Apakah normal untuk memberikan akses administrator 'pengguna' ke PC perusahaan mereka?

13

Saya memiliki pengguna yang ingin menjadi administrator PC kerjanya, ia membuat beberapa cerita tentang bagaimana ia tidak dapat bekerja tanpanya jadi saya disuruh "memperbaikinya" (seolah-olah itu adalah kesalahan yang ia masuki sebagai pengguna!).

Rekan kerja IT saya dan saya tidak masuk sebagai administrator karena virus / malware tahan dan mengatur diri mereka sebagai server untuk mendistribusikan serangan (ya ini terjadi di masa lalu).

Apa 'norma' untuk pengguna jaringan Anda dan bagaimana Anda menangani permintaan untuk akses administrator?

Terima kasih

permissions Phillipe B
sumber
3
Jika Anda keberatan memberinya hak admin, maka itu adalah tanggung jawab Anda untuk memastikan bahwa ia memiliki semua izin granular dan akses yang diaktifkan terlebih dahulu sehingga mereka tidak menemui penghalang jalan dengan cara sepotong-sepotong. Ini sangat sulit untuk diantisipasi dalam sistem Windows, mengingat kompleksitas perangkat lunak saat ini. Misalnya, mereka mungkin melihat perilaku aneh dalam suatu aplikasi, dan setelah seharian mengatasi masalah mengetahui bahwa aplikasi itu secara diam-diam gagal membaca beberapa pengaturan registri yang tidak dapat diakses oleh pengguna.
AaronLS

Jawaban:

12

Saat ini kami memiliki tiga tingkat dukungan untuk pengguna:

  1. Dukungan penuh. Pengguna hanya memiliki akses dasar dan satu set aplikasi standar
  2. Dukungan terbatas. Kami melakukan patching pusat OS dan memasok aplikasi. Pengguna memiliki akses root.
  3. Tidak ada dukungan Kami menyediakan pengguna dengan koneksi internet. Pengguna bertanggung jawab atas komputer, termasuk perangkat lunak dan penambalan. Kami memantau jaringan untuk masalah, dan memotong pengguna jika ada masalah.

Dengan cara ini pengguna dapat memilih apa yang mereka inginkan dan kami meminimalkan dampaknya, baik untuk staf TI maupun pengguna. Kami telah menemukan bahwa pengguna dapat dipercaya untuk memilih tingkat dukungan yang sesuai. Saya merasa bahwa mengunci pengguna secara default sangat mahal dalam hal produktivitas.

pehrs
sumber
1
+1 Saya suka ini, dan mungkin mencobanya di tempat kerja saya.
Nic
4
Meskipun pendekatan yang menarik dan patut dipertimbangkan, dengan sistem operasi yang rawan malware, ini sangat mungkin untuk memungkinkan kelanjutan cacing seperti malware di seluruh jaringan internal Anda. Untuk menghilangkan risiko ini, opsi 2 dan 3 tidak dapat menyertakan akses internal tidak terbatas ke jaringan.
Warner
2
Saya pikir ini adalah pendekatan yang sangat baik. Orang-orang dengan PC di meja mereka biasanya "pekerja berpengetahuan" (KW), dan KW biasanya lebih baik dibiarkan membuat keputusan teknologi pribadi mereka sendiri. Pada tahun 80-an, TI masih disebut "Pemrosesan Data", dan mereka hanya bertanggung jawab untuk terminal besi besar dan bodoh. Para KW yang membawa PC mereka sendiri yang memaksa departemen Pemrosesan Data di mana-mana untuk fokus pada mendukung PC dan pindah ke model client-server, dan akhirnya mengubah nama mereka menjadi "IT". Biarkan KW Anda memutuskan sendiri berapa banyak pegangan yang mereka inginkan dari Anda.
Spiff
@Warner tempat saya bekerja, kebanyakan orang tidak menggunakan OS rawan malware, dan mereka memilih # 3, dan diberi akses internal tidak terbatas ke jaringan. Orang yang ingin menggunakan OS rawan malware dipaksa ke # 2 atau # 1, dan terpaksa hanya menggunakan alamat IP statis terdaftar untuk kotak rawan malware mereka sehingga IT memindai port mereka atau lalu lintas jaringan mereka untuk aktivitas malware dengan lebih mudah, dan melacak pengguna pelakunya dengan lebih mudah.
Spiff
Kondisi adalah kuncinya. Anda tidak dapat meyakinkan saya bahwa memberi layanan pelanggan akses tidak terbatas ke workstation Windows mereka di jaringan internal akan menjadi ide yang baik, sambil mempertahankan tingkat layanan pengguna akhir yang wajar. Ini akan menimbulkan risiko keamanan yang parah antara ketidakmampuan untuk mempertahankan standar, pembaruan, dan hak istimewa tambahan yang memungkinkan malware berjalan bebas tanpa batasan. Saya menyukai ide 3, karena saya memfokuskan karir saya pada teknologi Internet dan solusi tingkat tinggi - bukan teknologi tipe dukungan intranet.
Warner
5

Dua sen saya:

1 / Hak admin BAD. Dan malware bukan satu-satunya alasan mengapa. Masalah lain, dan seringkali lebih besar, adalah bahwa banyak pengguna akan menambahkan aplikasi yang Anda tidak tahu cara mendukungnya, atau yang dihentikan seiring waktu. Hasil? Tiga atau empat tahun seperti ini, dan Anda akhirnya menangis karena suatu alasan proses bisnis-kritis ditangani menggunakan aplikasi yang tidak ada yang tahu, atau yang dikembangkan oleh teman-pria-pria-yang-kiri- perusahaan, atau apa pun. Saya memiliki pelanggan misalnya yang mengembangkan aplikasi BESAR - dan SANGAT BERMANFAAT - menggunakan Lotus 1-2-3. Versi yang sangat lama. Itu tidak berjalan pada OS lebih lambat dari ... Windows 98. Dan orang yang melakukan ini meninggalkan perusahaan. Lihat masalahnya?

2 / Jika SESEORANG TIDAK boleh memiliki hak admin, itu pengembang . Karena jika mereka adalah admin, mereka tidak akan melakukan upaya apa pun untuk menulis perangkat lunak mereka sehubungan dengan pedoman pengkodean. Dan mereka akhirnya akan menulis aplikasi yang PERLU hak admin untuk dijalankan. Itu buruk.

Saya seorang admin sistem dan saya menjalankan TANPA hak admin (bahkan admin lokal komputer saya). Ketika saya membutuhkannya, saya mengambilnya, untuk saat tugas admin saya. Itu adalah penyelamat hidup saya sendiri. Saya bisa melakukan kesalahan ... Dan kesalahan dengan hak admin bisa sangat buruk.


sumber
Mengubah hidup !!!!
Saariko
4

Mungkin ada justifikasi bisnis bagi pengguna akhir untuk memiliki hak istimewa yang lebih tinggi. Seringkali, itu akan ditentukan oleh budaya perusahaan Anda.

Kebijakan TI terbaik adalah untuk default ke privilege paling tidak diperlukan untuk melakukan fungsi pekerjaan. Jika ada pembenaran dan tidak ada solusi teknis untuk mempertahankan hak istimewa yang lebih rendah, maka ada pembenaran bisnis untuk akses tambahan.

Beberapa perusahaan teknis memilih untuk memberikan semua pengguna akses admin lokal. Lainnya, hanya staf teknis.

Di departemen saya: tanpa pembenaran, mereka tidak mendapatkan akses. Dalam hal akses admin lokal workstation: pengguna teknis biasanya mendapatkannya. Jika mereka memperkenalkan risiko kepada perusahaan, itu dapat dinilai kembali secara individual. Karyawan non-teknis rata-rata tidak. Kami tidak pernah memiliki insiden malware yang signifikan tetapi kami menjalankan kapal yang ketat secara umum.

Saya juga menjawab pertanyaan sebelumnya hari ini, yang terkait dengan pertanyaan Anda di sini. Ini mencakup beberapa prinsip dasar yang terkait dengan kebijakan dan prosedur kontrol akses.

Warner
sumber
4

Tidak, Tidak, Tidak, Tidak, Tidak!

Tidak boleh ada komputer dengan pengguna yang memiliki hak admin di jaringan Anda. Tentunya tidak ada komputer milik perusahaan yang memiliki hak admin pengguna:

  • Pengguna akan menginstal program yang tidak diinginkan - P2P / Torrents, dll
  • Pengguna menginstal perangkat lunak bajak laut / tidak berlisensi, pada mesin milik perusahaan yang menjadi tanggung jawab departemen TI.
  • Pengguna pada umumnya akan "membereskan" komputer mereka, mengunduh pembaruan yang tidak kompatibel, dll
  • Komputer mereka kurang aman - 90% dari kerentanan Windows 7 dikurangi dengan berjalan sebagai pengguna terbatas

Saya tidak membenci pengguna, tetapi departemen TI tidak bisa melakukan pekerjaannya secara efektif jika mereka terus-menerus memperbaiki masalah komputer yang ditimbulkan sendiri.

Mengapa pengguna (pengembang, jika Anda memilikinya, terkecuali) memerlukan akses admin.

Untuk menginstal aplikasi?

Kami menghabiskan banyak waktu dan upaya menguji aplikasi untuk kompatibilitas kemudian kami melakukan standarisasi pada versi tertentu. Kami menjaga informasi lisensi, dan setuju untuk mendukung apa pun yang kami instal.

Untuk menjalankan aplikasi yang memerlukan akses Admin?

Hai, kita tidak lagi menjalankan Windows 98. Saya tidak dapat mengingat aplikasi bisnis standar yang memerlukan hak admin. Jika ada, kami tidak akan mengizinkannya.

Pembaruan?

Itulah tujuan WSUS / ASUS. Sebagian besar pengguna tidak memerlukan driver kartu grafis terbaru - mereka bukan gamer!

Bagaimana jika [masukkan alasan di sini] harus dijalankan sebagai admin?

Kemudian mereka benar-benar dipisahkan dari sisa jaringan, mungkin jika ada cukup banyak dari mereka, di domain mereka sendiri. Yang paling penting kami mengelola harapan mereka - Anda memecahkannya Anda memperbaikinya - waktu resolusi SLA normal tidak berlaku.

Ada banyak kasus tepi, tetapi kami bertujuan untuk menjalankan departemen kami sehingga tidak ada pengguna yang memerlukan akses admin atau bahkan memintanya. Jika pengguna Anda memiliki hak admin maka Anda tidak mengontrol 'jaringan' Anda bukan situasi yang saya inginkan.

Jon Rhoades
sumber
2
Poin bagus bahwa jenis pengguna (dan dengan demikian, jenis organisasi) adalah faktor penentu. Pengalaman saya dalam melakukan administrasi untuk toko pengembangan perangkat lunak, tetapi persyaratan yang jelas di tempat lain dapat dan memang berbeda.
Charles Duffy
@Charles Duffy - Saya setuju jika pengembang mengubah segalanya, kami hanya punya satu dan dia juga anggota tim TI maka tidak ada masalah di sana.
Jon Rhoades
2

Biasanya, tempat saya bekerja, pengembang perangkat lunak memiliki akses admin dan umumnya tidak ada orang lain.

Di satu tempat saya dikontrak, mereka punya ide bagus. Untuk mendapatkan akses admin, saya harus membaca dan menandatangani formulir yang menyetujui bahwa, jika saya harus menelepon TI tentang masalah komputer, atau jika ada orang lain yang melihat masalah pada komputer saya, TI akan mencoba memperbaikinya selama lima belas menit kemudian bersihkan dan gambar ulang.

David Thornley
sumber
1

Seperti yang Anda lihat dari jawaban sebelumnya, tidak ada norma untuk ini. Namun ada Aturan Emas dari Least Privileges. Itu berarti Anda pengguna harus memiliki hak akses minimum yang diperlukan untuk melakukan pekerjaan mereka. Sangat disayangkan bahwa, terutama di dunia Windows, itu berarti beberapa pengguna (misalnya programmer) memerlukan hak admin penuh.

Saya sarankan Anda meminta pengguna yang bersangkutan untuk mendokumentasikan apa yang tidak dapat dilakukannya sebagai pengguna dan melihat apakah masalahnya dapat diselesaikan dengan sesuatu yang kurang dari hak admin penuh. Jika mereka tidak dapat atau tidak mau mendokumentasikan masalah Anda mungkin dapat mengajukan kasus kepada manajemen bahwa klaim tersebut tidak berdasar dan karenanya tidak memerlukan perubahan. Tentu saja seberapa baik penurunan ini sering tergantung pada siapa yang menghisap kepada siapa di organisasi tertentu Anda.

John Gardeniers
sumber
0

Jika seseorang benar-benar membutuhkan hak admin di mesin lokal mereka, saya akan tergoda untuk mengatur sesuatu seperti Virtual Box / Vmware Player sebagai kotak pasir mereka. Biarkan mereka melakukan apa pun yang mereka inginkan di dalam kotak pasir mereka, dan pada OS Host mereka akan dikunci seperti mesin lain.

Spesifik akan sangat tergantung pada harapan untuk sistem tertentu.

  • Apakah pengguna (dan manajernya) bersedia membuat pengguna tersebut bertanggung jawab atas cadangan?
  • Apakah pengguna dapat menerima bahwa jika ada sesuatu yang tidak dapat diperbaiki dengan cepat karena dia mengira bahwa Anda akan muncul di disk dan segera memformatnya?
  • Apakah pengguna dan manajer siap untuk bertanggung jawab atas masalah hukum apa pun yang dihasilkan dari perangkat lunak yang tidak berlisensi, pelanggaran keamanan, kerusakan sistem lain di jaringan?
Sakit kepala
sumber
Dengan asumsi bahwa VM tidak terhubung ke jaringan, akan lebih mudah untuk mencabut kabel jaringan mereka. Kalau tidak, semua risiko masih ada.
Joe Internet