É normal conceder acesso de administrador de 'usuários' ao PC da empresa?

13

Eu tenho um usuário que quer ser um administrador do seu PC de trabalho, ele inventou uma história sobre como ele não pode trabalhar sem ele, então me disseram para "corrigi-lo" (como se fosse uma falha que ele fez logon como um usuário!).

Meus colegas de TI e eu não logamos como administradores devido a vírus / malware que se mantêm em pé e se configuram como servidores para distribuir um ataque (sim, isso aconteceu no passado).

Qual é a 'norma' para seus usuários de rede e como você lida com solicitações de acesso de administrador?

obrigado

permissions Phillipe B
fonte
3
Se você se opuser a conceder a ele direitos de administrador, é de sua responsabilidade garantir que ele tenha todas as permissões granulares e acesso habilitados com antecedência, para que eles não encontrem obstáculos na forma de refeição. Isso é muito difícil de prever em um sistema Windows, dada a complexidade do software atual. Por exemplo, eles podem ver um comportamento estranho em um aplicativo e, após um dia de solução de problemas, descobrem que o aplicativo falhou silenciosamente ao ler alguma configuração de registro à qual o usuário não teve acesso.
AaronLS

Respostas:

12

Atualmente, temos três níveis de suporte para os usuários:

  1. Apoio total. Os usuários têm apenas acesso básico e um conjunto padrão de aplicativos
  2. Suporte limitado. Fazemos o patch central do SO e fornecemos aplicativos. O usuário tem acesso root.
  3. Sem suporte. Fornecemos ao usuário uma conexão à Internet. O usuário assume a responsabilidade pelo computador, incluindo software e patches. Monitoramos a rede quanto a problemas e cortamos o usuário se houver algum problema.

Dessa forma, os usuários podem escolher o que desejam e minimizamos o impacto, tanto para a equipe de TI quanto para os usuários. Descobrimos que os usuários podem confiar em escolher um nível de suporte apropriado. Tenho a sensação de que bloquear usuários por padrão é muito caro em termos de produtividade.

pehrs
fonte
1
+1 Eu gosto disso e pode tentar no meu trabalho.
Nic
4
Embora seja uma abordagem interessante e vale a pena considerar, com sistemas operacionais propensos a malware, é muito provável que isso permita a perpetuação de malware como worm em toda a sua rede interna. Para eliminar esse risco, as opções 2 e 3 não poderiam incluir acesso interno irrestrito à rede.
Warner
2
Eu acho que essa é uma excelente abordagem. As pessoas com PCs em suas mesas são geralmente "trabalhadores do conhecimento" (KWs), e é melhor deixar os KWs tomarem suas próprias decisões pessoais sobre tecnologia. Nos anos 80, a TI ainda era chamada de "Processamento de Dados", e eles eram responsáveis ​​apenas pelos grandes terminais de ferro e mudos. Foram os KWs que trouxeram seus próprios PCs que forçaram os departamentos de Processamento de Dados em todos os lugares a se concentrarem no suporte a PCs e migrarem para um modelo cliente-servidor e, eventualmente, renomearem-se como "TI". Deixe seus KWs decidirem por si mesmos quanto de mãos dadas eles querem de você.
Spiff
@Warner onde trabalho, a maioria das pessoas não usa SOs propensos a malware e optam pelo número 3 e recebem acesso interno irrestrito à rede. As pessoas que desejam usar sistemas operacionais propensos a malware são forçadas a entrar no nº 2 ou nº 1 e são obrigadas a usar apenas endereços IP estáticos registrados em suas caixas propensas a malware, para que a TI verifique suas portas ou tráfego de rede em busca de atividades de malware com mais facilidade, e localize o usuário culpado com mais facilidade.
Spiff
As condições são fundamentais. Você não podia me convencer de que fornecer ao cliente acesso irrestrito às estações de trabalho Windows na rede interna seria uma boa idéia, mantendo um nível de serviço razoável para o usuário final. Isso introduziria um grave risco de segurança entre a incapacidade de manter padrões, atualizações e os privilégios adicionais, permitindo que o malware fosse executado sem restrições. Eu gosto da ideia de 3, pois concentro minha carreira em tecnologias da Internet e soluções de alto nível - não em tecnologias do tipo de suporte à intranet.
Warner
5

Meus dois centavos :

1 / Os direitos de administrador são ruins. E malware não é a única razão pela qual. Outro problema, e geralmente maior, é que muitos usuários adicionam aplicativos aos quais você não sabe dar suporte ou que são interrompidos com o tempo. Resultado? Três ou quatro anos assim, e você acaba chorando porque, por algum motivo, um processo crítico para os negócios é tratado usando um aplicativo que ninguém sabe, ou que foi desenvolvido por um amigo do cara que deixou a empresa, ou o que seja. Eu tenho um cliente, por exemplo, que desenvolveu um aplicativo GRANDE - e MUITO ÚTIL - usando o Lotus 1-2-3. Uma versão muito antiga. Isso não é executado em nenhum sistema operacional posterior ao Windows 98. E o cara que fez isso deixou a empresa. Veja o problema?

2 / Se alguém NÃO deve ter direitos de administrador, são os desenvolvedores . Porque se eles são administradores, não farão QUALQUER esforço para escrever seu software respeitando as diretrizes de codificação. E eles acabarão escrevendo aplicativos que precisam de direitos de administrador para serem executados. O que é ruim.

Eu sou um administrador do sistema e estou executando SEM direitos de administrador (nem mesmo o administrador local do meu computador). Quando preciso deles, agarro-os durante o tempo da minha tarefa de administrador. Esse é o meu próprio salva-vidas. Eu posso cometer erros ... E erros com direitos de administrador podem ser terríveis.


fonte
Mudança de vida !!!!
Saariko 15/07/12
4

Pode haver justificativa comercial para um usuário final ter privilégios mais altos. Freqüentemente, será ditado pela cultura da sua empresa.

A melhor política de TI é padronizar o mínimo de privilégios necessários para executar uma função de trabalho. Se houver justificativa e não houver soluções técnicas para manter privilégios menores, haverá uma justificativa comercial para o acesso adicional.

Algumas empresas técnicas optam por conceder acesso de administrador local a todos os usuários. Outros, apenas equipe técnica.

No meu departamento: sem justificativa, eles não têm acesso. Em relação ao acesso de administrador local da estação de trabalho: os usuários técnicos geralmente o obtêm. Se eles introduzirem riscos na empresa, eles podem ser reavaliados individualmente. O funcionário não técnico médio não. Nunca tivemos um incidente de malware de qualquer importância, mas geralmente executamos um processo apertado.

Também respondi a uma pergunta hoje mais cedo, relacionada à sua pergunta aqui. Abrange alguns dos princípios fundamentais associados à política e ao procedimento de controle de acesso.

Warner
fonte
4

Não não não não não!

Nenhum computador com um usuário com direitos de administrador deve entrar na sua rede. Certamente, nenhum computador de propriedade da empresa deve ter direitos de administrador de usuário:

Eu não odeio usuários, mas um departamento de TI simplesmente não pode fazer seu trabalho com eficiência se eles precisam constantemente corrigir problemas auto-infligidos no computador.

Por que diabos os usuários (desenvolvedores, se você os tiver, exceto) precisam de acesso de administrador.

Para instalar aplicativos?

Nós gastamos muito tempo e esforço testando aplicativos para compatibilidade e padronizamos em uma versão específica. Mantemos as informações de licenciamento e concordamos em apoiar o que instalamos.

Para executar aplicativos que exigem acesso de administrador?

Ei, não estamos mais executando o Windows 98. Não me lembro de um aplicativo comercial padrão que exija direitos de administrador. Se alguém o fizesse, não permitiríamos em primeiro lugar.

Atualizações?

É para isso que serve o WSUS / ASUS. A maioria dos usuários não precisa dos drivers mais recentes para placas gráficas - eles não são jogadores!

E se [inserir o motivo aqui] tivesse que ser executado como administrador?

Em seguida, eles são totalmente segregados do restante da rede, possivelmente se houver um número suficiente deles, em seu próprio domínio. O mais importante é que gerenciamos as expectativas deles - você quebra e corrige - os tempos normais de resolução do SLA não se aplicam.

Existem muitos casos extremos, mas nosso objetivo é administrar nosso departamento para que nenhum usuário precise acessar o administrador ou solicitá-lo. Se seus usuários têm direitos de administrador, você não controla sua 'rede', uma situação em que eu gostaria de estar.

Jon Rhoades
fonte
2
É bom ressaltar que o tipo de usuário (e, portanto, o tipo de organização) é um fator decisivo. Minha experiência é na administração de lojas de desenvolvimento de software, mas claramente os requisitos em outros lugares podem e diferem.
Charles Duffy
@ Charles Duffy - Eu concordo que os desenvolvedores mudem tudo, só temos um e ele também é membro da equipe de TI, portanto, não há problemas por lá.
quer
2

Normalmente, onde trabalhei, os desenvolvedores de software tiveram acesso de administrador e geralmente mais ninguém.

Em um lugar que eu contratei, eles tiveram uma boa ideia. Para obter acesso de administrador, eu precisava ler e assinar um formulário concordando que, se alguma vez eu tivesse que ligar para a TI sobre problemas no computador ou se outra pessoa notasse problemas no meu computador, a TI tentaria corrigi-lo por quinze minutos e depois limpe e re-imagem.

David Thornley
fonte
1

Como você pode ver nas respostas anteriores, não há norma para isso. Existe, contudo, a Regra de Ouro dos Menos Privilégios. Isso significa simplesmente que o usuário deve ter os direitos mínimos de acesso necessários para realizar seu trabalho. É lamentável que, especialmente no mundo Windows, isso signifique que alguns usuários (por exemplo, programadores) exijam direitos totais de administrador.

Sugiro que você solicite ao usuário em questão que documente o que ele / ela não pode fazer como usuário e verifique se o problema pode ser resolvido com algo menos do que direitos de administrador completos. Se eles não puderem ou não quiserem documentar os problemas, é possível que você possa apresentar à gerência um caso de que a reivindicação é infundada e, portanto, não requer alterações. Obviamente, o quão bem isso ocorre geralmente depende de quem é doido por quem na sua organização em particular.

John Gardeniers
fonte
0

Se alguém realmente precisar de direitos de administrador em sua máquina local, ficaria tentado a configurar algo como o Virtual Box / Vmware Player como sua caixa de areia. Permita que eles façam o que quiserem em sua caixa de areia e, no SO Host, eles serão bloqueados como qualquer outra máquina.

Os detalhes dependeriam muito das expectativas para o sistema em particular.

  • O usuário (e seus gerentes) está disposto a fazer com que ele seja responsável pelos backups?
  • O usuário será capaz de aceitar que, se algo não puder ser corrigido rapidamente, porque ele / ela falsificou, você irá aparecer em um disco e formatá-lo imediatamente?
  • O usuário e o gerente estão prontos para assumir a responsabilidade por quaisquer problemas legais resultantes de software não licenciado, violações de segurança, danos a outros sistemas na rede?
Zoredache
fonte
Supondo que a VM não estivesse conectada à rede, seria mais fácil desconectar o cabo de rede. Caso contrário, todos os riscos ainda estão lá.
Joe Internet