Como convencer um grande chefe de que ele não precisa de privilégios de administrador?

Descobri muitas vezes que "o grande chefe" de uma empresa deseja instalar "qualquer coisa" e fazer qualquer coisa em seu computador.

É claro que podemos dizer a ele que isso é ruim porque os administradores de sistemas de TI perdem o controle sobre o computador e assim por diante.

Algum argumento irrefutável para convencer grandes chefes de que é melhor não ter privilégios de administrador em seus computadores?

A única vez em que tive um pouquinho de sucesso nisso foi um chefe que estava disposto a usar o run como com credenciais alternativas, se quisesse instalar algo. Expliquei que mesmo os administradores do sistema faziam logon em sistemas com contas normais na maioria das vezes e, em seguida, criaram para ele sua própria conta de administrador que ele só deveria usar quando quisesse fazer algo especial. Na verdade, foi muito eficaz e impediu que sua máquina fosse totalmente danada nos dois anos em que estive na empresa. Esse era um CEO relativamente experiente, capaz de entender toda a corrida, e tenho certeza de que ele tinha coisas que eu não aprovaria, mas pelo menos isso o impediu de estragar tudo passivamente.

Diga a eles que eles podem ter o mesmo acesso que os administradores de domínio obtêm e, em seguida, dê exatamente a eles:

• Uma conta de usuário padrão conectada a seus emails, documentos e aplicativos de negócios que eles podem usar no dia-a-dia.
• Uma conta separada na máquina que possui privilégios de administrador para essa máquina (análoga à conta de administrador do domínio de um administrador), mas NÃO está conectada à conta de email ou a qualquer aplicativo comercial que exija autenticação com base no usuário conectado atual, e não possui impressoras configuradas. Essa conta deve ser quebrada por design, de modo que não seja boa para o dia a dia.

A idéia é que a conta privilegiada seja quebrada o suficiente para que seja menos doloroso permanecer conectado como usuário padrão na maioria das vezes; o chefe só desejará usar a conta privilegiada quando realmente precisar. Os grandes chefes quase sempre dependem muito do acesso a sistemas de e-mail e relatórios, por isso, se você puder torná-los um pouco menos convenientes, é mais conveniente acessá-los a partir da conta privilegiada. Metade do tempo, seu chefe esquecerá as credenciais de qualquer maneira.

Se isso ainda não os satisfizer, vá em frente e distribua uma conta de administrador / raiz de domínio completo, mas faça-a como uma conta separada da conta de trabalho normal - afinal, eles são os chefes. Verifique se a conta é fortemente auditada. Nesse momento, o que eles geralmente procuram é apenas uma apólice de seguro ou proteção contra um administrador não autorizado; eles precisam sentir que o dinheiro para com eles, se for o caso, e desde que eles tenham uma conta de usuário padrão para o trabalho diário, não há nada de errado nisso.

Nenhuma, exceto para que eles saibam que levará pelo menos 3 a 4 horas para limpar seu computador quando ele for irremediavelmente lavado.

Apenas aviso justo ..

Eu só trabalho com contrato, faço o que meus clientes me mandam ou, se realmente não gosto, exercito a "cláusula de resgate" no meu contrato.

Com isso em mente, a maioria das pessoas teve algum tipo de experiência com "malware" hoje. Discuto com o Cliente como o software malicioso executado por meio de bugs no navegador, etc., tem todos os mesmos direitos e privilégios que a conta de usuário com a qual está conectado (incluindo acesso ao email e pressionamentos de teclas, sem mencionar recursos em servidores).

Normalmente, recebo uma pergunta como "Por que o software antivírus não cuida disso?" Em seguida, temos a conversa sobre "corrida armamentista" - sobre como as pessoas com malware estão baixando as mesmas atualizações para o software antimalware que você é e desenvolvendo as novas "assinaturas" etc.

Eu supero tudo explicando que uso contas de usuário limitadas em todos os meus computadores (e o faço há anos).

Isso foi o suficiente para convencer os usuários a executar com contas de usuários limitados. Em algumas ocasiões, tive que deixar o usuário ter uma experiência com malware primeiro (o que invariavelmente acontece), mas como meus serviços geralmente vêm com uma indicação muito clara da despesa relacionada anexada, isso geralmente acontece apenas uma vez.

Geralmente, crio usuários no nível "Administrador" como contas locais ou contas de domínio (junto com a diretiva de grupos restritos para realmente conceder "direitos" à conta do usuário)), dependendo de quantos computadores o usuário precisa acessar. Certifique-se de não nomeá-lo em nenhum dos grupos usados ​​pela conta de usuário do dia-a-dia e de não dar acesso a sua caixa de correio do Exchange. Desejo que a conta de nível "Administrador" seja o mais inútil possível para qualquer coisa, exceto a instalação de software / drivers em seu PC.

Essa estratégia me salvou muitas dores de cabeça e salvou meus clientes de uma quantia substancial de dinheiro. É preciso "habilidades com as pessoas" para ter as conversas que você precisa ter, e ser um contratado certamente ajuda, mas é definitivamente um problema superável.

Em vez de tentar convencê-lo de que ele está errado, talvez você deva tentar encontrar uma maneira de se comprometer. Talvez permita que ele execute uma cópia do VMware com uma vm convidada, na qual ele pode ir à loucura. Tente e dê a ele a capacidade de realizar o que ele acha que precisa fazer de uma maneira que ainda o deixará com um sistema gerenciado estável.

Realmente, você provavelmente precisa argumentar que ele pode ter um computador confiável e que possa ser restaurado quando ele falhar ou ele perder o computador porque você sabe exatamente o que está no sistema e como corrigi-lo e onde tudo a mídia é. Ou ele pode ter um computador pelo qual ele é responsável e, quando o computador quebra, você não pode garantir que poderá fazer outra coisa senão formatar + reinstalar.

Tente e comunique os riscos e o que você faz, e tente alcançar um compromisso. Considere a possibilidade de configurar uma VM, uma instalação de inicialização dupla ou algo que lhe permita a flexibilidade que ele precisa / deseja, mas ainda permite que ele tenha um sistema estável.

Infelizmente, não há muito que você possa fazer com o cara que está assinando seu salário. :-)

O melhor conselho (prático) que eu poderia dar a você seria garantir uma boa rotina de backup para o sistema dele e deixá-lo ficar louco. ri muito

Realmente se resume a isso:

1. ALGUÉM tem que estar no banco do motorista. É a empresa dele tão claramente que ele é o chefe. O melhor que você pode fazer é aconselhá-lo sobre o melhor curso de ação (com qualquer coisa) e depois deixá-lo tomar uma "decisão informada". Se ele não seguir o seu conselho ... e houver um erro ... a culpa é dele por não ouvir.

2. Se ele segue o seu conselho e há um erro ... ainda é culpa dele porque ELE tomou a decisão. Lembre-se, ele está no banco do motorista.

Agora ... isso vai te dar uma aparência estranha de vez em quando ... até uma risada ou risada.

Mas não deixe de explicar que A DIFERENÇA é ... você limpa SUAS bagunças (de graça) e faz o possível para resolver a situação. O outro ele paga para você limpar e você se reserva o direito de "pregar" nele por 5 a 10 minutos e ele concorda em ouvir.

Tente mantê-lo do lado ENGRAÇADO.

Nunca tive problemas para explicar essa lógica ao proprietário de uma empresa. A maioria deles já sabe disso. É divertido explicá-lo em termos contundentes (mas gentis). ;-)

Diga a ele que ele deve realmente dar o exemplo que o resto da empresa deve seguir.

Se ele começar a "personalizar" seu (pior caso) laptop com "downloads da Internet", o diretor de vendas o fará, o diretor financeiro, o diretor assistente de vendas, o gerente de vendas, o pessoal de vendas, os técnicos, o atendimento ao cliente etc. etc .

Em seguida, explique que: a) o risco para a INFRA-ESTRUTURA DE NEGÓCIOS aumenta (fantasia encontrar todas as informações de seus clientes e pedidos na internet), b) define uma cultura de segurança e profissionalismo frouxa na organização ec) custa muito mais em suporte e confiabilidade reduzida.

Se ele quiser uma máquina de jogos, deixe-o fazer isso em seu próprio PC, mas um PC / laptop / equipamento comercial é para fins comerciais.

É uma coisa adulta ...

Eu não entendo a unilateralidade das respostas aqui. O queijo grande consegue o que o queijo grande quer.

Um executivo não técnico enfrentará problemas criados por eles?

Talvez - mas veja isso como uma oportunidade de obter uma habilidade em primeira mão de mostrar suas habilidades e ter algum tempo de vista com o cara assinando os cheques. Dar uma exposição talentosa de um jovem administrador ao CEO é uma ótima maneira de dar tempo ao garoto e facilitar o processo de promoção ... "Lembre-se do cara que salvou o dia no mês passado ..."

Ou você pode adotar a abordagem desagradável e personalizada, irritar o CEO e causar azia ao seu chefe.

Eu evitei totalmente o problema e comprei ao CEO uma estação de trabalho Mac muito cara (na época) muito cara com uma enorme tela de estúdio. Ele adorava a exclusividade, eu adorava o fato de que havia um pouco menos de problemas em que ele poderia entrar. Eu mantive a capacidade de entrar e ficar no topo apenas para ficar de olho nas coisas. Felizmente, ele não era um cara de laptop.

Diga a ele que pouquíssimos Chefes de Hospital realizam Cirurgia Cerebral ou qualquer Procedimento Cirúrgico para esse assunto.

Em vez de tentar impedir que o chefe instale coisas em sua máquina, acho melhor você descobrir uma maneira de impedir que o computador cause destruição destrutiva do restante de seus sistemas de TI quando ele inevitavelmente recebe algum vírus depois de desativar o antivírus.

Se essa pergunta surgir, eu acho que a organização não possui políticas explícitas para lidar com esse tipo de solicitação. Se eles estivessem no local, seria impossível, ou ele estaria registrando os pedidos especiais para obter os privs. Ou ele estaria pedindo para violar a política. ahem.

Não há muito que você possa fazer. Não há argumento mágico se alguém não entender ou seu chefe ou organização não reconhecer os possíveis riscos. Você pode assumir a posição e dizer não, mas isso pode ou não funcionar e pode levar a sentimentos ruins.

Conclusão: se um chefe não estiver preocupado com a aparência de um tratamento ou risco preferido associado a usuários que executam como administradores E você (ou seu departamento) não possui a autoridade reconhecida para negar a solicitação, você também deve ele.

O melhor que você pode fazer é tentar formular alguma declaração educada de "isso é contra as melhores práticas técnicas", apoiar as coisas dele e deixá-lo ir à cidade.

Descobri que a maioria dos gerentes tem um dos dois estilos de uso do computador: eles são extremamente práticos porque têm coisas mais importantes a fazer do que brincar com um computador ou gostam de entrar lá e brincar.

Os gerentes intermitentes não têm problemas - você configura o computador deles, diz o que eles podem e o que não podem fazer e verifique se você está sempre lá, se eles precisam instalar algo (e têm tantas opções quanto possível - por exemplo, uma conta local com acesso de administrador, acesso remoto testado por VPN etc.).

No meu caso, quase todos os gerentes e funcionários de nível de vice-presidente que gostavam de instalar ou configurar coisas em seus computadores haviam matado seus computadores em algum momento, então não tivemos muitos problemas em travá-los. Alguns deles tivemos que contar sobre a conta de administrador local para fazê-los felizes, mas eles entenderam os riscos de fazer algo sem nos envolver ou pelo menos nos perguntar primeiro.

O presidente, no entanto, nunca entendeu quanto custava quando matou seu sistema, mas se aposentou antes de tentarmos nossa tentativa final de uma solução: íamos pegar dois computadores para ele, um bloqueado com todas as nossas coisas padrão instalado, e um segundo que ele poderia instalar qualquer coisa que lhe agradava. Ele gostava de pequenos notebooks muito antes de o termo "netbook" ser cunhado, então imaginei que ele pudesse carregar dois deles por aí, mas apenas uma fonte de alimentação.

Explique que ter privilégios administrativos torna seu computador mais vulnerável a hackers, que podem roubar segredos da empresa, destruir dados ou abusar de serviços ou vírus, que podem destruir dados ou fazer com que ele faça parte de uma botnet, o que pode abri-los a acusações criminais por computador se eles participam de um ataque de negação de serviço ou algo semelhante.

Além disso, explique que, se danificarem acidentalmente algo, poderão ficar sem o computador por algumas horas (ou dias) enquanto você tenta corrigi-lo. Se eles não tiverem privilégios administrativos, terão menos capacidade de quebrar as coisas.

Você precisa das políticas de TI em primeiro lugar - as soluções técnicas sempre se baseiam nelas, e não o contrário, por mais óbvias que sejam algumas configurações técnicas, como contas de usuário não administrador.

Eu perguntava o que ele acha que não pode fazer com os privilégios que possui. Fora isso, dê a ele os direitos de administrador - ele está assinando a verificação de horas extras quando a quebra.

O que fizemos foi explicar o que já foi mencionado ... se tivermos que limpar um sistema, significa que eles ficarão sem o sistema por esse período de tempo. Também temos uma política rígida de que fazemos uma avaliação rápida. Se a limpeza demorar mais de uma hora ou se não pudermos avaliar rapidamente a extensão da infecção, apenas reinventamos o sistema. O problema disso, no que diz respeito ao executivo, agora é que todos os seus brinquedos se foram. Mas como não sabíamos o que havia no sistema ou onde obter todos os pacotes de instalação ... você entendeu. Você pode não ter essa influência, mas vale a pena tentar.

Por fim, o grande chefe precisa tomar uma decisão comercial sobre o que é aceitável para ele / ela. Podemos discordar tecnicamente de tudo o que queremos, mas não é da nossa conta. Se não podemos viver com essa decisão, sempre temos a opção de procurar emprego em outro lugar.

A propósito, se você estiver procurando por um recurso para ajudar nesse argumento, consulte o seguinte site: Threatcode.com . Não sei até o momento que é mantido, mas já foi divulgado no passado.

Se você seguir em frente e dizer "você não pode fazer isso" com o cara que está assinando o pagamento, cheque, então você perderá!

Como sempre, você precisa torcer e virar para contornar isso. A resposta só pode ser encontrada se você entender por que ele quer ser administrador.

Se for técnico, você poderá convencê-lo, mas se for sobre "poder" e ser seu chefe, você não terá sorte. É muito difícil convencer um chefe de que ele precisa de menos privilégios do que as pessoas sobre as quais ele está mandando, o que provavelmente significa do ponto de vista dele que eles podem fazer mais do que ele e isso vira a hierarquia normal de cabeça para baixo ( e a maioria dos chefes não gosta disso).

Portanto, escolha suas palavras com cuidado e não esqueça o lado humano deste problema.

\ nomedocomputador \ c $ no PC, leia todos os documentos, copie-os, cole-os em um local diferente e apresente-lhe um exemplo do que um hacker fará no sistema e todas as informações pessoais caso ele seja infectado porque ele queria navegar em sites estranhos ou baixar jogos grátis de algum lugar.

Provavelmente, você será demitido. Eu já estive na situação anterior e é uma situação sem vitória. Eu estou em outro agora. Eu trabalho para uma empresa que não se preocupa em dar direitos de administrador local aos usuários. Temos problemas de vírus / spyware / malware o tempo todo. Além disso, nosso cara de desktop é um noob, mas muito arrogante, como se tivesse inventado a internet.

Enfim, eu sou um administrador de rede. Eu apenas bloqueio os sites realmente ruins e tento impedir coisas do meu lado, mas os usuários idiotas sempre parecem encontrar uma maneira. Ainda bem que não tenho que cobrir muito o cara da área de trabalho.