¿Es normal dar acceso de administrador de 'usuarios' a la PC de su empresa?

13

Tengo un usuario que quiere ser administrador de su PC de trabajo, ha inventado una historia sobre cómo no puede trabajar sin él, así que me dicen que "lo arregle" (como si fuera un error que haya iniciado sesión como ¡un usuario!).

Mis compañeros de trabajo de TI y yo no iniciamos sesión como administradores debido a que los virus / malware se mantuvieron firmes y se configuraron como servidores para distribuir un ataque (sí, esto sucedió en el pasado).

¿Cuál es la 'norma' para los usuarios de su red y cómo maneja las solicitudes de acceso de administrador?

Gracias

permissions

— Phillipe B
fuente

3

Si se opone a otorgarle derechos de administrador, es su responsabilidad asegurarse de que tenga todos los permisos y accesos granulares habilitados de antemano para que no encuentren obstáculos en forma de comida por piezas. Esto es muy difícil de anticipar en un sistema Windows, dada la complejidad del software actual. Por ejemplo, pueden ver un comportamiento extraño en una aplicación y, después de un día de solución de problemas, descubrir que la aplicación no pudo leer silenciosamente alguna configuración de registro a la que el usuario no tenía acceso.

— AaronLS

12

Actualmente tenemos tres niveles de soporte para los usuarios:

Apoyo total. Los usuarios solo tienen acceso básico y un conjunto estándar de aplicaciones
Soporte limitado Hacemos parches centrales del sistema operativo y suministramos aplicaciones. El usuario tiene acceso de root.
Sin soporte. Suministramos al usuario una conexión a internet. El usuario asume la responsabilidad de la computadora, incluido el software y los parches. Monitoreamos la red en busca de problemas y cortamos al usuario si hay un problema.

De esta forma, los usuarios pueden elegir lo que quieran y minimizamos el impacto, tanto para el personal de TI como para los usuarios. Hemos descubierto que se puede confiar en los usuarios para elegir un nivel de soporte adecuado. Tengo la sensación de que bloquear usuarios de forma predeterminada es muy costoso en términos de productividad.

— pehrs
fuente

1

+1 Me gusta esto, y podría intentarlo en mi trabajo.

— Nic

44

Si bien es un enfoque interesante y vale la pena considerarlo, con los sistemas operativos propensos a malware, es muy probable que esto permita la perpetuación de gusanos como malware en toda su red interna. Para eliminar este riesgo, las opciones 2 y 3 no pueden incluir el acceso interno sin restricciones a la red.

— Warner

2

Creo que este es un excelente enfoque. Las personas con PC en sus escritorios suelen ser "trabajadores del conocimiento" (KW), y es mejor dejar que los KW tomen sus propias decisiones tecnológicas personales. En los años 80, todavía se llamaba "Procesamiento de datos", y solo eran responsables de los grandes terminales de hierro y tontos. Fueron los KW que trajeron sus propias PC las que obligaron a los departamentos de procesamiento de datos de todo el mundo a centrarse en dar soporte a las PC y pasar a un modelo cliente-servidor, y finalmente cambiar su nombre a "TI". Deje que sus KW decidan por sí mismos la cantidad de mano que quieren de usted.

— Spiff

@Warner donde trabajo, la mayoría de las personas no usan sistemas operativos propensos a malware, y optan por el # 3, y se les da acceso interno sin restricciones a la red. Las personas que desean usar sistemas operativos propensos a malware se ven obligados a usar el # 2 o el # 1, y se ven obligados a usar solo direcciones IP estáticas registradas para sus cajas propensas a malware para que TI escanee sus puertos o el tráfico de su red en busca de actividad de malware más fácilmente, y localizar al usuario culpable más fácilmente.

— Spiff

Las condiciones son clave. No podría convencerme de que sería una buena idea brindar acceso ilimitado a la atención al cliente a sus estaciones de trabajo de Windows en la red interna, manteniendo un nivel de servicio razonable para el usuario final. Introduciría un grave riesgo de seguridad entre la incapacidad de mantener los estándares, las actualizaciones y los privilegios adicionales que permiten que el malware se ejecute sin restricciones. Me gusta la idea de 3, ya que enfoco mi carrera en tecnologías de Internet y soluciones de alto nivel, no en tecnologías de soporte de intranet.

— Warner

5

Mis dos centavos :

1 / Los derechos de administrador son MALOS. Y el malware no es la única razón por la cual. Otro problema, y a menudo más grande, es que muchos usuarios agregarán aplicaciones que no sabe cómo admitir, o que se suspenden con el tiempo. Resultado? Tres o cuatro años así, y terminas llorando porque, por alguna razón, un proceso crítico para el negocio se maneja utilizando una aplicación que nadie conoce, o que fue desarrollada por un amigo del tipo que se fue. la empresa, o lo que sea. Tengo un cliente, por ejemplo, que desarrolló una aplicación GRANDE -y de hecho MUY ÚTIL- usando Lotus 1-2-3. Una versión muy antigua. Eso no se ejecuta en ningún sistema operativo posterior a ... Windows 98. Y el tipo que hizo esto dejó la compañía. ¿Ves el problema?

2 / Si ALGUIEN NO debería tener derechos de administrador, son los desarrolladores . Porque si son administradores, no harán NINGÚN esfuerzo para escribir su software respetando las pautas de codificación. Y terminarán escribiendo aplicaciones que NECESITAN derechos de administrador para ejecutarse. Cual es malo.

Soy administrador del sistema y ejecuto SIN derechos de administrador (ni siquiera el administrador local de mi computadora). Cuando los necesito, los agarro, por el tiempo de mi tarea de administrador. Ese es mi propio salvavidas. Puedo cometer errores ... Y los errores con los derechos de administrador pueden ser terribles.

Cambiando la vida !!!!

— Saariko

4

Puede haber justificación comercial para que un usuario final tenga mayores privilegios. A menudo, será dictado por la cultura de su empresa.

La mejor política de TI es predeterminar los privilegios mínimos necesarios para realizar una función de trabajo. Si hay justificación y no hay soluciones técnicas para mantener privilegios menores, existe una justificación comercial para el acceso adicional.

Algunas compañías técnicas eligen dar a todos los usuarios acceso de administrador local. Otros, solo personal técnico.

En mi departamento: sin justificación, no tienen acceso. En lo que respecta al acceso de administrador local de la estación de trabajo: los usuarios técnicos generalmente lo obtienen. Si presentan un riesgo para la empresa, se puede volver a evaluar de forma individual. El empleado no técnico promedio no lo hace. Nunca hemos tenido un incidente de malware de importancia, pero en general tenemos un barco apretado.

También respondí una pregunta hoy, que está relacionada con su pregunta aquí. Cubre algunos de los principios fundamentales asociados con la política y el procedimiento de control de acceso.

— Warner
fuente

4

¡No no no no no!

Ninguna computadora con un usuario que tenga derechos de administrador debe entrar en su red. Ciertamente, ninguna computadora propiedad de la compañía debe tener derechos de administrador de usuario:

Los usuarios instalarán programas no deseados: P2P / Torrents, etc.
Los usuarios instalan software pirata / sin licencia, en una máquina propiedad de la compañía de la cual el departamento de TI es responsable.
Los usuarios en general "acumularán" sus computadoras, descargarán actualizaciones incompatibles, etc.
Su computadora es menos segura: el 90% de las vulnerabilidades de Windows 7 se mitigan al ejecutarse como un usuario limitado

No odio a los usuarios, pero un departamento de TI simplemente no puede hacer su trabajo de manera efectiva si constantemente tienen que solucionar problemas informáticos autoinfligidos.

¿Por qué los usuarios (desarrolladores, si los tiene, a excepción de ellos) deberían necesitar acceso de administrador?

Para instalar aplicaciones?

Pasamos una gran cantidad de tiempo y esfuerzo probando la compatibilidad de las aplicaciones y luego estandarizamos en una versión en particular. Mantenemos información de licencia y aceptamos apoyar lo que sea que instalemos.

¿Para ejecutar aplicaciones que requieren acceso de administrador?

Hola, ya no estamos ejecutando Windows 98. No puedo recordar una aplicación comercial estándar que requiera derechos de administrador. Si lo hiciéramos, no permitiríamos en primer lugar.

Actualizaciones?

Para eso es WSUS / ASUS. La mayoría de los usuarios no necesitan los últimos controladores de tarjetas gráficas, ¡no son jugadores!

¿Qué pasa si [insertar razón aquí] tuviera que ejecutarse como administrador?

Luego están totalmente segregados del resto de la red, posiblemente si hubiera suficientes, en su propio dominio. Lo más importante es que gestionamos sus expectativas: lo rompe, lo arregla, los tiempos normales de resolución de SLA no se aplican.

Hay muchos casos extremos, pero nuestro objetivo es administrar nuestro departamento para que ningún usuario deba necesitar acceso de administrador o incluso solicitarlo. Si sus usuarios tienen derechos de administrador, entonces usted no controla su 'red', una situación en la que nunca quisiera estar.

— Jon Rhoades
fuente

2

Buen punto de que el tipo de usuario (y, por lo tanto, el tipo de organización) es un factor decisivo. Mi experiencia es en la administración de tiendas de desarrollo de software, pero claramente los requisitos en otros lugares pueden y difieren.

— Charles Duffy el

@Charles Duffy: estoy de acuerdo en que los desarrolladores cambien todo, solo tenemos uno y él también es miembro del equipo de TI, por lo tanto, no hay problemas allí.

— Jon Rhoades

2

Por lo general, donde he trabajado, los desarrolladores de software han tenido acceso de administrador y, en general, nadie más.

En un lugar que contraté, tuvieron una buena idea. Para obtener acceso de administrador, tuve que leer y firmar un formulario en el que aceptaba que, si alguna vez tenía que llamar a TI por problemas con la computadora, o si alguien más notaba problemas en mi computadora, TI intentaría arreglarlo durante quince minutos y luego Limpie y vuelva a crear una imagen.

— David Thornley
fuente

1

Como puede ver en las respuestas anteriores, no existe una norma para esto. Sin embargo, existe la regla de oro de los menores privilegios. Eso simplemente significa que su usuario debe tener los derechos mínimos de acceso requeridos para hacer su trabajo. Es lamentable que, especialmente en el mundo de Windows, eso signifique que algunos usuarios (por ejemplo, programadores) requieren derechos de administrador completos.

Le sugiero que solicite al usuario en cuestión que documente qué es lo que no puede hacer como usuario y vea si el problema se puede resolver con algo menos que derechos de administrador completos. Si no pueden o no quieren documentar los problemas, es posible que pueda presentar un caso a la gerencia que indique que el reclamo es infundado y, por lo tanto, no requiere ningún cambio. Por supuesto, qué tan bien esto baja a menudo depende de quién apesta a quién en su organización en particular.

— John Gardeniers
fuente

0

Si alguien realmente necesita derechos de administrador en su máquina local, estaría tentado a configurar algo como Virtual Box / Vmware Player como su caja de arena. Permítales hacer lo que quieran dentro de su sandbox, y en el sistema operativo host se bloquearán como cualquier otra máquina.

Los detalles dependerían mucho de las expectativas para el sistema en particular.

¿Está el usuario (y sus gerentes) dispuestos a hacer que ese usuario sea responsable de las copias de seguridad?
¿Podrá el usuario aceptar que si algo no se puede arreglar rápidamente porque él / ella lo falsificó, usted introducirá un disco y lo formateará inmediatamente?
¿Está el usuario y el administrador listos para asumir la responsabilidad de cualquier problema legal resultante de software sin licencia, violaciones de seguridad, daños a otros sistemas en la red?

— Zoredache
fuente

Suponiendo que la VM no estaba conectada a la red, sería más fácil simplemente desconectar su cable de red. De lo contrario, todos los riesgos siguen ahí.

— Joe Internet