Нормально ли предоставлять администратору пользователей доступ к ПК своей компании?

У меня есть пользователь, который хочет быть администратором своего рабочего ПК, он придумал историю о том, как он не может работать без него, поэтому мне сказали «исправить это» (как будто это ошибка, в которую он вошел как Пользователь!).

Мои коллеги по ИТ и я не входим в систему как администраторы из-за того, что вирусы / вредоносные программы начинают действовать и настраиваются в качестве серверов для распространения атаки (да, это происходило в прошлом).

Что такое «норма» для пользователей вашей сети и как вы обрабатываете запросы на доступ администратора?

Благодарность

В настоящее время у нас есть три уровня поддержки пользователей:

1. Полная поддержка. Пользователи имеют только базовый доступ и стандартный набор приложений.
2. Ограниченная поддержка. Мы делаем центральное исправление ОС и поставляем приложения. Пользователь имеет root-доступ.
3. Без поддержки. Мы предоставляем пользователю подключение к интернету. Пользователь несет ответственность за компьютер, включая программное обеспечение и исправления. Мы следим за сетью на предмет проблем и отключаем пользователя, если есть проблема.

Таким образом, пользователи могут выбирать, что они хотят, и мы минимизируем влияние, как для ИТ-персонала, так и для пользователей. Мы обнаружили, что пользователям можно доверять, чтобы выбрать соответствующий уровень поддержки. У меня такое ощущение, что блокировка пользователей по умолчанию очень затратна с точки зрения производительности.

Мои два цента :

1 / Права администратора - ПЛОХО. И вредоносные программы не единственная причина, почему. Другая, и часто более важная проблема, заключается в том, что многие пользователи добавляют приложения, которые вы не знаете, как поддерживать, или которые со временем прекращают работу. Результат? Три или четыре года, как это, и вы в конечном итоге плачете, потому что по какой-то причине критически важный для бизнеса процесс обрабатывается с помощью приложения, которое никто не знает, или которое было разработано "другом парня, который ушел" компания, или что-то еще. Например, у меня есть клиент, который разработал БОЛЬШОЕ и действительно ОЧЕНЬ ПОЛЕЗНОЕ приложение с использованием Lotus 1-2-3. Очень старая версия. Это не работает на более поздних ОС, чем ... Windows 98. И парень, который сделал это, покинул компанию. Видишь проблему?

2 / Если у кого-то НЕ должно быть прав администратора, то это разработчики . Потому что, если они администраторы, они не будут прилагать никаких усилий для написания своего программного обеспечения, соблюдая правила кодирования. И они в конечном итоге будут писать приложения, которым НУЖНЫ права администратора для запуска. Что плохо

Я системный администратор, и я работаю без прав администратора (даже не локального администратора моего компьютера). Когда они мне нужны, я беру их на время моей задачи администратора. Это мой спаситель жизни. Я могу делать ошибки ... А ошибки с правами администратора могут быть ужасными.

Конечному пользователю может быть предоставлено более обоснованное бизнес-обоснование для получения более высоких привилегий. Часто это будет продиктовано культурой вашей компании.

Лучшая ИТ-политика заключается в том, чтобы по умолчанию использовать наименьшее количество привилегий, необходимых для выполнения функции работы. Если есть обоснование и нет технических решений для сохранения меньших привилегий, то есть дополнительное обоснование для бизнеса.

Некоторые технические компании предпочитают предоставлять всем пользователям доступ локального администратора. Другие, только технический персонал.

В моем отделе: без обоснования они не получают доступ. Что касается доступа локального администратора рабочей станции: технические пользователи обычно получают его. Если они представляют риск для компании, он может быть переоценен в индивидуальном порядке. Средний нетехнический работник не делает. У нас никогда не было инцидента с вредоносным ПО, имеющего какое-либо значение, но в целом мы работаем на малой судне.

Я также ответил на вопрос ранее сегодня, который связан с вашим вопросом здесь. Он охватывает некоторые фундаментальные принципы, связанные с политикой и процедурой контроля доступа.

Нет-нет-нет-нет-нет!

Ни один компьютер с пользователем, обладающим правами администратора, не должен подключаться к вашей сети. Конечно, ни один компьютер, принадлежащий компании, не должен иметь прав администратора:

• Пользователи будут устанавливать нежелательные программы - P2P / Torrents и т. Д.
• Пользователи устанавливают пиратское / нелицензионное программное обеспечение на машине, принадлежащей компании, за которую отвечает ИТ-отдел.
• Пользователи, как правило, "портят" свои компьютеры, загружая несовместимые обновления и т. Д.
• Их компьютер менее защищен - 90% уязвимостей Windows 7 устраняются, если пользователь работает с ограниченными правами.

Я не ненавижу пользователей, но ИТ-отдел просто не может эффективно выполнять свою работу, если им постоянно приходится исправлять проблемы с компьютером.

С какой стати пользователям (разработчикам, если они у вас есть, за исключением) нужен доступ администратора.

Для установки приложений?

Мы тратим много времени и усилий на тестирование приложений на совместимость, а затем стандартизируем для конкретной версии. Мы храним информацию о лицензировании и соглашаемся поддерживать все, что устанавливаем.

Для запуска приложений, которые требуют доступа администратора?

Эй, у нас больше нет Windows 98. Я не могу вспомнить стандартное бизнес-приложение, которое требует прав администратора. Если бы мы это сделали, мы бы не допустили в первую очередь.

Обновления?

Вот для чего WSUS / ASUS. Большинству пользователей не нужны последние драйверы видеокарты - они не геймеры!

Что если [указать причину здесь] нужно было запускать от имени администратора?

Затем они полностью отделены от остальной части сети, возможно, если их было достаточно, в своем собственном домене. Самое главное, мы управляем их ожиданиями - вы нарушаете это, вы исправляете это - обычное время разрешения SLA не применяется.

Существует множество крайних случаев, но мы стремимся запустить наш отдел, поэтому ни одному пользователю никогда не понадобится доступ администратора или даже его запрос. Если у ваших пользователей есть права администратора, вы не управляете своей «сетью», и я бы не хотел, чтобы в этой ситуации.

Как правило, там, где я работал, разработчики программного обеспечения имели доступ администратора и, как правило, никто другой.

В одном месте я заключил контракт, у них была хорошая идея. Чтобы получить административный доступ, мне пришлось прочитать и подписать форму, в которой говорилось, что, если мне когда-нибудь придется звонить в ИТ-отдел по поводу проблем с компьютером или если кто-то еще замечает проблемы на моем компьютере, он будет пытаться исправить это в течение пятнадцати минут, а затем протрите и повторно изображение.

Как видно из предыдущих ответов, для этого нет нормы. Однако существует золотое правило наименьших привилегий. Это просто означает, что ваш пользователь должен иметь минимальные права доступа, необходимые для выполнения своей работы. К сожалению, особенно в мире Windows, это означает, что некоторым пользователям (например, программистам) требуются полные права администратора.

Я предлагаю вам попросить данного пользователя задокументировать, что он / она не может сделать как пользователь, и посмотреть, можно ли решить проблему с помощью чего-то меньшего, чем полные права администратора. Если они не могут или не желают задокументировать проблемы, вы вполне можете представить руководству заявление о том, что претензия необоснованна и, следовательно, не требует изменений. Конечно, то, насколько хорошо это происходит, часто зависит от того, кто поддастся тому, кто в вашей конкретной организации.

Если кому-то действительно нужны права администратора на их локальном компьютере, я бы хотел установить что-то вроде Virtual Box / Vmware Player в качестве своей песочницы. Разрешите им делать все, что они хотят в своей песочнице, и в ОС хоста они будут заблокированы, как и любая другая машина.

Специфика будет во многом зависеть от ожиданий конкретной системы.

• Готов ли пользователь (и его менеджеры) сделать так, чтобы этот пользователь отвечал за резервное копирование?
• Сможет ли пользователь принять, что если что-то не может быть быстро исправлено, потому что он / она выдумал, что вы вставите диск и сразу отформатируете его?
• Готовы ли пользователь и менеджер взять на себя ответственность за любые юридические проблемы, возникшие в результате использования нелицензионного программного обеспечения, нарушений безопасности, повреждения других систем в сети?