Ist es normal, Benutzern Administratorzugriff auf ihren Firmen-PC zu gewähren?

13

Ich habe einen Benutzer, der Administrator seines Arbeits-PCs werden möchte. Er hat eine Geschichte darüber verfasst, wie er ohne diesen PC nicht arbeiten kann. Deshalb muss ich ihn "reparieren" (als wäre es ein Fehler, als den er angemeldet ist) Ein Benutzer!).

Meine IT-Mitarbeiter und ich melden uns nicht als Administratoren an, da Viren / Malware Fuß fassen und sich als Server einrichten, um einen Angriff zu verteilen (ja, das ist in der Vergangenheit passiert).

Was ist die Norm für Ihre Netzwerkbenutzer und wie gehen Sie mit Anfragen nach Administratorzugriff um?

Vielen Dank

permissions Phillipe B
quelle
3
Wenn Sie dagegen sind, ihm Administratorrechte zu erteilen, liegt es in Ihrer Verantwortung, sicherzustellen, dass er alle detaillierten Berechtigungen und den Zugriff im Voraus aktiviert hat, damit er nicht auf Straßensperren stößt. Dies ist auf einem Windows-System angesichts der Komplexität der heutigen Software nur schwer vorhersehbar. Sie können beispielsweise ein seltsames Verhalten in einer Anwendung feststellen und nach einem Tag der Problembehandlung feststellen, dass die Anwendung im Hintergrund einige Registrierungseinstellungen nicht gelesen hat, auf die der Benutzer keinen Zugriff hatte.
AaronLS

Antworten:

12

Wir haben derzeit drei Ebenen der Unterstützung für die Benutzer:

  1. Volle Unterstützung. Die Benutzer haben nur Grundzugriff und eine Reihe von Standardanwendungen
  2. Eingeschränkte Unterstützung. Wir patchen das Betriebssystem zentral und liefern Anwendungen. Der Benutzer hat root-Zugriff.
  3. Keine Unterstützung. Wir versorgen den Benutzer mit einer Internetverbindung. Der Benutzer übernimmt die Verantwortung für den Computer, einschließlich Software und Patches. Wir überwachen das Netzwerk auf Probleme und sperren den Benutzer, wenn ein Problem auftritt.

Auf diese Weise können die Benutzer auswählen, was sie möchten, und wir minimieren die Auswirkungen sowohl für das IT-Personal als auch für die Benutzer. Wir haben festgestellt, dass den Benutzern vertraut werden kann, wenn sie einen geeigneten Support auswählen. Ich habe das Gefühl, dass das standardmäßige Sperren von Benutzern im Hinblick auf die Produktivität sehr kostspielig ist.

pehrs
quelle
1
+1 Ich mag das und probiere es vielleicht bei meiner Arbeit aus.
Nic
4
Dies ist zwar ein interessanter Ansatz, der bei Betriebssystemen, die für Malware anfällig sind, eine Überlegung wert ist, aber höchstwahrscheinlich dazu beiträgt, dass sich Wurm-Malware in Ihrem internen Netzwerk fortsetzt. Um dieses Risiko auszuschließen, dürfen die Optionen 2 und 3 keinen uneingeschränkten internen Zugriff auf das Netzwerk enthalten.
Warner
2
Ich halte das für einen hervorragenden Ansatz. Menschen mit PCs auf ihren Schreibtischen sind in der Regel "Wissensarbeiter" (Knowledge Worker, KWs), und KWs sollten in der Regel ihre eigenen persönlichen Technologieentscheidungen treffen. In den 80er Jahren hieß die IT noch "Datenverarbeitung" und sie waren nur für die großen eisernen und dummen Terminals verantwortlich. Es war KWs, die ihre eigenen PCs einführten, die die Datenverarbeitungsabteilungen überall dazu zwangen, sich auf die Unterstützung von PCs zu konzentrieren und auf ein Client-Server-Modell umzusteigen und sich schließlich selbst als "IT" zu bezeichnen. Lassen Sie Ihre KWs selbst entscheiden, wie viel Händchenhalten sie von Ihnen wollen.
Spiff
@Warner, wo ich arbeite, verwenden die meisten Leute keine für Malware anfälligen Betriebssysteme, und sie entscheiden sich für Nummer 3 und erhalten uneingeschränkten internen Zugriff auf das Netzwerk. Personen, die für Malware anfällige Betriebssysteme verwenden möchten, sind gezwungen, die Nummer 2 oder 1 zu verwenden und nur registrierte statische IP-Adressen für ihre für Malware anfälligen Boxen zu verwenden, damit die IT-Abteilung ihre Ports oder ihren Netzwerkverkehr leichter auf Malware-Aktivitäten überprüft. und finden Sie den Täter Benutzer leichter.
Spiff
Bedingungen sind der Schlüssel. Sie konnten mich nicht davon überzeugen, dass es eine gute Idee wäre, der Kundenbetreuung uneingeschränkten Zugriff auf ihre Windows-Workstations im internen Netzwerk zu gewähren und gleichzeitig einen angemessenen Endbenutzer-Servicelevel beizubehalten. Dies würde ein schwerwiegendes Sicherheitsrisiko mit sich bringen, da Standards, Updates und zusätzliche Berechtigungen nicht eingehalten werden können, sodass Malware uneingeschränkt ausgeführt werden kann. Ich mag die Idee von 3, da ich mich in meiner Karriere auf Internettechnologien und High-Level-Lösungen konzentriere - nicht auf Technologien, die Intranet-Support bieten.
Warner
5

Meine zwei Cent :

1 / Admin Rechte sind schlecht. Und Malware ist nicht der einzige Grund dafür. Ein weiteres, häufig noch größeres Problem besteht darin, dass viele Benutzer Anwendungen hinzufügen, von denen Sie nicht wissen, wie sie unterstützt werden sollen, oder die mit der Zeit eingestellt werden. Ergebnis? Nach drei oder vier Jahren wird geweint, weil ein geschäftskritischer Prozess aus irgendeinem Grund über eine App abgewickelt wird, die niemand kennt oder die von einem Freund des Mannes entwickelt wurde, der ihn verlassen hat. die Firma oder was auch immer. Ich habe zum Beispiel einen Kunden, der mit Lotus 1-2-3 eine GROSSE und SEHR NÜTZLICHE App entwickelt hat. Eine sehr alte Version. Das läuft auf keinem späteren Betriebssystem als ... Windows 98. Und der Typ, der das getan hat, hat die Firma verlassen. Sehen Sie das Problem?

2 / Falls JEMAND KEINE Administratorrechte haben sollte, sind es die Entwickler . Denn wenn sie Administratoren sind, werden sie KEINE Anstrengungen unternehmen, um ihre Software gemäß den Kodierungsrichtlinien zu schreiben. Am Ende schreiben sie Apps, für deren Ausführung Administratorrechte erforderlich sind. Was schlecht ist.

Ich bin ein Systemadministrator und verwende OHNE Administratorrechte (nicht einmal den lokalen Administrator meines Computers). Wenn ich sie brauche, greife ich sie für die Zeit meiner Admin-Aufgabe. Das ist mein eigener Lebensretter. Ich kann Fehler machen ... Und Fehler mit Administratorrechten können schrecklich sein.


quelle
Das Leben verändert sich !!!!
Saariko
4

Es kann eine geschäftliche Rechtfertigung dafür geben, dass ein Endbenutzer höhere Berechtigungen besitzt. Oft wird es von Ihrer Unternehmenskultur bestimmt.

Die beste IT-Richtlinie besteht darin, standardmäßig die geringsten Berechtigungen festzulegen, die zum Ausführen einer Auftragsfunktion erforderlich sind. Wenn dies gerechtfertigt ist und es keine technischen Lösungen für die Aufrechterhaltung geringerer Berechtigungen gibt, liegt eine geschäftliche Begründung für den zusätzlichen Zugriff vor.

Einige technische Unternehmen gewähren allen Benutzern lokalen Administratorzugriff. Andere, nur technisches Personal.

In meiner Abteilung: Ohne Begründung erhalten sie keinen Zugang. In Bezug auf den lokalen Administratorzugriff auf der Workstation: Technische Benutzer erhalten diesen normalerweise. Wenn sie Risiken für das Unternehmen mit sich bringen, können sie individuell neu bewertet werden. Der durchschnittliche nichttechnische Mitarbeiter nicht. Wir hatten noch nie einen Malware-Vorfall von Bedeutung, aber wir haben im Allgemeinen ein knappes Schiff.

Ich habe heute auch eine Frage beantwortet , die mit Ihrer Frage hier zusammenhängt. Es werden einige der grundlegenden Prinzipien behandelt, die mit der Zugriffskontrollrichtlinie und -prozedur verbunden sind.

Warner
quelle
4

Nein nein Nein Nein Nein!

Kein Computer mit einem Benutzer mit Administratorrechten sollte jemals in Ihr Netzwerk gehen. Kein firmeneigener Computer sollte über Administratorrechte verfügen:

Ich hasse Benutzer nicht, aber eine IT-Abteilung kann ihre Arbeit nicht effektiv erledigen, wenn sie ständig selbst verursachte Computerprobleme beheben muss.

Warum in aller Welt sollten Benutzer (mit Ausnahme von Entwicklern) Administratorzugriff benötigen?

Anwendungen installieren?

Wir verbringen viel Zeit und Mühe damit, Anwendungen auf Kompatibilität zu testen und dann auf eine bestimmte Version zu standardisieren. Wir pflegen Lizenzinformationen und erklären uns damit einverstanden, alle von uns installierten Produkte zu unterstützen.

Apps ausführen, für die Administratorzugriff erforderlich ist?

Hey, wir betreiben kein Windows 98 mehr. Ich kann mich nicht an eine Standard-Business-App erinnern, für die Administratorrechte erforderlich sind. Wenn man das tun würde, würden wir es überhaupt nicht zulassen.

Aktualisierung?

Dafür ist WSUS / ASUS da. Die meisten Benutzer benötigen nicht die neuesten Grafikkartentreiber - sie sind keine Gamer!

Was ist, wenn [Grund hier einfügen] als Administrator ausgeführt werden musste?

Dann sind sie vollständig vom Rest des Netzwerks getrennt, möglicherweise, wenn es in ihrer eigenen Domäne genug davon gibt. Am wichtigsten ist, dass wir ihre Erwartungen erfüllen - Sie brechen es, Sie beheben es - normale SLA-Auflösungszeiten gelten nicht.

Es gibt viele Randfälle, aber wir sind bestrebt, unsere Abteilung zu betreiben, sodass kein Benutzer jemals Administratorzugriff benötigen oder diesen anfordern sollte. Wenn Ihre Benutzer Administratorrechte haben, können Sie Ihr "Netzwerk" nicht kontrollieren. Dies ist keine Situation, in der ich jemals sein möchte.

Jon Rhoades
quelle
2
Guter Punkt, dass die Art des Benutzers (und damit die Art der Organisation) ein entscheidender Faktor ist. Meine Erfahrung besteht in der Administration von Softwareentwicklungsgeschäften, aber andere Anforderungen können und müssen sich deutlich unterscheiden.
Charles Duffy
@Charles Duffy - Ich bin damit einverstanden, dass Entwickler alles ändern. Wir haben nur den einen und er ist auch Mitglied des IT-Teams, daher gibt es keine Probleme.
Jon Rhoades
2

In der Regel hatten Softwareentwickler dort, wo ich gearbeitet habe, Administratorzugriff und sonst niemanden.

An einem von mir unter Vertrag genommenen Ort hatten sie eine gute Idee. Um Administratorzugriff zu erhalten, musste ich ein Formular lesen und unterschreiben, in dem ich feststellte, dass die IT-Abteilung versuchen würde, das Problem fünfzehn Minuten lang zu beheben, wenn ich jemals die IT-Abteilung wegen Computerproblemen anrufen musste oder wenn jemand anderes Probleme auf meinem Computer bemerkte wischen und erneutes Image.

David Thornley
quelle
1

Wie Sie den vorherigen Antworten entnehmen können, gibt es hierfür keine Norm. Es gibt jedoch die goldene Regel der geringsten Privilegien. Das bedeutet einfach, dass Ihr Benutzer über die erforderlichen Mindestzugriffsrechte verfügen sollte, um seine Arbeit zu erledigen. Es ist bedauerlich, dass insbesondere in der Windows-Welt einige Benutzer (z. B. Programmierer) vollständige Administratorrechte benötigen.

Ich schlage vor, Sie bitten den betreffenden Benutzer zu dokumentieren, was er als Benutzer nicht tun kann, und zu prüfen, ob das Problem mit weniger als den vollständigen Administratorrechten behoben werden kann. Wenn sie nicht in der Lage oder nicht bereit sind, die Probleme zu dokumentieren, können Sie der Geschäftsleitung möglicherweise den Fall vorlegen, dass die Klage unbegründet ist und daher keine Änderung erforderlich ist. Wie gut dies gelingt, hängt natürlich oft davon ab, wer sich gegen wen in Ihrer Organisation wehrt.

John Gardeniers
quelle
0

Wenn jemand wirklich Administratorrechte auf seinem lokalen Computer benötigt, wäre ich versucht, so etwas wie Virtual Box / Vmware Player als Sandbox einzurichten. Ermöglichen Sie ihnen, alles zu tun, was sie in ihrer Sandbox wollen, und auf dem Host-Betriebssystem werden sie wie jeder andere Computer gesperrt.

Die Einzelheiten hängen stark von den Erwartungen an das jeweilige System ab.

  • Ist der Benutzer (und seine Manager) bereit, diesen Benutzer für Sicherungen verantwortlich zu machen?
  • Kann der Benutzer das akzeptieren, wenn etwas nicht schnell repariert werden kann, weil er es verwechselt hat, dass Sie eine Diskette einlegen und sie sofort formatieren?
  • Sind Benutzer und Manager bereit, Verantwortung für rechtliche Probleme zu übernehmen, die sich aus nicht lizenzierter Software, Sicherheitsverletzungen und Schäden an anderen Systemen im Netzwerk ergeben?
Zoredache
quelle
Unter der Annahme, dass die VM nicht mit dem Netzwerk verbunden war, ist es einfacher, das Netzwerkkabel abzuziehen. Ansonsten bleiben alle Risiken bestehen.
Joe Internet