我发现很多时候,公司里的“大老板”想要安装“任何东西”,并在计算机上做任何事情。
当然,我们可以告诉他,这是不好的,因为IT系统pipe理员失去了对计算机的控制,等等。
任何无可辩驳的论据说服大老板,最好不要在他们的桌面计算机上拥有pipe理员权限?
唯一一次我在这方面取得了一点成功的是一位老板,如果他想安装一些东西,他愿意使用运行和备用证书。 我解释说,即使是系统pipe理员大部分时间login到正常帐户的系统,然后创build了他自己的pipe理员帐户,只有当他想要做一些特殊的事情时才使用它。 这实际上是非常有效的,并且使我的机器在我在公司的两年内完全不受干扰。 这是一个相对精明的首席执行官,他能够把整个过程理解为一件事情,而且我确定他有那些我不会批准的东西,但至less阻止了他被动地搞砸了。
告诉他们,他们可以获得与域pipe理员相同的访问权限,然后给予他们:
这个想法是,特权帐户应该被破解,大部分时间作为标准用户保持login不那么痛苦; 老板只有在真正需要的时候才想使用这个特权帐户。 大老板几乎总是非常依赖于访问电子邮件和报告系统,所以如果你可以从特权帐户访问这些不太方便,那么你的状态良好。 有一半时间你的老板会忘记凭证。
如果这仍然不能满足他们,那就去分配一个完整的域pipe理员/ root帐户,但是仍然把它作为一个单独的帐户从他们正常的工作帐户 – 毕竟,他们是老板。 确保帐户经过严格审核。 在这一点上,他们往往真正在寻找的只是一个保险单或对冲stream氓pipe理员; 他们需要感觉到,如果他们想到这一点,他们就会停下脚步,只要他们有日常工作的标准用户账户,那就没有任何问题。
没有,除了让他们知道至less需要3-4小时清理他的电脑时,他绝望地清理它。
公正的警告
我只做合同工作,所以我做我的客户告诉我的任何事情,如果我真的不喜欢,我会在合同中执行“救助条款”。
考虑到这一点,今天大多数人都有某种“恶意软件”的经验。 我与客户讨论他们通过浏览器错误等运行的恶意软件与login的用户帐户具有相同的权限和权限(包括访问他们的电子邮件和他们的击键,更不用说资源服务器)。
通常我会遇到一个问题,例如“为什么反病毒软件不能处理它?” 然后,我们进行“军备竞赛” – 有关恶意软件人员如何将相同的更新下载到反恶意软件软件的工作,并围绕新的“签名”进行工程devise等。
我最重要的是解释说我在我的所有电脑上都使用了有限的用户帐户(并且这么做了很多年)。
这就是让我说服用户使用有限用户帐户运行的一切。 有几次,我不得不让用户有一个恶意软件的经验(总是发生),但由于我的服务通常都附带了相关费用的明确指示,通常只发生一次。
我通常创build“pipe理员”级别的用户作为本地帐户或域帐户(以及限制组策略,以实际授予用户帐户“权限”),具体取决于用户需要访问多less台计算机。 我确保不要在日常用户帐户使用的任何组中对其进行命名,也不要授予其访问其Exchange邮箱的权限。 除了在PC上安装软件/驱动程序之外,我希望“pipe理员”级别的帐户尽可能无用。
这个策略为我节省了很多麻烦,为我的客户节省了大量的金钱。 需要“人才”来进行对话,作为承包商肯定有帮助,但这绝对是一个可以克服的问题。
不要试图说服他错了,也许你应该尝试find一些妥协方法。 也许可以让他用一个客户虚拟机来运行VMware的副本,他可以疯狂的。 试着让他能够完成他认为他需要做的事情,而这样做仍然会使他保持稳定的pipe理体系。
真的,你可能需要做的商业案例,他可以有一个可靠的计算机,可以恢复,当它失败,或者他失去了他的电脑,因为你确切知道什么是在系统上,以及如何解决它,以及所有媒体是。 或者他可以有一台他负责的电脑,当电脑坏了,你不能保证你能做任何事情,然后格式化+重新安装。
尝试和交stream风险和你所做的,并尝试达成妥协。 考虑设置一个虚拟机,或者一个双引导设置,或者让他具有他所需要的灵活性,但是仍然可以让他拥有一个稳定的系统。
不幸的是,对于签署薪水的人来说,没有什么可以做的。 🙂
我可以给你的最好的(实际的)build议是确保你的系统有一个好的备份程序,并让他变得疯狂。 大声笑
这真的归结为:
有人必须坐在驾驶座上。 他的公司很清楚,他是老板。 你所能做的最好的就是告诉他最好的行动方式(任何事情),然后让他做出“明智的决定”。 如果他没有听从你的build议……而且有一个搞砸的话……他的失误是不听的。
如果他遵从你的build议,并且有一个拧紧…他仍然是他的错,因为他做出了决定。 记住,他在驾驶座上。
现在…这会不时地让你看起来怪异的样子,甚至是一个笑声或一个笑声。
但是,一定要解释,差异是…你的清理你的混乱(免费),并尽你最大的努力来解决这个问题。 另一个他支付你清理,你保留“传”给他5-10分钟的权利,他同意听。
尽量保持在有趣的一面。
我从来没有向业主解释这个逻辑的问题。 他们中的大多数人已经知道了。 它只是有趣的解释,在钝(但温柔)的条款。 😉
告诉他,他应该真正树立公司其他部门应该遵循的榜样。
如果他开始用“互联网下载”来“定制”他的(最坏的情况下)笔记本电脑,那么他的销售总监,财务总监,助理销售总监,销售人员的意志,技术人员,客户服务等等。
然后,解释一下a)商业基础设施的风险增加了(幻想在互联网上find所有客户和订单信息),b)在组织中设置了一个松散的安全和专业化文化,c)花费了更多的支持并降低可靠性。
如果他想要一台游戏机,那就让他在自己的电脑上做,但是商务电脑/笔记本电脑/设备是出于商业目的。
这是一个长大的事情…
我不明白这里答案的片面性。 大奶酪得到什么大奶酪想要的。
一个非技术性的行政人员是否会陷入自己的一些麻烦?
也许 – 但看看这是一个机会,第一手能力炫耀你的能力,并与签署支票的人得到一些facetime。 给予CEO一个有天赋的年轻pipe理层的曝光是一个很好的方式,让孩子面对面的时间,并促进过程更容易…“记得上个月节省了一天的人…”
或者,你可以采取脾气暴躁的书面方式,贬低首席执行官,并给你的老板心痛。
我完全回避了这个问题,并购买了一个非常昂贵的非常高端(当时)的Mac工作站的CEO与一个巨大的工作室显示。 他喜欢排他性,我喜欢这样一个事实,即他可以减less一点麻烦。 我保持ssh和run top的能力只是为了留意事情。 幸运的是,他不是一个笔记本电脑的人。
告诉他,很less有医院老板为此进行脑外科手术或任何外科手术。
与其试图阻止老板在他的机器上安装东西,我认为你最好找出一种办法,防止他的电脑在其他IT系统遭到肆意破坏时,病毒扫描器。
如果这个问题出现了,我猜测组织没有明确的政策来处理这种请求。 如果这些都已经到位,这将是一个不行,或者他会提交特殊要求以获得特权的logging。 或者他会问你违反政策。 啊哈。
没有什么可以做的 如果有人没有得到它,或者你的老板或组织不承认可能的风险,那么没有什么神奇的论点。 你可以采取立场,说不,但可能会或可能不会工作,这可能会导致不好的感觉。
底线:如果一个老板不关心首选治疗的出现,或与作为pipe理员运行的用户相关的风险,而且您(或您的部门)没有公认的权限拒绝请求,那么您最好还是他。
你所能做的最好的事情是试着制定一些有礼貌的“这是违反最好的技术实践”的声明,支持他的东西,让他去镇上。
我发现大多数pipe理者有两种计算机使用方式之一:他们要么是非常不干涉的,因为他们比玩电脑还要重要,或者他们喜欢在那里混乱。
解放pipe理者是没有问题的 – 你build立他们的计算机,告诉他们他们能做什么,不能做什么,如果他们确实需要安装一些东西(并且有尽可能多的select – 例如具有pipe理员权限的本地帐户,通过VPNtesting远程访问等)。
就我而言,几乎所有喜欢在计算机上安装或configuration东西的pipe理人员和副总裁级别的人都会在某个时候杀死他们的计算机,所以我们没有太多的麻烦来locking他们的计算机。 其中一些我们不得不告诉本地pipe理员帐户,以使他们开心,但他们理解做一些事情的风险,而不涉及我们或至less要求我们。
然而总统却从来不知道他杀了他的系统花了多less钱,但是他在我们试图解决问题的最后一次尝试之前就退休了,我们要给他两台电脑,一台locking所有标准的东西第二个,他可以安装任何他想象的东西。 早在“上网本”这个词被创造出来之前,他就喜欢小笔记本电脑,所以我想他可以将其中的两个放在身边,但只有一个电源。
说明拥有pipe理权限使得他的电脑对于黑客来说更为合理,黑客可以窃取公司机密,破坏数据或者滥用服务或者病毒,从而破坏数据或者使其成为僵尸networking的一部分,如果他们参与DoS攻击等。
另外,请解释一下,如果他们意外地损坏了某些东西,那么当您尝试修复它时,他们可能会在几个小时(或几天)内没有电脑。 如果他们没有pipe理权限,那么他们破坏事物的能力就会降低。
您首先需要IT策略 – 技术解决scheme总是基于它们, 而不是相反,无论像非pipe理用户帐户这样的技术设置看起来如何显而易见。
我问他,他认为他不能用他所拥有的这些秘密去做什么。 除此之外,给他pipe理员权利,他打破加class时签字。
我们所做的是解释已经提到的事情……如果我们必须清理一个系统,那就意味着他们在那个时期没有系统。 我们也有一个严格的政策,我们做一个快速的评估。 如果清理需要一个多小时,或者如果我们无法快速评估感染的程度,我们只是重新映像系统。 对于这个问题,就行政来说,现在他们所有的玩具都没有了。 但是由于我们不知道系统上是什么,或者从哪里获得所有的安装软件包……所以您就明白了。 你可能没有这样的杠杆,但值得一试。
最终,大老板必须做出他/她可以接受的商业决策。 我们可能在技术上不同意这一切,但这不是我们的业务。 如果我们不能接受这个决定,我们总是可以select在其他地方找工作。
顺便说一下,如果您正在寻找资源来帮助解决这个问题,请查看以下网站: Threatcode.com 。 到目前为止,我还不知道它的存在,但过去它已经被吹捧了。
如果你和正在签名的家伙一起说“不能这样做”,那么你就会失去信心!
像往常一样,你需要扭转和扭转这个。 只有当你明白他为什么要成为pipe理员才能find答案。
如果是技术性的,你也许可以说服他,但如果是关于“权力”,做你的老板,你倒霉。 说服老板很难说他所需要的特权比他所诟病的人还要less,这可能意味着从他的angular度来看,他们可以比他做更多的事情,并且把正常的等级放在一边。而大多数老板都不喜欢这样)。
所以请谨慎select你的话,不要忘记这个问题的人性方面。
\ computername \ c $到他的个人电脑,阅读他的所有文件,复制它们,粘贴到一个不同的位置,然后向他展示一个黑客将如何做他的系统,并做他的个人信息,如果他受到感染因为他想浏览奇怪的网站或从某处下载免费游戏。
它可能会让你被解雇。 我一直处于这种状况,这是一个不成功的情况。 我现在在另外一个。 我为一家公司提供服务,但并没有给予用户本地pipe理权限。 我们一直有病毒/间谍软件/恶意软件问题。 最重要的是,我们的桌面小伙子是一个noob,但非常自大,就好像他发明了互联网。
无论如何,我是一个networkingpipe理员。 我只是阻止了真正糟糕的网站,并试图阻止我的结局,但愚蠢的用户似乎总是find一种方法。 很高兴我不必为桌面的人掩盖非常多。