나는 회사의 "대기업"이 "무엇이든"을 설치하고 자신의 컴퓨터에서 무엇이든 할 수 있기를 원한다는 것을 여러 번 발견했습니다.
물론 IT 시스템 관리자가 컴퓨터에 대한 제어 권한을 상실하기 때문에 나쁘다고 말할 수 있습니다.
큰 상사에게 데스크톱 컴퓨터에 대한 관리자 권한이없는 것이 더 낫다는 것을 반박 할 수없는 주장이 있습니까?
답변:
내가 조금이라도 성공했을 때 유일하게 뭔가를 설치하려는 경우 대체 자격 증명으로 실행을 사용하려는 보스였습니다. sysadmins조차도 대부분의 경우 일반 계정으로 시스템에 로그온 한 다음 특별한 작업을 원할 때만 사용할 수있는 고유 한 관리자 계정을 생성했다고 설명했습니다. 그것은 실제로 매우 효과적이었고 내가 회사에 있었던 2 년 동안 그의 기계가 완전히 망쳐지지 않도록했습니다. 이것은 전체적으로 일을 이해할 수있는 비교적 정통한 CEO 였고, 내가 승인하지 않았을 것입니다. 적어도 수동적으로 물건을 망치는 것을 막았습니다.
도메인 관리자가 액세스 할 수있는 것과 동일한 액세스 권한을 가질 수 있다고 말한 다음 정확하게 제공하십시오.
아이디어는 특권 계정이 대부분의 시간 동안 표준 사용자로 로그인 상태를 유지하는 데 덜 고통 스럽도록 충분히 깨져 있어야한다는 것입니다. 상사는 필요한 경우에만 권한있는 계정을 사용하려고합니다. 대기업은 거의 항상 전자 메일 및 보고서 시스템에 대한 액세스에 크게 의존하므로 권한있는 계정에서 이들에 대한 액세스를 조금 덜 편리하게 만들 수 있다면 좋은 상태입니다. 어쨌든 상사는 절반 만 자격 증명을 잊어 버릴 것입니다.
그래도 만족하지 못하면 전체 도메인 관리자 / 루트 계정을 건네주십시오. 그러나 여전히 일반 작업 계정과는 별도의 계정으로 사용하십시오. 계정이 많이 감사되었는지 확인하십시오. 이 시점에서, 그들이 실제로 어쨌든 찾고있는 것은 단지 보험 정책이나 사기꾼에 대한 헤지입니다. 그들은 벅이 멈춘 것처럼 느껴질 필요가 있으며, 일상 업무에 대한 표준 사용자 계정이있는 한 아무런 문제가 없습니다.
administrator privileges 해당 컴퓨터 용 (유사한 to an admin's domain admin account) ")-도메인 관리자에게 필요없는 사람에게 도메인 관리자를 제공하는 것을 옹호하지 않습니다.
아무도 모르게 컴퓨터를 청소할 때 컴퓨터를 정리하는 데 3-4 시간이 걸린다는 사실을 알리는 것 외에는 아무도 없습니다.
공정한 경고 ..
나는 계약 업무 만하기 때문에 고객이 나에게 말한대로하거나 정말 마음에 들지 않으면 계약서에 "구제 조항"을 행사합니다.
이를 염두에두고 오늘날 대부분의 사람들은 일종의 "맬웨어"경험을했습니다. 고객과 브라우저 버그 등을 통해 실행되는 악성 소프트웨어가 로그온 한 사용자 계정과 동일한 권한 (권한이없는 이메일 및 키 입력을 포함하여)에 모든 권한을 갖는 방법에 대해 고객과 논의합니다. 서버).
일반적으로 "바이러스 백신 소프트웨어가 처리하지 않는 이유는 무엇입니까?"와 같은 질문을받습니다. 그런 다음 "경쟁 경쟁"대화를 통해 맬웨어 사용자가 현재 사용중인 맬웨어 방지 소프트웨어의 동일한 업데이트를 다운로드하고 새로운 "서명"등을 엔지니어링하는 방법에 대해 이야기합니다.
필자는 모든 컴퓨터에서 제한된 사용자 계정을 사용한다고 설명하고 수년간 그렇게 해왔다고 설명합니다.
이것은 사용자가 제한된 사용자 계정으로 실행하도록 설득하는 데 필요한 전부입니다. 경우에 따라 사용자에게 맬웨어 경험을 먼저 제공해야했지만 (항상 발생 함) 서비스에는 일반적으로 관련 비용이 매우 명확하게 표시되어 있기 때문에 일반적으로 한 번만 발생합니다.
필자는 일반적으로 "관리자"수준의 사용자를 사용자가 액세스해야하는 컴퓨터 수에 따라 로컬 계정 또는 도메인 계정 (제한된 그룹 정책과 함께 사용자 계정에 "권한"을 부여 함)으로 만듭니다. 내가 확인 하지 매일 사용하는 사용자 계정에서 사용하는 그룹의에 이름을, 그리고 하지 그것을 자신의 Exchange 사서함에 대한 액세스 권한을 부여. PC에 소프트웨어 / 드라이버를 설치하는 것 외에는 "관리자"수준의 계정을 최대한 쓸모 없게 만들고 싶습니다.
이 전략으로 인해 많은 두통이 발생했고 고객은 상당한 금액을 절약 할 수있었습니다. 대화를 나누려면 "사람의 기술"이 필요하고 계약자가되는 것이 문제를 확실히 도와 주지만 확실히 극복 할 수없는 문제입니다.
그가 틀렸다는 것을 확신 시키려고 노력하는 대신, 타협 할 방법을 찾아야 할 것입니다. 어쩌면 그는 게스트 VM과 함께 VMware의 사본을 실행할 수 있습니다. 안정된 관리 시스템을 유지하는 방식으로해야 할 일을 수행 할 수있는 능력을 부여하십시오.
실제로, 당신은 아마 당신이 신뢰할 수 있고 고장이 났을 때 복원 될 수있는 컴퓨터를 가질 수 있거나 시스템에 무엇이 있는지, 어떻게 고쳐야하는지, 어디에서 고쳐야하는지 알기 때문에 컴퓨터를 잃어 버릴 수 있다는 비즈니스 사례를 만들어야 할 것입니다. 미디어는 또는 자신이 담당하는 컴퓨터를 보유하고있을 수 있으며 컴퓨터가 고장난 경우 포맷 + 재설치 이외의 다른 작업을 수행 할 수 있다고 보장 할 수 없습니다.
위험과 행동을 알리고 타협을 시도하십시오. VM 또는 이중 부팅 설정 또는 필요한 유연성을 제공하면서도 안정적인 시스템을 유지할 수있는 설정을 고려하십시오.
불행히도, 월급에 서명하는 사람에게는 할 수있는 일이 많지 않습니다. :-)
내가 당신에게 줄 수있는 가장 좋은 (실제적인) 조언은 당신이 그의 시스템을위한 좋은 백업 루틴을 가지고 있는지 확인하고 그를 열광적으로 돌리게하는 것입니다. 롤
실제로 이것으로 요약됩니다.
누군가 운전석에 있어야합니다. 그의 회사는 분명히 그가 보스입니다. 당신이 할 수있는 최선의 방법은 최선의 행동 과정 (무엇이든)에 대해 조언 한 다음 "정보에 입각 한 결정"을 내리는 것입니다. 그가 당신의 조언을 따르지 않으면 ... 그리고 엉뚱한 소리가 있습니다 ... 듣지 못하는 그의 HIS 결함.
만약 그가 당신의 조언을 따르고 실패한 경우 ... 그는 결정을 내렸기 때문에 여전히 그의 결점입니다. 그는 운전석에 있다는 것을 기억하십시오.
자 ... 이것은 때때로 당신에게 때때로 이상한 모습을 보여줄 것입니다.
그러나 차이점은 당신이 엉망을 (무료로) 정리하고 상황을 해결하기 위해 최선을 다한다고 설명하십시오. 다른 사람은 당신에게 청소 비용을 지불하고 5-10 분 동안 그에게 "설교"할 권리를 갖습니다.
FUNNY쪽에 보관하십시오.
이 논리를 비즈니스 소유자에게 설명하는 데 문제가 없었습니다. 그들 대부분은 이미 그것을 알고 있습니다. 무딘 (아직 부드러운) 용어로 설명하는 것이 재미 있습니다. ;-)
그가 회사의 나머지 부분이 따라야 할 모범을 보여 주어야한다고 말하십시오.
그가 "인터넷 다운로드"로 자신의 (최악의 경우) 랩탑을 "사용자 정의"하기 시작하면 영업 이사, 재무 이사, 보조 영업 이사, 영업 사원, 기술자, 고객 서비스 등 .
그런 다음, a) 비즈니스 인프라에 대한 위험이 증가하고 (인터넷에서 모든 고객과 주문 정보를 찾은 팬시) b) 조직의 보안 및 전문성 문화가 느슨해지며 c) 지원 비용이 훨씬 많이 든다고 설명합니다. 신뢰성 감소.
그가 놀이 기계를 원한다면, 자신의 PC에서 그 기계를 사용하게하지만 비즈니스 PC / 노트북 / 장비는 사업용입니다.
어른이 된 것 ...
나는 여기서 대답의 일 방성을 이해하지 못한다. 큰 치즈는 큰 치즈가 원하는 것을 얻습니다.
비 기술적 인 임원이 스스로 만드는 데 어려움을 겪을까요?
어쩌면-그러나 그것을 능력을 과시하고 수표에 서명하는 사람과 얼굴을 맞출 수있는 기회를 직접보십시오. CEO에게 재능있는 젊은 관리자에게 정보를 제공하는 것은 아이에게 얼굴을 맞대고 승진 과정을 더 쉽게 만들어주는 좋은 방법입니다 ... "지난 달에 저축 한 사람을 기억하십시오 ..."
또는 심도 있고 책별로 접근하여 CEO를 화나게하고 상사에게 상처를 줄 수도 있습니다.
이 질문이 나오면 조직에 이런 종류의 요청을 처리 할 명확한 정책이없는 것 같습니다. 이것들이 제자리에 있었다면, 그것은 이동하지 않을 것입니다, 또는 그는 개인을 얻기 위해 특별한 요청을 제기하는 기록을 계속하고있을 것입니다. 아니면 그는 당신이 정책을 위반하라고 요구했을 것입니다. 아헴.
할 수있는 일이 많지 않습니다. 누군가 그것을 얻지 못하거나 상사 나 조직이 가능한 위험을 인식하지 못하면 마법의 주장은 없습니다. 당신은 자세를 취하고 거절 할 수 있지만 그것은 효과가 있거나 없을 수 있으며 나쁜 감정을 유발할 수 있습니다.
결론 : 상사가 관리자로 실행중인 사용자와 관련된 우선적 인 치료 또는 위험에 관심이없고 귀하 (또는 귀하의 부서)가 요청을 거부 할 수있는 승인 된 권한이없는 경우, 그를.
당신이 할 수있는 최선의 방법은 정중 한 "이것은 최고의 기술 관행에 위배됩니다"라는 문구를 작성하고, 그의 내용을 뒷받침하고, 마을로 가게하는 것입니다.
나는 대부분의 관리자가 두 가지 컴퓨터 사용 스타일 중 하나를 가지고 있음을 발견했다. 그들은 컴퓨터를 가지고 노는 것보다 더 중요한 일을하기 때문에 매우 핸즈 오프이거나, 거기에 들어가서 엉망인 것을 좋아한다.
핸즈 오프 관리자는 문제가 없습니다. 컴퓨터를 설정하고, 할 수있는 것과 할 수없는 것을 말하고, 무언가를 설치해야 할 경우 (그리고 가능한 한 많은 옵션이있는 경우) 항상 있는지 확인하십시오. 관리자 액세스 권한이있는 로컬 계정, VPN을 통한 테스트 된 원격 액세스 등).
제 경우에는 컴퓨터에 물건을 설치하거나 구성하는 것을 좋아하는 거의 모든 관리자 및 VP 수준 직원이 어느 시점에서 컴퓨터를 죽였으므로 컴퓨터를 잠그는 데 아무런 문제가 없었습니다. 그들 중 몇 명은 로컬 관리자 계정에 대해 행복하게하기 위해 말해야했지만 우리를 포함하거나 최소한 먼저 묻지 않고 무언가를 할 위험을 이해했습니다.
그러나 대통령은 자신의 시스템을 죽였을 때 비용이 얼마나 들었는지는 결코 알지 못했지만 솔루션을 최종적으로 시도하기 전에 은퇴했습니다. 우리는 그에게 두 대의 컴퓨터를 가져갔습니다. 그가 설치 한 것 중 하나는 자신의 공상을 강타한 무엇이든 설치할 수 있습니다. "넷북"이라는 용어가 만들어지기 오래 전부터 작은 노트북을 좋아했기 때문에 두 개를 운반 할 수 있지만 단 하나의 전원 공급 장치 만 가지고 다닐 수 있다고 생각했습니다.
관리 권한이 있으면 회사의 비밀을 훔치거나 데이터 또는 악용 서비스를 파괴하거나 데이터를 파괴하거나 봇넷의 일부가 될 수있는 바이러스로 인해 컴퓨터 범죄가 발생할 수 있습니다. 그들이 DoS 공격 등에 참여하는 경우.
또한 실수로 무언가가 손상된 경우 컴퓨터를 고치려고 할 때 몇 시간 (또는 며칠) 동안 컴퓨터가 없을 수 있다고 설명합니다. 관리 권한이 없으면 작업을 중단 할 수있는 능력이 떨어집니다.
우리가 한 것은 이미 언급 한 내용을 설명하는 것입니다 ... 시스템을 정리해야한다면, 시스템이 해당 기간 동안없는 상태라는 의미입니다. 또한 신속한 평가를위한 엄격한 정책이 있습니다. 치료 시간이 1 시간 이상 걸리거나 감염 정도를 신속하게 평가할 수없는 경우 시스템 이미지를 다시 작성하기 만하면됩니다. 이 문제는 경영진에 관한 한 이제 모든 장난감이 사라졌습니다. 그러나 우리는 시스템에 무엇이 있는지 또는 모든 설치 패키지를 어디서 구할 수 있는지 알지 못했기 때문에 아이디어를 얻었습니다. 그러한 레버리지가 없을 수도 있지만 시도해 볼 가치가 있습니다.
궁극적으로, 대장은 상사에게 수용 가능한 것에 대해 사업상의 결정을 내려야합니다. 기술적으로 우리가 원하는 모든 것에 동의하지 않을 수도 있지만 그것은 우리의 사업이 아닙니다. 우리가 그러한 결정에 따라 살 수 없다면, 우리는 항상 다른 곳에서 일자리를 찾을 수있는 선택권이 있습니다.
그건 그렇고,이 논쟁에 도움이되는 리소스를 찾고 있다면 Threatcode.com 사이트를 확인하십시오 . 나는 그것이 최신 상태인지 잘 모르겠지만 과거에는 선전되었습니다.
계속해서 서명을하는 사람과 "이 작업을 수행 할 수 없습니다"라고 말하면 요금을 지불하게됩니다.
항상 그렇듯이이 문제를 해결하기 위해 비틀고 돌려야합니다. 그가 관리자가 되고자하는 이유를 이해 한 경우에만 답을 찾을 수 있습니다.
그것이 기술이라면 당신은 그를 설득 할 수 있을지 모르지만 그것이 "힘"에 관한 것이고 당신의 상사가되는 것은 운이 나쁘다. 상사에게 자신이 보살 피는 사람들보다 적은 특권이 필요하다는 것을 설득하는 것은 매우 어렵습니다. 아마도 자신보다 더 많은 일을 할 수 있고 정상적인 계층 구조를 뒤집어 놓았다는 관점에서 볼 수 있습니다. 그리고 대부분의 보스는 그것을 좋아하지 않습니다).
따라서 신중하게 말을 선택 하고이 문제의 인간적 측면을 잊지 마십시오.
컴퓨터에 \ computername \ c $하고 모든 문서를 읽고 복사하여 다른 위치에 붙여 넣은 다음 해커가 자신의 시스템에 수행 할 작업의 예를 제시하고 감염된 경우 모든 개인 정보를 사용합니다. 그는 이상한 사이트를 찾거나 어딘가에서 무료 게임을 다운로드하기를 원했기 때문입니다.
아마 해고 당할 것입니다. 나는 전에 상황에 있었으며 그것은 승리하지 않은 상황입니다. 나는 지금 또 하나 있습니다. 사용자에게 로컬 관리자 권한을 부여하는 것에 대해 후회하지 않는 회사에서 일합니다. 바이러스 / 스파이웨어 / 악성 코드 문제가 항상 있습니다. 무엇보다도, 우리의 데스크탑 녀석은 멍청하지만 인터넷을 발명 한 것처럼 매우 거칠습니다.
어쨌든, 나는 네트워크 관리자입니다. 나는 정말 나쁜 사이트를 차단하고 내 물건을 막으려 고 노력하지만 바보 같은 사용자는 항상 길을 찾는 것처럼 보입니다. 다행스럽게도 데스크톱 사용자를 위해 많은 비용을 들이지 않아도됩니다.