Как убедить большого начальника в том, что ему не нужны права администратора?

Я часто обнаруживал, что «главный босс» в компании хочет иметь возможность устанавливать «что угодно» и делать что-либо на своем компьютере.

Конечно, мы можем сказать ему, что это плохо, потому что системные администраторы теряют контроль над компьютером и так далее.

Какой-нибудь неопровержимый аргумент, чтобы убедить больших боссов, что лучше не иметь прав администратора на их настольном компьютере?

Единственный раз, когда я был хоть немного успешным в этом, был босс, который был готов использовать run как с альтернативными учетными данными, если он хотел что-то установить. Я объяснил, что даже системные администраторы большую часть времени заходили в системы с обычными учетными записями, а затем создавали его собственную учетную запись администратора, которую он мог использовать только тогда, когда хотел сделать что-то особенное. Это было на самом деле очень эффективно и не давало ему полностью испортиться за два года, что я был в компании. Это был относительно опытный генеральный директор, который был в состоянии понять весь ход как вещь, и я уверен, что у него там были вещи, которые я бы не одобрил, но, по крайней мере, это помешало ему пассивно все испортить.

Скажите им, что они могут иметь тот же доступ, который получают администраторы домена, а затем предоставьте им именно это:

• Стандартная учетная запись пользователя, которая связана с электронной почтой, документами и бизнес-приложениями, которые они могут использовать для повседневной работы.
• Отдельная учетная запись на компьютере, которая обладает правами администратора для этого компьютера (аналогична учетной записи администратора домена администратора), но НЕ связана с учетной записью электронной почты или любыми бизнес-приложениями, требующими аутентификации на основе текущего вошедшего в систему пользователя, и не имеет никаких принтеров. Эта учетная запись должна быть разбита по дизайну, так что она не будет полезна для повседневного использования.

Идея состоит в том, что привилегированная учетная запись должна быть достаточно взломана, чтобы было менее болезненно оставаться в системе как обычный пользователь большую часть времени; босс захочет использовать привилегированную учетную запись, только когда ему это действительно нужно. Большие боссы почти всегда очень сильно полагаются на доступ к электронной почте и системам отчетов, поэтому, если вы можете сделать доступ к ним из привилегированной учетной записи немного менее удобным, вы в хорошей форме. Половина времени ваш босс все равно просто забудет учетные данные.

Если это по-прежнему их не устраивает, тогда идите вперед и раздайте полную учетную запись администратора домена / root, но сделайте это как отдельную учетную запись от своей обычной рабочей учетной записи - в конце концов, они - босс. Убедитесь, что учетная запись тщательно проверена. На данный момент, что они часто действительно ищут, так это просто страховой полис или страховка от мошеннического администратора; им нужно чувствовать, что с ними все в порядке, и если у них есть стандартная учетная запись для их повседневной работы, в этом нет ничего плохого.

Ничего, кроме как дать им знать, что на чистку его компьютера уйдет не менее 3-4 часов, когда он безнадежно его отремонтирует.

Просто честное предупреждение ..

Я выполняю только контрактную работу, поэтому я делаю то, что мне говорят мои клиенты, или, если мне это действительно не нравится, я использую «оговорку о спасении» в моем контракте.

Имея это в виду, у большинства людей сегодня был какой-то опыт вредоносного ПО. Я обсуждаю с Заказчиком, как вредоносное программное обеспечение, которое они запускают через ошибки браузера и т. Д., Имеет все те же права и привилегии, что и учетная запись пользователя, с которой они вошли (включая доступ к своей электронной почте и нажатия клавиш, не говоря уже о ресурсах на серверы).

Обычно я получаю вопрос типа «Почему антивирусное программное обеспечение не позаботится об этом?» Затем мы поговорим о «гонке вооружений» - о том, как злоумышленники скачивают те же обновления, что и вы, и внедряют новые «сигнатуры» и т. Д.

В довершение всего я объясняю, что я использую ограниченные учетные записи пользователей на всех своих компьютерах (и делал это годами).

Это все, что мне понадобилось, чтобы убедить пользователей работать с ограниченными учетными записями. В некоторых случаях я должен был сначала позволить пользователю испытать вредоносное ПО (что неизменно происходит), но, поскольку мои службы обычно приходят с очень четким указанием связанных затрат, это обычно происходит только один раз.

Обычно я создаю пользователей уровня «Администратор» как локальные учетные записи или учетные записи домена (наряду с политикой ограниченных групп, фактически предоставляющей «права» учетной записи пользователя), в зависимости от того, к скольким компьютерам пользователю необходим доступ. Я стараюсь не называть его ни в одной из групп, используемых ежедневной учетной записью пользователя, и не предоставлять ему доступ к своему почтовому ящику Exchange. Я хочу, чтобы учетная запись уровня «Администратор» была максимально бесполезной для чего-либо, кроме установки программного обеспечения / драйверов на их ПК.

Эта стратегия избавила меня от многих головных болей и сэкономила моим клиентам значительную сумму денег. Требуются «навыки работы с людьми», чтобы вести разговоры, которые вам нужны, и быть подрядчиком, безусловно, помогает, но это определенно преодолимая проблема.

Вместо того, чтобы пытаться убедить его в том, что он неправ, возможно, вам следует попытаться найти какой-то способ пойти на компромисс. Возможно, разрешите ему запустить копию VMware с гостевой виртуальной машиной, на которую он может сходить с ума. Постарайтесь дать ему возможность выполнить то, что, по его мнению, ему нужно, таким образом, чтобы он оставался со стабильной управляемой системой.

На самом деле, вам, вероятно, нужно обосновать, что у него может быть надежный компьютер, который можно восстановить в случае сбоя, или он потеряет свой компьютер, потому что вы точно знаете, что находится в системе и как ее починить и где все СМИ есть. Или у него может быть компьютер, за который он отвечает, и когда компьютер сломается, вы не можете гарантировать, что сможете сделать что-то другое, кроме форматирования + переустановки.

Попытайтесь сообщить о рисках и о том, что вы делаете, и постарайтесь достичь компромисса. Подумайте о настройке виртуальной машины, или о настройке двойной загрузки, или о чем-то, что дает ему гибкость, в которой он нуждается / хочет, но все же позволяет ему иметь стабильную систему.

К сожалению, вы мало что можете сделать с парнем, который подписывает вашу зарплату. :-)

Лучший (практичный) совет, который я могу вам дать, - убедиться, что у вас есть хорошая подпрограмма резервного копирования для его системы, и позволить ему взбеситься. смешно

Это действительно сводится к этому:

1. Кто-то должен быть на месте водителя. Это его компания так ясно, что он босс. Лучшее, что вы можете сделать, - это ПОСОВЕТОВАТЬ его наилучшему курсу действий (с чем угодно), а затем позволить ему принять «обоснованное решение». Если он не последует твоему совету ... и там будет ошибка ... это его вина в том, что он не слушает.

2. Если он ДЕЙСТВИТЕЛЬНО последует твоему совету, и у него есть ошибка ... это ЕГО вина, потому что ОН принял решение. Помните, что он на месте водителя.

Теперь ... это будет время от времени вызывать у вас странные взгляды ... даже смех или смех.

Но обязательно объясните, что РАЗНИЦА - это ... вы убираете СВОИ путаницы (бесплатно) и делаете все возможное, чтобы разрешить ситуацию. Другой он платит вам за уборку, и вы оставляете за собой право «проповедовать» ему в течение 5-10 минут, и он соглашается слушать.

Постарайтесь держать это на смешной стороне.

У меня никогда не было проблем с объяснением этой логики владельцу бизнеса. Большинство из них уже знают это. Просто забавно объяснить это в тупой (но нежной) форме. ;-)

Скажите ему, что он должен действительно подать пример, которому должна следовать остальная часть компании.

Если он начнет «настраивать» свой (в худшем случае) ноутбук с помощью «загрузки через Интернет», то его директор по продажам будет, финансовый директор, помощник директора по продажам, воля продавца, технические специалисты, служба поддержки клиентов и т. Д. И т. Д. И т. Д. ,

Затем объясните, что а) повышен риск для ИНФРАСТРУКТУРЫ БИЗНЕСА (интересно найти всю информацию о ваших клиентах и ​​заказах в Интернете), б) установить слабую культуру безопасности и профессионализма в организации, и в) гораздо дороже поддерживать и снижение надежности.

Если он хочет игровой автомат, то пусть он сделает это на своем собственном ПК, но рабочий ПК / ноутбук / оборудование предназначен для деловых целей.

Это взрослая вещь ...

Я не понимаю односторонности ответов здесь. Большой сыр получает то, что хочет большой сыр.

Возникнет ли нетехнический руководитель какие-то проблемы по собственному усмотрению?

Возможно - но посмотрите на это как на возможность получить из первых рук возможность продемонстрировать свои способности и немного пообщаться с парнем, подписывающим чеки. Предоставление талантливой юной админке возможности знакомиться с генеральным директором - отличный способ дать ребенку время на лицо и облегчить процесс продвижения ... "Помните парня, который спас этот день в прошлом месяце ..."

Или вы можете использовать сварливый, заурядный подход, разозлить генерального директора и изжогу у вашего босса.

Я полностью обошел проблему и купил генеральному директору очень дорогую (в то время) рабочую станцию ​​Mac с огромным студийным дисплеем. Он любил эксклюзивность, мне нравился тот факт, что он мог получить немного меньше проблем. Я сохранил способность ssh войти и запустить top, чтобы следить за происходящим. К счастью, он не был ноутбуком.

Скажите ему, что очень немногие госпитальные боссы проводят операции на головном мозге или какие-либо хирургические процедуры по этому вопросу.

Вместо того, чтобы пытаться помешать боссу устанавливать вещи на его компьютере, я думаю, что вам лучше найти способ, чтобы не допустить, чтобы его компьютер вызывал бессмысленное уничтожение остальных ваших ИТ-систем, когда он / она неизбежно получает какой-либо вирус после отключения антивирусный сканер.

Если возникнет этот вопрос, я бы предположил, что в организации нет четких политик для обработки запросов такого рода. Если бы они были на месте, это было бы запретом, или он собирался официально подать особые запросы на получение привилегий. Или он будет просить вас нарушить политику. гм.

Там не так много, вы можете сделать. Нет никакого волшебного аргумента, если кто-то не понимает этого, или ваш начальник или организация не осознают возможные риски. Вы можете занять позицию и сказать «нет», но это может или не может сработать, и это может привести к плохим чувствам.

Итог: если начальник не обеспокоен появлением предпочтительного режима или риском, связанным с пользователями, работающими в качестве администраторов И у вас (или вашего отдела) нет полномочий для отклонения запроса, вы также можете передать его его.

Лучшее, что вы можете сделать, - это попытаться сформулировать какое-нибудь вежливое утверждение «это против наилучшей технической практики», поддержать его, поднять и отпустить его в город.

Я обнаружил, что у большинства менеджеров есть один из двух стилей использования компьютера: они либо крайне невнятны, потому что у них есть более важные дела, чем игра с компьютером, либо им нравится входить туда и возиться.

Менеджеры без проблем - вы настраиваете их компьютер, говорите им, что они могут и не могут делать, и убедитесь, что вы всегда рядом, если им нужно что-то установить (и иметь как можно больше опций - например, локальная учетная запись с правами администратора, проверенный удаленный доступ через VPN и т. д.).

В моем случае, почти все менеджеры и парни уровня VP, которые любили устанавливать или настраивать объекты на своих компьютерах, в какой-то момент убивали свои компьютеры, поэтому у нас не было особых проблем с их блокировкой. Пару из них нам пришлось рассказать о локальной учетной записи администратора, чтобы сделать их счастливыми, но они понимали, что рискуют что-то сделать, не привлекая нас или хотя бы сначала не спросив нас.

Президент, однако, так и не понял, сколько это стоило, когда он убил свою систему, но он ушел в отставку, прежде чем мы попробовали нашу последнюю попытку решения: мы собирались получить ему два компьютера, один из которых был заблокирован со всеми нашими стандартными вещами. установлен, и второй, который он мог установить все, что поразило его воображение. Он любил маленькие ноутбуки задолго до того, как появился термин «нетбук», поэтому я решил, что он может носить с собой два из них, но только один блок питания.

Объясните, что наличие административных привилегий делает его компьютер более уязвимым для хакеров, которые могут похищать секреты компании, уничтожать данные или злоупотреблять службами, а также вирусов, которые могут уничтожать данные или стать его частью ботнета, что может открыть их для компьютерных преступных обвинений. если они участвуют в DoS-атаке или тому подобное.

Кроме того, объясните, что если они случайно что-то повредят, они могут быть без компьютера в течение нескольких часов (или дней), пока вы пытаетесь это исправить. Если у них нет административных привилегий, у них будет меньше возможностей ломать вещи.

Сначала вам нужны ИТ-политики - технические решения всегда основаны на них, а не наоборот, какими бы очевидными нам ни казались некоторые технические настройки, такие как учетные записи пользователей без прав администратора.

Я спросил бы его, что он думает, что он не может делать с теми привилегиями, которые у него есть. Кроме этого, дайте ему права администратора - он подписывает проверку сверхурочной работы, когда нарушает ее.

Что мы сделали, это объяснили то, что уже было упомянуто ... если мы должны очистить систему, это означает, что они не имеют своей системы в течение этого периода времени. У нас также есть строгая политика, что мы делаем быструю оценку. Если очистка займет больше часа или мы не можем быстро оценить степень заражения, мы просто заново создадим образ системы. Проблема в том, что касается исполнительной власти, теперь все их игрушки исчезли. Но поскольку мы не знали, что находится в системе или где взять все установочные пакеты ... вы поняли идею. У вас может не быть такого рычага, но стоит попробовать.

В конечном счете, большой начальник должен принять деловое решение относительно того, что является приемлемым для него. Мы можем не соглашаться с этим технически все, что мы хотим, но это не наше дело. Если мы не можем согласиться с указанным решением, у нас всегда есть возможность искать работу в другом месте.

Кстати, если вы ищете ресурс, чтобы помочь с этим аргументом, посетите следующий сайт: Threatcode.com . Я не знаю, до сих пор это сохранилось, но это рекламировалось в прошлом.

Если вы пойдете дальше и скажете «вы не можете сделать это» с парнем, который подписывает ваш чек, то вы проиграете!

Как всегда, вам нужно крутить и поворачиваться, чтобы обойти это. Ответ можно найти только в том случае, если вы понимаете, почему он хочет быть администратором.

Если он технический, вы можете его убедить, но если речь идет о «силе» и о том, что вы босс, то вам не повезло. Очень трудно убедить босса, что ему нужно меньше привилегий, чем людям, над которыми он руководит, что, вероятно, будет означать с его точки зрения, что ему разрешено делать больше, чем ему, и это переворачивает нормальную иерархию вверх ногами ( и большинству боссов это не нравится).

Так что выбирайте слова осторожно и не забывайте человеческую сторону этой проблемы.

\ computername \ c $ на свой ПК, прочитайте все его документы, скопируйте их, вставьте их в другое место, а затем представьте ему пример того, что хакер сделает со своей системой и со всей его личной информацией, если он заразится потому что он хотел просматривать нечетные сайты или скачивать бесплатные игры откуда-то.

Возможно, тебя уволят. Я был в ситуации раньше, и это беспроигрышная ситуация. Я сейчас в другом. Я работаю в компании, которая не дает никаких прав на то, чтобы предоставить пользователям права локального администратора. У нас все время возникают проблемы с вирусами, шпионским и вредоносным ПО. В довершение всего, наш настольный парень - нуб, но очень дерзкий, как будто он изобрел интернет.

Во всяком случае, я администратор сети. Я просто блокирую действительно плохие сайты и пытаюсь предотвратить вещи с моей стороны, но глупые пользователи всегда, кажется, находят выход. Рад, что мне не нужно много прикрывать парня за столом.