¿Cómo convencer a un gran jefe de que no necesita privilegios de administrador?

Muchas veces he encontrado que "el gran jefe" en una empresa quiere poder instalar "cualquier cosa" y hacer cualquier cosa en su computadora.

Por supuesto, podemos decirle que es malo porque los administradores del sistema de TI pierden el control sobre la computadora, y así sucesivamente.

¿Algún argumento irrefutable para convencer a los grandes jefes de que es mejor no tener privilegios de administrador en su computadora de escritorio?

La única vez que tuve un poco de éxito en esto fue un jefe que estaba dispuesto a usar ejecutar como con credenciales alternativas si quería instalar algo. Le expliqué que incluso los administradores de sistemas se conectaban a sistemas con cuentas normales la mayor parte del tiempo y luego le creé su propia cuenta de administrador que solo debía usar cuando quería hacer algo especial. En realidad fue muy efectivo y evitó que su máquina se arruinara totalmente en los dos años que estuve en la compañía. Este fue un CEO relativamente inteligente que fue capaz de entender toda la carrera como tal, y estoy seguro de que tenía cosas allí que no habría aprobado, pero al menos le impidió arruinar pasivamente las cosas.

Dígales que pueden tener el mismo acceso que obtienen los administradores de dominio, y luego deles exactamente eso:

• Una cuenta de usuario estándar que está conectada a su correo electrónico, documentos y aplicaciones comerciales que pueden usar para el trabajo diario.
• Una cuenta separada en la máquina que tiene privilegios de administrador para esa máquina (análoga a la cuenta de administrador del dominio de un administrador), pero que NO está conectada a su cuenta de correo electrónico ni a ninguna aplicación comercial que requiera autenticación basada en el usuario conectado actualmente, y no tiene ninguna impresora configurada. Esta cuenta debe romperse por diseño, de modo que no sea buena para el uso diario.

La idea es que la cuenta privilegiada se rompa lo suficiente como para que sea menos doloroso permanecer conectado como usuario estándar la mayor parte del tiempo; el jefe solo querrá usar la cuenta privilegiada cuando realmente la necesite. Los grandes jefes casi siempre dependen en gran medida del acceso al correo electrónico y a los sistemas de informes, por lo que si puede hacer que acceder a ellos desde la cuenta privilegiada sea un poco menos conveniente, estará en buena forma. La mitad del tiempo tu jefe olvidará las credenciales de todos modos.

Si esto todavía no los satisface, continúe y entregue una cuenta de administrador / raíz de dominio completo, pero aún así hágalo como una cuenta separada de su cuenta de trabajo normal; después de todo, ellos son el jefe. Asegúrese de que la cuenta esté fuertemente auditada. En este punto, lo que a menudo buscan realmente es una póliza de seguro o cobertura contra un administrador deshonesto; necesitan sentir que el dinero se detiene con ellos si se trata de eso, y siempre que tengan una cuenta de usuario estándar para su trabajo diario, no hay nada de malo en esto.

Ninguno, excepto para hacerles saber que tomará al menos 3 a 4 horas limpiar su computadora cuando la haya limpiado.

Solo una advertencia justa ...

Solo trabajo por contrato, así que hago lo que mis clientes me dicen o, si realmente no me gusta, ejerzo la "cláusula de rescate" en mi contrato.

Con eso en mente, la mayoría de las personas han tenido algún tipo de experiencia de "malware" hoy. Analizo con el Cliente cómo el software malicioso que ejecutan a través de errores del navegador, etc., tiene los mismos derechos y privilegios que la cuenta de usuario con la que inicia sesión (incluido el acceso a su correo electrónico y sus pulsaciones de teclas, sin mencionar los recursos en servidores).

Normalmente recibo una pregunta como "¿Por qué el software antivirus no se ocupa de eso?" Luego tenemos la charla de "carrera armamentista": la de cómo la gente de malware está descargando las mismas actualizaciones para el software antimalware que usted e ingeniando alrededor de las nuevas "firmas", etc.

Lo termino explicando que uso cuentas de usuario limitadas en todas mis computadoras (y lo he hecho durante años).

Esto es todo lo que me ha llevado convencer a los usuarios para que se ejecuten con cuentas de usuario limitadas. En algunas ocasiones he tenido que permitir que el usuario tenga una experiencia de malware primero (lo que sucede invariablemente), pero dado que mis servicios generalmente vienen con una indicación muy clara del gasto relacionado, generalmente solo ocurre una vez.

En general, creo usuarios de nivel "Administrador" como cuentas locales o cuentas de dominio (junto con la política de grupos restringidos para otorgarle a la cuenta de usuario "derechos"), dependiendo de a cuántas computadoras el usuario necesita acceso. Me aseguro de no nombrarlo en ninguno de los grupos utilizados por la cuenta de usuario diaria y de no darle acceso a su buzón de Exchange. Quiero que la cuenta de nivel "Administrador" sea lo más inútil posible para cualquier cosa, excepto instalar software / controladores en su PC.

Esta estrategia me ha ahorrado muchos dolores de cabeza y ha ahorrado a mis clientes una cantidad sustancial de dinero. Se necesitan "habilidades de la gente" para tener las conversaciones que necesita tener, y ser un contratista ciertamente ayuda, pero definitivamente es un problema superable.

En lugar de tratar de convencerlo de que está equivocado, tal vez debería intentar encontrar alguna forma de compromiso. Quizás le permita ejecutar una copia de VMware con un vm invitado en el que pueda volverse loco. Intenta darle la capacidad de lograr lo que cree que necesita hacer de una manera que aún lo dejará con un sistema administrado estable.

Realmente, es probable que necesite exponer el caso comercial de que puede tener una computadora confiable y que se puede restaurar cuando falla o pierde su computadora porque sabe exactamente qué hay en el sistema y cómo solucionarlo y dónde está todo los medios lo son. O puede tener una computadora de la que es responsable, y cuando la computadora se rompe, no puede garantizar que podrá hacer otra cosa que no sea formatear + reinstalar.

Intente y comunique los riesgos y lo que hace, y trate de llegar a un compromiso. Considere configurar una VM, o una configuración de arranque dual o algo que le permita la flexibilidad que necesita / desea, pero aún así le permite tener un sistema estable.

Desafortunadamente, no hay mucho que pueda hacerle al tipo que firma su cheque de pago. :-)

El mejor consejo (práctico) que podría darte sería asegurarte de que tienes una buena rutina de respaldo para su sistema y dejarlo enloquecer. Jajaja

Realmente se reduce a esto:

1. ALGUIEN tiene que estar en el asiento del conductor. Es su compañía tan claramente que él es el jefe. Lo mejor que puede hacer es AVISARLE sobre el mejor curso de acción (con cualquier cosa) y luego dejar que tome una "decisión informada". Si él no sigue su consejo ... y hay un error ... es SU culpa por no escuchar.

2. Si él sigue su consejo y hay un error ... todavía es SU culpa porque ÉL tomó la decisión. Recuerde, ÉL está en el asiento del conductor.

Ahora ... esto te dará algunas miradas extrañas de vez en cuando ... incluso una sonrisa o una risa.

Pero asegúrese de explicar que LA DIFERENCIA es ... que limpia SU desastre (gratis) y hace todo lo posible para resolver la situación. El otro le paga por limpiar y usted se reserva el derecho de "predicarle" durante 5-10 minutos y él acepta escuchar.

Intenta mantenerlo en el lado DIVERTIDO.

Nunca he tenido problemas para explicar esta lógica al dueño de un negocio. La mayoría de ellos ya lo sabe. Es divertido explicarlo en términos contundentes (pero suaves). ;-)

Dígale que realmente debería dar el ejemplo que debería seguir el resto de la compañía.

Si comienza a "personalizar" su computadora portátil (el peor de los casos) con "descargas de Internet", entonces su Director de Ventas lo hará, el Director de Finanzas lo hará, el Asistente del Director de Ventas, la voluntad del vendedor, los técnicos, los servicios al cliente, etc. .

Luego, explique que a) se incrementa el riesgo para la INFRAESTRUCTURA EMPRESARIAL (es conveniente encontrar toda la información de sus clientes y pedidos en Internet), b) establece una cultura de seguridad y profesionalismo en la organización, yc) cuesta mucho más en soporte y confiabilidad reducida.

Si quiere una máquina de juego, déjelo hacerlo en su propia PC, pero una PC / computadora portátil / equipo de negocios es para fines comerciales.

Es una cosa adulta ...

No entiendo la unilateralidad de las respuestas aquí. El gran queso obtiene lo que quiere el gran queso.

¿Un ejecutivo no técnico se meterá en problemas por su propia cuenta?

Tal vez, pero mira eso como una oportunidad para obtener una habilidad de primera mano para mostrar tus habilidades y tener un poco de tiempo con el chico que firma los cheques. Dar una exposición administrativa joven y talentosa al CEO es una excelente manera de darle tiempo al niño y facilita el proceso de promoción ... "Recuerda al tipo que salvó el día el mes pasado ..."

O puede adoptar el enfoque gruñón y poco convencional, molestar al CEO y provocarle ardor de estómago a su jefe.

Eludí totalmente el problema y compré al CEO una estación de trabajo Mac muy cara (en ese momento) muy cara con una gran pantalla de estudio. Le encantaba la exclusividad, me encantaba el hecho de que había un poco menos de problemas en los que podía meterse. Mantuve la capacidad de avanzar y correr solo para vigilar las cosas. Afortunadamente, él no era un chico portátil.

Dígale que muy pocos jefes de hospitales realizan cirugía cerebral o cualquier procedimiento quirúrgico para el caso.

En lugar de tratar de evitar que el jefe instale cosas en su máquina, creo que es mejor encontrar una manera de evitar que su computadora cause la destrucción desenfrenada del resto de sus sistemas de TI cuando inevitablemente obtiene algún virus después de deshabilitar el escáner de virus.

Si surge esta pregunta, supongo que la organización no cuenta con políticas explícitas para hacer frente a este tipo de solicitud. Si estos estuvieran en su lugar, sería imposible, o estaría en el registro presentando las solicitudes especiales para obtener los privilegios. O le estaría pidiendo que viole la política. Ejem.

No hay mucho que puedas hacer. No hay argumento mágico si alguien no lo entiende o si su jefe u organización no reconoce los posibles riesgos. Puede tomar la postura y decir que no, pero eso puede o no funcionar y puede provocar sentimientos negativos.

En pocas palabras: si un jefe no está preocupado por la apariencia del tratamiento preferido o el riesgo asociado con los usuarios que se ejecutan como administradores Y usted (o su departamento) no tiene la autoridad reconocida para rechazar la solicitud, también podría dársela a él.

Lo mejor que puede hacer es tratar de formular una declaración cortés "esto va en contra de las mejores prácticas técnicas", respaldar sus cosas, dejarlo ir y dejarlo ir a la ciudad.

Descubrí que la mayoría de los gerentes tienen uno de los dos estilos de uso de la computadora: o son extremadamente prácticos porque tienen cosas más importantes que hacer que jugar con una computadora, o les gusta meterse allí y perder el tiempo.

Los gerentes no son un problema: configura su computadora, les dice lo que pueden y no pueden hacer, y se asegura de que siempre esté allí si necesitan instalar algo (y tienen tantas opciones como sea posible, por ejemplo una cuenta local con acceso de administrador, acceso remoto probado a través de VPN, etc.).

En mi caso, casi todos los gerentes y tipos de nivel VP que les gustaba instalar o configurar cosas en sus computadoras habían matado sus computadoras en algún momento, por lo que no tuvimos demasiados problemas para bloquearlas. Un par de ellos tuvimos que contarles sobre la cuenta de administrador local para hacerlos felices, pero entendieron los riesgos de hacer algo sin involucrarnos o al menos preguntarnos primero.

Sin embargo, el presidente nunca entendió cuánto costaba cuando mató su sistema, pero se retiró antes de que pudiéramos intentar nuestro último intento de solución: íbamos a conseguirle dos computadoras, una bloqueada con todas nuestras cosas estándar instalado, y un segundo en el que podría instalar cualquier cosa que le apeteciera. Le gustaban los cuadernos pequeños mucho antes de que se acuñara el término "netbook", así que pensé que podría llevar dos de ellos, pero solo una fuente de alimentación.

Explique que tener privilegios administrativos hace que su computadora sea más vulnerable a los piratas informáticos, que podrían robar secretos de la compañía, destruir datos o abusar de servicios o virus, lo que podría destruir datos o hacer que forme parte de una red de bots, lo que podría abrirlos a cargos criminales informáticos si participan en un ataque DoS o similar.

Además, explique que si dañan algo accidentalmente, podrían estar sin su computadora durante unas horas (o días) mientras intenta repararlo. Si no tienen privilegios administrativos, tendrán menos capacidad para romper cosas.

Primero necesita las políticas de TI: las soluciones técnicas siempre se basan en ellas, no al revés, sin importar cuán obvias nos parezcan algunas configuraciones técnicas, como las cuentas de usuarios que no son administradores.

Le preguntaría qué es lo que cree que no puede hacer con los privilegios que tiene. Aparte de eso, dale los derechos de administrador: está firmando el cheque de tiempo extra cuando lo rompe.

Lo que hemos hecho es explicar lo que ya se ha mencionado ... si tenemos que limpiar un sistema, significa que están sin su sistema durante ese período de tiempo. También tenemos una política estricta de hacer una evaluación rápida. Si la limpieza demorará más de una hora, o si no podemos evaluar rápidamente el alcance de la infección, simplemente reimpresionamos el sistema. El problema con esto, en lo que respecta al ejecutivo, es que ahora todos sus juguetes se han ido. Pero dado que no sabíamos qué había en el sistema o dónde obtener todos los paquetes de instalación ... ya tiene la idea. Es posible que no tenga ese apalancamiento, pero vale la pena intentarlo.

Finalmente, el gran jefe tiene que tomar una decisión comercial sobre lo que es aceptable para él / ella. Técnicamente, podemos estar en desacuerdo con todo lo que queramos, pero no es asunto nuestro. Si no podemos vivir con dicha decisión, siempre tenemos la opción de buscar empleo en otro lugar.

Por cierto, si está buscando un recurso para ayudar con este argumento, consulte el siguiente sitio: Threatcode.com . No sé si está actualizado, pero se ha promocionado en el pasado.

Si va de frente y dice "no puede hacer esto" con el tipo que está firmando, usted paga el cheque, ¡entonces perderá!

Como siempre, debes girar y girar para evitar esto. La respuesta solo se puede encontrar si entiendes por qué quiere ser administrador.

Si es técnico, puede convencerlo, pero si se trata de "poder" y de ser su jefe, no tendrá suerte. Es muy difícil convencer a un jefe de que necesita menos privilegios que las personas de las que está mandando, lo que probablemente significaría, desde su punto de vista, que se les permite hacer más que él y eso pone la jerarquía normal al revés ( y a la mayoría de los jefes no les gusta eso).

Así que elija sus palabras con cuidado y no olvide el lado humano de este problema.

\ computername \ c $ a su PC, lea todos sus documentos, cópielos, péguelos en una ubicación diferente y luego preséntele un ejemplo de lo que un hacker hará a su sistema y con toda su información personal si se infecta porque quería navegar a sitios extraños o descargar juegos gratis desde algún lugar.

Probablemente te despedirá. He estado en la situación antes y es una situación de no ganar. Estoy en otro ahora mismo. Trabajo para una empresa a la que no le importa dar derechos de administrador local a los usuarios. Tenemos problemas de virus / spyware / malware TODO EL TIEMPO. Además de todo, nuestro chico de escritorio es un novato, pero muy arrogante, como si hubiera inventado Internet.

De todos modos, soy un administrador de red. Solo bloqueo los sitios realmente malos e intento evitar cosas de mi parte, pero los usuarios tontos siempre parecen encontrar la manera. Me alegro de no tener que cubrir mucho al tipo de escritorio.