Bagaimana meyakinkan bos besar bahwa dia tidak memerlukan hak administrator?

Saya telah menemukan banyak kali bahwa "bos besar" di sebuah perusahaan ingin dapat menginstal "apa pun" dan melakukan apa pun di komputer mereka.

Tentu saja kita dapat memberitahunya bahwa itu buruk karena administrator sistem TI kehilangan kendali atas komputer, dan sebagainya.

Adakah argumen yang tak terbantahkan untuk meyakinkan bos besar bahwa lebih baik tidak memiliki hak administrator di komputer desktop mereka?

Satu-satunya waktu saya bahkan sedikit sukses pada ini adalah bos yang bersedia menggunakan menjalankan seperti dengan kredensial alternatif jika dia ingin menginstal sesuatu. Saya menjelaskan bahwa bahkan sysadmin masuk ke sistem dengan akun normal sebagian besar waktu dan kemudian membuatnya akun admin sendiri bahwa ia hanya digunakan ketika ia ingin melakukan sesuatu yang istimewa. Itu sebenarnya sangat efektif, dan menjaga mesinnya dari benar-benar kacau dalam dua tahun ketika saya berada di perusahaan. Ini adalah CEO yang relatif cerdas yang mampu memahami keseluruhan proses, dan saya yakin dia memiliki banyak hal di sana yang tidak akan saya setujui, tetapi setidaknya itu menghentikannya untuk secara pasif mengacaukan barang.

Beri tahu mereka bahwa mereka dapat memiliki akses yang sama dengan yang diperoleh admin domain, dan kemudian berikan kepada mereka persis itu:

• Akun pengguna standar yang terhubung ke email, dokumen, dan aplikasi bisnis yang dapat mereka gunakan untuk pekerjaan sehari-hari.
• Akun terpisah pada mesin yang memiliki hak administrator untuk mesin itu (analog dengan akun admin domain admin), tetapi itu TIDAK terhubung ke akun email mereka atau aplikasi bisnis apa pun yang memerlukan otentikasi berdasarkan pada pengguna yang masuk saat ini, dan tidak memiliki printer yang diatur. Akun ini harus dipecah berdasarkan desain, sehingga tidak baik untuk penggunaan sehari-hari.

Idenya adalah bahwa akun istimewa harus cukup rusak sehingga tidak terlalu menyakitkan untuk tetap masuk sebagai pengguna standar sebagian besar waktu; bos hanya akan ingin menggunakan akun istimewa ketika dia benar-benar membutuhkannya. Bos besar hampir selalu sangat bergantung pada akses ke sistem e-mail dan laporan, jadi jika Anda dapat mengaksesnya dari akun istimewa sedikit kurang nyaman Anda dalam kondisi yang baik. Separuh dari waktu bos Anda hanya akan melupakan kredensial.

Jika ini masih belum memuaskan mereka, maka lanjutkan dan bagikan admin domain penuh / akun root, tetapi tetap melakukannya sebagai akun terpisah dari akun kerja normal mereka - setelah semua, mereka adalah bos. Pastikan akun diaudit dengan berat. Pada titik ini, apa yang sering mereka cari sebenarnya hanyalah polis asuransi atau lindung nilai terhadap admin nakal; mereka perlu merasa seperti uang berhenti dengan mereka jika itu yang terjadi, dan selama mereka memiliki akun pengguna standar untuk pekerjaan mereka sehari-hari tidak ada yang salah dengan ini.

Tidak ada, kecuali untuk memberi tahu mereka bahwa akan diperlukan setidaknya 3 hingga 4 jam untuk membersihkan komputernya ketika dia dengan putus asa menyemprotnya.

Peringatan adil ..

Saya hanya melakukan pekerjaan kontrak, jadi saya melakukan apa pun yang diminta oleh Pelanggan saya atau, jika saya benar-benar tidak menyukainya, saya menggunakan "klausul bailout" dalam kontrak saya.

Dengan mengingat hal itu, kebanyakan orang memiliki pengalaman "malware" hari ini. Saya membahas dengan Pelanggan bagaimana perangkat lunak berbahaya yang mereka jalankan melalui bug browser, dll., Memiliki semua hak yang sama dan hak istimewa sebagai akun pengguna yang mereka masuki (termasuk akses ke email dan penekanan tombol mereka, belum lagi sumber daya di server).

Biasanya saya mendapatkan pertanyaan seperti "Mengapa perangkat lunak anti-virus tidak akan menanganinya?" Kami kemudian mengadakan pembicaraan "perlombaan senjata" - tentang bagaimana orang-orang malware mengunduh pembaruan yang sama dengan perangkat lunak anti-malware seperti Anda dan merekayasa "tanda tangan" baru, dll.

Saya melengkapi semuanya dengan menjelaskan bahwa saya menggunakan akun pengguna terbatas di semua komputer saya (dan telah melakukannya selama bertahun-tahun).

Ini semua yang saya perlukan untuk meyakinkan pengguna untuk menjalankan dengan akun pengguna terbatas. Dalam beberapa kesempatan saya harus membiarkan pengguna memiliki pengalaman malware terlebih dahulu (yang selalu terjadi), tetapi karena layanan saya biasanya datang dengan indikasi yang sangat jelas tentang biaya terkait yang terpasang, biasanya hanya terjadi sekali.

Saya biasanya membuat "Administrator" -level pengguna sebagai akun lokal atau akun domain (bersama dengan kebijakan grup terbatas untuk benar-benar memberikan "hak" akun pengguna), tergantung pada berapa banyak komputer yang membutuhkan akses pengguna. Saya memastikan untuk tidak menyebutkannya di salah satu grup yang digunakan oleh akun pengguna sehari-hari, dan tidak memberikannya akses ke kotak surat Exchange mereka. Saya ingin akun tingkat "Administrator" menjadi tidak berguna mungkin untuk apa pun kecuali menginstal perangkat lunak / driver pada PC mereka.

Strategi ini telah menyelamatkan saya dari banyak sakit kepala dan telah menyelamatkan Pelanggan saya sejumlah besar uang. Dibutuhkan "keterampilan orang" untuk melakukan percakapan yang perlu Anda lakukan, dan menjadi seorang kontraktor tentu saja membantu, tetapi ini jelas merupakan masalah yang tidak dapat diatasi.

Alih-alih mencoba meyakinkannya bahwa dia salah, mungkin Anda harus mencoba dan mencari cara untuk berkompromi. Mungkin memungkinkannya untuk menjalankan salinan VMware dengan vm tamu yang dia dapat pergi liar. Coba dan beri dia kemampuan untuk mencapai apa yang menurutnya perlu dia lakukan dengan cara yang masih akan meninggalkannya dengan sistem terkelola yang stabil.

Sungguh, Anda mungkin perlu membuat kasus bisnis bahwa ia dapat memiliki komputer yang dapat diandalkan dan yang dapat dipulihkan saat gagal atau ia kehilangan komputernya karena Anda tahu persis apa yang ada di sistem dan bagaimana cara memperbaikinya dan di mana semua media adalah. Atau dia dapat memiliki komputer yang menjadi tanggung jawabnya, dan ketika komputer rusak, Anda tidak dapat menjamin bahwa Anda akan dapat melakukan hal lain selain memformat + instal ulang.

Cobalah dan komunikasikan risiko dan apa yang Anda lakukan, dan cobalah untuk mencapai kompromi. Pertimbangkan untuk menyiapkan VM, atau pengaturan dual-boot atau sesuatu yang memungkinkannya fleksibilitas yang ia inginkan / inginkan, tetapi masih memungkinkannya memiliki sistem yang stabil.

Sayangnya, tidak banyak yang dapat Anda lakukan untuk orang yang menandatangani gaji Anda. :-)

Saran (praktis) terbaik yang bisa saya berikan kepada Anda adalah untuk memastikan Anda memiliki rutinitas cadangan yang baik untuk sistemnya dan membiarkannya menjadi liar. LOL

Ini benar-benar bermuara pada ini:

1. SESEORANG harus berada di kursi pengemudi. Ini perusahaannya, jadi dia bosnya. Yang terbaik yang dapat Anda lakukan adalah MENYARANKAN dia untuk tindakan terbaik (dengan apa pun) dan kemudian biarkan dia membuat "keputusan berdasarkan informasi". Jika dia tidak pergi dengan saran Anda ... dan ada masalah ... itu salahnya karena tidak mendengarkan.

2. Jika dia TIDAK mengikuti saran Anda dan ada kekacauan ... itu masih salah NYA karena DIA membuat keputusan. Ingat, DIA ada di kursi pengemudi.

Sekarang ... ini akan membuatmu terlihat aneh dari waktu ke waktu ... bahkan tertawa kecil atau tertawa.

Tapi pastikan untuk menjelaskan bahwa PERBEDAAN adalah ... Anda membersihkan kekacauan ANDA (gratis) dan melakukan yang terbaik untuk menyelesaikan situasi. Yang lain dia membayar Anda untuk membersihkan dan Anda berhak untuk "berkhotbah" kepadanya selama 5-10 menit dan dia setuju untuk mendengarkan.

Cobalah untuk tetap di sisi LUCU.

Saya tidak pernah punya masalah menjelaskan logika ini kepada pemilik bisnis. Kebanyakan dari mereka sudah mengetahuinya. Hanya menyenangkan untuk menjelaskannya dalam istilah yang tumpul (namun lembut). ;-)

Katakan padanya bahwa dia harus benar-benar memberi contoh yang harus diikuti oleh perusahaan yang lain.

Jika ia mulai "menyesuaikan" laptop terburuknya dengan "unduhan internet" maka Direktur Penjualannya akan, Direktur Keuangan akan, Asisten Direktur Penjualan akan, wasiat Sales guy, teknisi akan, layanan pelanggan akan dll. .

Kemudian, jelaskan bahwa a) risiko terhadap INFRASTRUKTUR BISNIS meningkat (lebih suka menemukan semua pelanggan Anda dan memesan informasi di internet), b) menetapkan budaya kendur dan budaya profesionalisme dalam organisasi, dan c) membutuhkan biaya lebih banyak dalam dukungan dan mengurangi keandalan.

Jika dia menginginkan mesin bermain, maka biarkan dia melakukannya di PC sendiri tetapi PC bisnis / Laptop / Peralatan untuk tujuan bisnis.

Itu hal yang dewasa ...

Saya tidak mengerti satu sisi jawaban di sini. Keju besar mendapatkan apa yang diinginkan keju besar.

Akankah eksekutif non-teknis mendapat masalah dengan hasil kerja mereka sendiri?

Mungkin - tapi lihat itu sebagai kesempatan untuk mendapatkan kemampuan tangan pertama untuk memamerkan kemampuan Anda dan mendapatkan facetime dengan pria yang menandatangani cek. Memberikan paparan admin muda berbakat kepada CEO adalah cara yang bagus untuk memberikan facetime anak dan membuat proses promosi lebih mudah ... "Ingat orang yang menyelamatkan hari bulan lalu ..."

Atau Anda bisa mengambil pendekatan pemarah, buku-buku, mengecewakan CEO dan membuat bos Anda mulas.

Saya benar-benar menghindari masalah dan membeli CEO Mac yang sangat mahal, sangat mahal (pada saat itu) workstation dengan layar studio besar. Dia menyukai eksklusivitas, saya menyukai kenyataan bahwa ada sedikit kesulitan yang bisa dia hadapi. Saya mempertahankan kemampuan untuk ssh dan menjalankan hanya untuk mengawasi hal-hal. Untungnya dia bukan pria laptop.

Katakan padanya bahwa sangat sedikit Bos Rumah Sakit yang melakukan Bedah Otak atau Prosedur Bedah apa pun dalam hal ini.

Daripada mencoba untuk menghentikan bos dari menginstal barang-barang di mesinnya, saya pikir Anda lebih baik mencari cara untuk menjaga komputernya dari menyebabkan kehancuran yang tidak diinginkan dari sisa sistem TI Anda ketika dia mau tidak mau mendapatkan beberapa virus setelah menonaktifkan pemindai virus.

Jika pertanyaan ini muncul, saya kira organisasi tidak memiliki kebijakan eksplisit untuk menangani permintaan semacam ini. Jika ini ada di tempatnya, itu akan menjadi larangan, atau dia akan mencatat permintaan khusus untuk mendapatkan privasi. Atau dia akan meminta Anda melanggar kebijakan. ahem

Tidak banyak yang bisa Anda lakukan. Tidak ada argumen ajaib jika seseorang tidak mendapatkannya atau bos atau organisasi Anda tidak mengenali risiko yang mungkin terjadi. Anda dapat mengambil sikap dan mengatakan tidak dan tetapi itu mungkin atau mungkin tidak berhasil dan itu dapat menyebabkan perasaan buruk.

Intinya: jika bos tidak peduli dengan penampilan perlakuan yang disukai atau risiko yang terkait dengan pengguna yang menjalankan sebagai admin DAN Anda (atau dept Anda) tidak memiliki otoritas yang diakui untuk menolak permintaan, Anda mungkin juga memberikannya kepada dia.

Yang terbaik yang dapat Anda lakukan adalah mencoba merumuskan pernyataan "ini bertentangan dengan praktik teknis terbaik" yang sopan, kembalikan barang-barangnya, dan biarkan dia pergi ke kota.

Saya telah menemukan bahwa sebagian besar manajer memiliki salah satu dari dua gaya penggunaan komputer: mereka sangat lepas tangan karena mereka memiliki hal-hal yang lebih penting untuk dilakukan daripada bermain dengan komputer, atau mereka suka masuk ke sana dan mengacau.

Manajer lepas tangan tidak ada masalah - Anda mengatur komputer mereka, memberi tahu mereka apa yang dapat dan tidak bisa mereka lakukan dan memastikan Anda selalu ada jika mereka perlu menginstal sesuatu (dan memiliki banyak pilihan sebanyak mungkin - mis. akun lokal dengan akses admin, akses jarak jauh yang diuji melalui VPN, dll.).

Dalam kasus saya, hampir semua manajer dan orang-orang level VP yang suka menginstal atau mengkonfigurasi berbagai hal di komputer mereka telah membunuh komputer mereka pada suatu saat, jadi kami tidak terlalu kesulitan untuk mengunci komputer mereka. Beberapa dari mereka kami harus memberi tahu tentang akun admin lokal untuk membuat mereka bahagia, tetapi mereka memahami risiko melakukan sesuatu tanpa melibatkan kami atau setidaknya bertanya terlebih dahulu kepada kami.

Presiden, bagaimanapun, tidak pernah mengerti berapa biayanya ketika dia membunuh sistemnya, tetapi dia pensiun sebelum kita mencoba upaya terakhir kita pada sebuah solusi: kita akan memberinya dua komputer, satu dikunci dengan semua barang standar kita diinstal, dan yang kedua ia dapat menginstal apa pun yang sesuai dengan kesukaannya. Dia menyukai notebook kecil jauh sebelum istilah "netbook" diciptakan, jadi saya pikir dia bisa membawa dua dari mereka, tetapi hanya satu catu daya.

Jelaskan bahwa memiliki hak administratif membuat komputernya lebih rentan terhadap peretas, yang dapat mencuri rahasia perusahaan, menghancurkan data atau layanan pelecehan, atau virus, yang dapat menghancurkan data atau menyebabkannya menjadi bagian dari botnet, yang dapat membuka mereka terhadap tuntutan pidana komputer jika mereka mengambil bagian dalam serangan DoS atau sejenisnya.

Selain itu, jelaskan bahwa jika mereka secara tidak sengaja merusak sesuatu, mereka dapat tanpa komputer mereka selama beberapa jam (atau berhari-hari) ketika Anda mencoba memperbaikinya. Jika mereka tidak memiliki hak administratif, maka mereka akan memiliki sedikit kemampuan untuk memecahkan banyak hal.

Anda memerlukan kebijakan TI di tempat pertama - solusi teknis selalu didasarkan pada mereka, bukan sebaliknya, tidak peduli seberapa jelas beberapa pengaturan teknis seperti akun pengguna non-admin bagi kami.

Saya bertanya kepadanya apa yang dia pikir tidak bisa dia lakukan dengan hak istimewa yang dimilikinya. Selain itu, beri dia hak admin- dia menandatangani cek lembur saat dia melanggarnya.

Apa yang telah kita lakukan adalah menjelaskan apa yang telah disebutkan ... jika kita harus membersihkan suatu sistem, itu berarti mereka tidak memiliki sistem mereka untuk periode waktu itu. Kami juga memiliki kebijakan ketat yang membuat penilaian cepat. Jika pembersihan akan memakan waktu lebih dari satu jam, atau jika kami tidak dapat dengan cepat menilai tingkat infeksi, kami hanya perlu pencitraan ulang sistem. Masalahnya, sejauh menyangkut eksekutif, sekarang semua mainan mereka hilang. Tapi karena kami tidak tahu apa yang ada di sistem atau di mana mendapatkan semua paket instal ... Anda tahu. Anda mungkin tidak memiliki pengaruh seperti itu tetapi patut dicoba.

Pada akhirnya, bos besar harus membuat keputusan bisnis tentang apa yang dapat diterima untuknya. Kita mungkin tidak setuju dengan itu secara teknis semua yang kita inginkan, tetapi itu bukan urusan kita. Jika kita tidak bisa hidup dengan keputusan tersebut, kita selalu memiliki pilihan untuk mencari pekerjaan di tempat lain.

Omong-omong, jika Anda mencari sumber daya untuk membantu argumen ini, lihat situs berikut: Threatcode.com . Saya tidak tahu sampai saat ini disimpan, tetapi telah disebut-sebut di masa lalu.

Jika Anda pergi dan berkata "Anda tidak bisa melakukan ini" dengan orang yang menandatangani Anda membayar maka Anda akan kehilangan!

Seperti biasa, Anda harus memutar dan memutar untuk menyelesaikan ini. Jawabannya hanya dapat ditemukan jika Anda mengerti mengapa dia ingin menjadi admin.

Jika itu teknis Anda mungkin bisa meyakinkannya, tetapi jika itu tentang "kekuatan" dan menjadi bos Anda, Anda tidak beruntung. Sangat sulit untuk meyakinkan atasan bahwa ia membutuhkan lebih sedikit hak istimewa daripada orang-orang yang menjadi atasannya, itu mungkin berarti dari sudut pandangnya bahwa mereka diizinkan untuk melakukan lebih dari dirinya dan itu mengubah hierarki normal menjadi terbalik ( dan sebagian besar bos tidak suka itu).

Jadi pilihlah kata-kata Anda dengan hati-hati dan jangan lupa sisi manusia dari masalah ini.

\ computername \ c $ ke PC-nya, baca semua dokumennya, salin, rekatkan ke lokasi yang berbeda, lalu berikan dia contoh apa yang akan dilakukan peretas terhadap sistemnya dan lakukan dengan semua informasi pribadinya jika ia terinfeksi karena dia ingin menjelajah ke situs aneh atau mengunduh game gratis dari suatu tempat.

Mungkin akan membuat Anda dipecat. Saya telah berada dalam situasi sebelumnya dan ini adalah situasi tanpa kemenangan. Saya di yang lain sekarang. Saya bekerja untuk perusahaan yang tidak peduli dengan pemberian hak admin lokal kepada pengguna. Kami memiliki masalah virus / spyware / malware SEMUA SAAT. Yang paling penting, pria desktop kami adalah noob, tapi sangat sombong, seolah-olah dia yang menciptakan internet.

Bagaimanapun, saya adalah admin jaringan. Saya hanya memblokir situs yang benar-benar buruk dan mencoba untuk mencegah hal-hal dari ujung saya, tetapi pengguna bodoh sepertinya selalu menemukan cara. Senang saya tidak perlu menutupi untuk pria desktop sangat banyak.