne l'installazione di software / driver sul loro PC.

Questa strategia mi ha fatto risparmiare un sacco di mal di testa e ha risparmiato ai miei clienti una notevole quantità di denaro. Ci vogliono le "abilità delle persone" per avere le conversazioni che devi avere, ed essere un appaltatore sicuramente aiuta le cose, ma è sicuramente un problema superabile.

Invece di provare a convincerlo che ha torto, forse dovresti provare a trovare un modo per scendere a compromessi. Forse consentirgli di eseguire una copia di VMware con un guest VM su cui può scatenarsi. Cerca di dargli la capacità di realizzare ciò che pensa di dover fare in un modo che gli lascerà comunque un sistema gestito stabile.

Davvero, probabilmente devi sostenere che può avere un computer affidabile e che può essere ripristinato quando fallisce o perde il suo computer perché sai esattamente cosa c'è sul sistema e come risolverlo e dove tutto il media è. Oppure può avere un computer di cui è responsabile e quando il computer si rompe, non puoi garantire che sarai in grado di fare qualsiasi altra cosa oltre a formattare + reinstallare.

Cerca di comunicare i rischi e ciò che fai e cerca di raggiungere un compromesso. Prendi in considerazione la possibilità di configurare una macchina virtuale, una configurazione a doppio avvio o qualcosa che gli consenta la flessibilità di cui ha bisogno / desidera, ma che gli permetta comunque di avere un sistema stabile.

Sfortunatamente, non c'è molto che puoi fare per il ragazzo che sta firmando il tuo stipendio. :-)

Il miglior consiglio (pratico) che potrei darti sarebbe quello di assicurarti di avere una buona routine di backup in atto per il suo sistema e lasciarlo impazzire. LOL

Si riduce davvero a questo:

1. QUALCUNO deve essere al posto di guida. È la sua compagnia così chiaramente che è il capo. Il meglio che puoi fare è CONSIGLIARLO sul miglior modo di agire (con qualsiasi cosa) e poi lasciargli prendere una "decisione informata". Se non segue i tuoi consigli ... e c'è un errore ... è colpa sua per non aver ascoltato.

2. Se segue il tuo consiglio e c'è un errore ... è ancora colpa sua perché ha preso la decisione. Ricorda, è al posto di guida.

Ora ... questo ti darà alcuni strani look di tanto in tanto ... persino una risatina o una risata.

Ma assicurati di spiegare che LA DIFFERENZA è ... il tuo ripulire i TUOI casini (gratuitamente) e fai del tuo meglio per risolvere la situazione. L'altro ti paga per ripulire e ti riservi il diritto di "predicare" per 5-10 minuti e accetta di ascoltare.

Cerca di tenerlo sul lato DIVERTENTE.

Non ho mai avuto problemi a spiegare questa logica a un imprenditore. Molti di loro lo sanno già. È divertente spiegarlo in termini schietti (ma delicati). ;-)

Digli che dovrebbe davvero dare l'esempio che dovrebbe seguire il resto dell'azienda.

Se inizia a "personalizzare" il suo laptop (nel peggiore dei casi) con "download da Internet", lo farà il suo direttore delle vendite, il direttore delle finanze, il vicedirettore delle vendite, la volontà degli addetti alle vendite, i tecnici, i servizi ai clienti, ecc. Ecc. .

Quindi, spiega che a) il rischio per le INFRASTRUTTURE AZIENDALI è aumentato (fantasia nel trovare tutti i tuoi clienti e ordinare informazioni su Internet), b) imposta una cultura della sicurezza e della professionalità nell'organizzazione, e c) costa molto di più in supporto e ridotta affidabilità.

Se vuole una macchina da gioco, allora lascialo fare sul suo PC, ma un PC / laptop / apparecchiatura aziendale è per scopi aziendali.

È una cosa adulta ...

Non capisco la unicità delle risposte qui. Il formaggio grande ottiene ciò che vuole il formaggio grande.

Un dirigente non tecnico si metterà nei guai da solo?

Forse - ma guardalo come un'opportunità per ottenere un'abilità di prima mano per mostrare le tue abilità e ottenere un po 'di tempo con il ragazzo che firma gli assegni. Dare un'esposizione di amministratore giovane di talento al CEO è un ottimo modo per dare un volto al bambino e semplifica il processo di promozione ... "Ricorda il ragazzo che ha salvato la giornata il mese scorso ..."

Oppure puoi prendere l'approccio scontroso, per libro, far incazzare il CEO e dare il tuo bruciore di stomaco al tuo capo.

Ho completamente evitato il problema e ho comprato al CEO una workstation Mac molto costosa, molto costosa (all'epoca) con un enorme display da studio. Amava l'esclusività, mi piaceva il fatto che ci fosse un po 'meno problemi a cui potesse arrivare. Ho mantenuto la capacità di entrare e correre al top solo per tenere d'occhio le cose. Fortunatamente non era un ragazzo laptop.

Digli che pochissimi boss ospedalieri eseguono la chirurgia cerebrale o qualsiasi procedura chirurgica per quella materia.

Invece di provare a impedire al capo di installare roba sulla sua macchina, penso che sia meglio trovare un modo per impedire al suo computer di causare la distruzione sfrenata del resto dei tuoi sistemi IT quando inevitabilmente ottiene un virus dopo aver disabilitato il scanner di virus.

Se questa domanda dovesse sorgere, immagino che l'organizzazione non disponga di politiche esplicite per gestire questo tipo di richiesta. Se questi fossero in atto, sarebbe stato un no-go, o avrebbe archiviato le richieste speciali per ottenere i priv. O ti avrebbe chiesto di violare la politica. ahem.

Non c'è molto che puoi fare. Non c'è argomento magico se qualcuno non lo capisce o il tuo capo o la tua organizzazione non riconosce i possibili rischi. Puoi prendere una posizione e dire di no, ma ciò può o non può funzionare e può portare a sentimenti negativi.

In conclusione: se un capo non si preoccupa dell'aspetto del trattamento preferito o del rischio associato agli utenti in esecuzione come amministratori E tu (o il tuo ufficio) non hai l'autorità riconosciuta per rifiutare la richiesta, potresti anche consegnarla a lui.

La cosa migliore che puoi fare è provare a formulare un'istruzione educata "questo è contro le migliori pratiche tecniche", sostenere le sue cose, alzarlo e lasciarlo andare in città.

Ho scoperto che la maggior parte dei manager ha uno dei due stili di utilizzo del computer: o sono estremamente pratici perché hanno cose più importanti da fare che giocare con un computer, o gli piace entrare e scherzare.

I gestori delle mani libere non sono un problema: imposti il ​​loro computer, dici loro cosa possono e non possono fare e assicurati di essere sempre lì se hanno bisogno di installare qualcosa (e hai quante più opzioni possibili - ad es. un account locale con accesso amministratore, accesso remoto testato tramite VPN, ecc.).

Nel mio caso, quasi tutti i manager e i ragazzi di livello VP a cui piaceva installare o configurare cose sui loro computer a un certo punto avevano ucciso i loro computer, quindi non abbiamo avuto troppi problemi a bloccarli. Un paio di loro abbiamo dovuto parlare dell'account amministratore locale per renderli felici, ma hanno capito i rischi di fare qualcosa senza coinvolgerci o almeno chiederci prima.

Il presidente, tuttavia, non ha mai capito quanto costava quando ha ucciso il suo sistema, ma si è ritirato prima che potessimo provare il nostro ultimo tentativo di soluzione: gli avremmo procurato due computer, uno bloccato con tutte le nostre cose standard installato, e un secondo in cui poteva installare tutto ciò che colpiva la sua fantasia. Gli piacevano i piccoli notebook molto prima che venisse coniato il termine "netbook", quindi ho pensato che potesse portarne due in giro, ma solo un alimentatore.

Spiega che avere privilegi amministrativi rende il suo computer più votabile agli hacker, che potrebbero rubare segreti aziendali, distruggere dati o servizi di abuso o virus, che potrebbero distruggere i dati o indurlo a far parte di una botnet, che potrebbe aprirli a reati informatici se prendono parte a un attacco DoS o simili.

Inoltre, spiega che se danneggiano accidentalmente qualcosa, potrebbero rimanere senza il computer per alcune ore (o giorni) mentre provi a risolverlo. Se non hanno privilegi di amministratore, avranno meno capacità di infrangere le cose.

Per prima cosa sono necessarie le politiche IT: le soluzioni tecniche si basano sempre su di esse, non viceversa, indipendentemente da quanto ovvi sembrino alcune configurazioni tecniche come gli account degli utenti non amministratori.

Gli chiederei che cosa pensa di non poter fare con i privilegi che ha. A parte questo, dagli i diritti di amministratore: firma il controllo degli straordinari quando lo rompe.

Ciò che abbiamo fatto è spiegare ciò che è già stato menzionato ... se dobbiamo ripulire un sistema, significa che sono senza il loro sistema per quel periodo di tempo. Abbiamo anche una rigida politica che prevede una rapida valutazione. Se la pulizia impiegherà più di un'ora o se non siamo in grado di valutare rapidamente l'estensione dell'infezione, ri-immaginiamo semplicemente il sistema. Il problema, per quanto riguarda l'esecutivo, è che adesso tutti i loro giocattoli sono spariti. Ma dal momento che non sapevamo cosa c'era sul sistema o dove trovare tutti i pacchetti di installazione ... hai avuto l'idea. Potresti non avere tale leva finanziaria ma vale la pena provare.

Alla fine, il grande capo deve prendere una decisione commerciale su ciò che è accettabile per lui / lei. Potremmo non essere d'accordo tecnicamente con ciò che vogliamo, ma non sono affari nostri. Se non riusciamo a convivere con tale decisione, abbiamo sempre la possibilità di cercare lavoro altrove.

A proposito, se stai cercando una risorsa per aiutarti con questo argomento, visita il seguente sito: Threatcode.com . Non so che sia aggiornato, ma è stato propagandato in passato.

Se vai avanti e dici "non puoi farlo" con il ragazzo che ti sta firmando paga, allora perderai!

Come sempre, devi girare e girare per aggirare questo. La risposta può essere trovata solo se capisci perché vuole essere amministratore.

Se è tecnico potresti essere in grado di convincerlo, ma se si tratta di "potere" e di essere il tuo capo sei sfortunato. È molto difficile convincere un capo che ha bisogno di meno privilegi delle persone su cui sta dirigendo, ciò significherebbe probabilmente dal suo punto di vista che gli è permesso fare più di lui e che capovolge la normale gerarchia ( e alla maggior parte dei capi non piace).

Quindi scegli le tue parole con cura e non dimenticare il lato umano di questo problema.

\ nomecomputer \ c $ sul suo PC, leggere tutti i suoi documenti, copiarli, incollarli in una posizione diversa e quindi presentargli un esempio di ciò che un hacker farà al suo sistema e fare con tutte le sue informazioni personali se viene infettato perché voleva navigare su siti strani o scaricare giochi gratuiti da qualche parte.

Probabilmente ti farà licenziare. Sono stato nella situazione prima ed è una situazione senza vincita. Sono in un altro in questo momento. Lavoro per un'azienda che non si preoccupa di dare diritti di amministratore locale agli utenti. Abbiamo problemi di virus / spyware / malware TUTTO IL TEMPO. Per di più, il nostro ragazzo desktop è un noob, ma molto arrogante, come se avesse inventato Internet.

Ad ogni modo, sono un amministratore di rete. Ho solo bloccato i siti veramente cattivi e ho cercato di impedire che qualcosa finisse, ma gli utenti stupidi sembrano sempre trovare un modo. Sono contento di non dover coprire molto per il ragazzo del desktop.