Comment convaincre un grand patron qu'il n'a pas besoin de privilèges d'administrateur?

J'ai souvent constaté que "le grand patron" d'une entreprise souhaitait pouvoir installer "n'importe quoi" et tout faire sur son ordinateur.

Bien sûr, on peut lui dire que c'est mauvais parce que les administrateurs du système informatique perdent le contrôle de l'ordinateur, etc.

Un argument irréfutable pour convaincre les grands patrons qu'il vaut mieux ne pas avoir de privilèges d'administrateur sur leur ordinateur de bureau?

La seule fois où j’ai même eu un petit succès, c’est un patron qui était prêt à utiliser la gestion identique à celle d’autres identifiants s’il souhaitait installer quelque chose. J'ai expliqué que même les administrateurs système se connectaient la plupart du temps sur des systèmes dotés de comptes normaux, puis lui créaient leur propre compte administrateur qu'il ne devait utiliser que lorsqu'il voulait faire quelque chose de spécial. C'était en fait très efficace et empêchait sa machine de se faire complètement foirer pendant les deux années où j'étais à la compagnie. C'était un PDG relativement avisé qui était capable de comprendre la situation dans son ensemble, et je suis sûr qu'il contenait des informations que je n'aurais pas approuvées, mais au moins cela l'a empêché de tout gâcher passivement.

Dites-leur qu'ils peuvent avoir le même accès que les administrateurs de domaine, puis donnez-leur exactement cela:

• Compte d'utilisateur standard connecté à leur messagerie, à leurs documents et à leurs applications professionnelles, qu'ils peuvent utiliser pour leur travail quotidien.
• Un compte distinct sur la machine disposant des privilèges d'administrateur pour cette machine (analogue à un compte d'administrateur de domaine d'un administrateur), mais qui n'est PAS connecté à son compte de messagerie ou à toute application professionnelle nécessitant une authentification basée sur l'utilisateur actuellement connecté, et n'a pas d'imprimantes configurées. Ce compte doit être décomposé par conception, de sorte qu'il ne soit pas adapté à une utilisation quotidienne.

L'idée est que le compte privilégié doit être suffisamment cassé pour qu'il soit moins pénible de rester connecté en tant qu'utilisateur standard la plupart du temps. le patron ne voudra utiliser le compte privilégié que lorsqu'il en aura réellement besoin. Les gros chefs dépendent presque toujours très largement de l'accès au courrier électronique et aux systèmes de génération de rapports. Si vous pouvez rendre l'accès à ces comptes à partir du compte privilégié un peu moins pratique, vous êtes en forme. La moitié du temps, votre patron oubliera tout simplement ses références.

Si cela ne les satisfait toujours pas, continuez et distribuez un compte administrateur / root de domaine complet, mais faites-le quand même en tant que compte séparé de leur compte de travail normal. Après tout, ils sont le patron. Assurez-vous que le compte est lourdement audité. À ce stade, ce qu’ils recherchent souvent n’est qu’une simple police d’assurance ou une couverture contre un administrateur malhonnête; ils ont besoin de se sentir comme si l'argent leur en revenait, et tant qu'ils ont un compte d'utilisateur standard pour leur travail quotidien, il n'y a rien de mal à cela.

Aucune, sauf pour leur faire savoir qu'il faudra au moins 3 à 4 heures pour nettoyer son ordinateur quand il sera irrémédiablement arrosé.

Juste un avertissement juste ..

Je ne fais que du travail sous contrat, alors je fais ce que mes clients me disent ou, si je ne l’aime vraiment pas, j’exerce la «clause de sauvetage» dans mon contrat.

Dans cet esprit, la plupart des gens ont eu une sorte d'expérience de "malware" aujourd'hui. Je discute avec le client de la façon dont les logiciels malveillants qu’il exécute via des bogues de navigateur, etc., ont tous les mêmes droits et privilèges que le compte d’utilisateur auquel ils sont connectés (y compris l’accès à leur courrier électronique et à leurs frappes au clavier, sans parler des ressources disponibles). les serveurs).

Normalement, je reçois une question du type "Pourquoi le logiciel anti-virus ne s'en occupe-t-il pas?" Nous avons ensuite une discussion sur la "course aux armements" - celle sur la manière dont les personnes chargées des logiciels malveillants téléchargent les mêmes mises à jour de logiciels anti-programmes malveillants et qui utilisent les nouvelles "signatures", etc.

Pour couronner le tout, j’explique que j’utilise des comptes d’utilisateurs limités sur tous mes ordinateurs (et ce, depuis des années).

C'est tout ce qui m'a pris pour convaincre les utilisateurs de fonctionner avec des comptes à utilisateur limité. À quelques reprises, j'ai dû laisser d'abord à l'utilisateur une expérience de malware (ce qui se produit invariablement), mais comme mes services sont généralement accompagnés d'une indication très claire de la dépense associée, elle ne se produit généralement qu'une seule fois.

Je crée généralement des utilisateurs de niveau "administrateur" en tant que comptes locaux ou comptes de domaine (avec une stratégie de groupes restreints pour donner des "droits" à un compte utilisateur), en fonction du nombre d'ordinateurs auxquels l'utilisateur a besoin d'accéder. Je m'assure de ne le nommer dans aucun des groupes utilisés par le compte d'utilisateur quotidien et de ne pas lui donner accès à leur boîte aux lettres Exchange. Je souhaite que le compte de niveau "Administrateur" soit aussi inutile que possible, sauf pour l'installation de logiciels / pilotes sur leur PC.

Cette stratégie m'a évité beaucoup de maux de tête et a permis à mes clients de réaliser des économies substantielles. Il faut «des compétences interpersonnelles» pour avoir les conversations que vous devez avoir, et le fait d’être un entrepreneur aide certes, mais c’est certainement un problème surmontable.

Au lieu d'essayer de le convaincre qu'il a tort, vous devriez peut-être essayer de trouver un moyen de faire des compromis. Peut-être lui permettre d’exécuter une copie de VMware avec un ordinateur virtuel invité sur lequel il peut se déchaîner. Essayez de lui donner la capacité d'accomplir ce qu'il pense devoir faire d'une manière qui lui laissera toujours un système géré stable.

En réalité, vous devez probablement justifier que votre ordinateur peut disposer d’un ordinateur fiable et restaurable en cas de défaillance de votre ordinateur, ou le perdre, car vous savez exactement ce qui se trouve sur le système et comment le réparer. les médias sont. Ou bien il peut avoir un ordinateur dont il est responsable, et quand l'ordinateur tombe en panne, vous ne pouvez pas garantir que vous pourrez faire autre chose que formater + réinstaller.

Essayez de communiquer les risques et ce que vous faites, et essayez de trouver un compromis. Envisagez de configurer une machine virtuelle, ou une configuration à double démarrage ou quelque chose qui lui donne la flexibilité dont il a besoin / veut, tout en lui laissant un système stable.

Malheureusement, vous ne pouvez pas faire grand chose au gars qui signe votre chèque de paie. :-)

Le meilleur conseil (pratique) que je puisse vous donner serait de vous assurer que vous avez une bonne routine de sauvegarde en place pour son système et de le laisser partir dans le vent. LOL

Cela se résume vraiment à ceci:

1. QUELQU'UN doit être dans le siège du conducteur. C'est sa compagnie si clairement qu'il est le patron. Le mieux que vous puissiez faire est de le conseiller sur la meilleure marche à suivre (avec quoi que ce soit), puis de le laisser prendre une "décision éclairée". S'il ne va pas avec vos conseils ... et qu'il y a un raté ... c'est sa faute pour ne pas écouter.

2. S'il suit votre conseil et qu'il y a un raté ... c'est toujours SA faute parce qu'IL a pris la décision. Rappelez-vous, il est dans le siège du conducteur.

Maintenant ... ça vous donnera des regards bizarres de temps en temps ... même un rire ou un rire.

Mais assurez-vous d’expliquer que LA DIFFÉRENCE est ... votre nettoyage de VOS dégâts (gratuitement) et faites de votre mieux pour résoudre le problème. L'autre, il vous paye pour nettoyer et vous vous réservez le droit de "lui prêcher" pendant 5 à 10 minutes et il accepte de l'écouter.

Essayez de le garder du côté FUNNY.

Je n'ai jamais eu de difficulté à expliquer cette logique à un propriétaire d'entreprise. La plupart d'entre eux le savent déjà. C'est juste amusant de l'expliquer en termes francs (mais doux). ;-)

Dites-lui qu'il devrait vraiment donner l'exemple au reste de l'entreprise.

S'il commence à "personnaliser" son ordinateur portable (dans le cas le plus défavorable) avec des "téléchargements Internet", son directeur des ventes le fera, le directeur des finances, l'assistant du directeur des ventes, le commercial, les techniciens, le service clientèle, etc. .

Ensuite, expliquez que a) le risque pour l’INFRASTRUCTURE COMMERCIALE est accru (il est intéressant de trouver toutes les informations relatives à vos clients et à vos commandes sur Internet), b) définit une culture de sécurité et de professionnalisme au sein de l’organisation, et c) coûte beaucoup plus cher en support. et fiabilité réduite.

S'il veut une machine de jeu, laissez-le le faire sur son propre PC, mais un PC / ordinateur portable / équipement professionnel est utilisé à des fins commerciales.

C'est une chose adulte

Je ne comprends pas le caractère unilatéral des réponses ici. Le gros fromage obtient ce qu'il veut.

Un dirigeant non technique aura-t-il des problèmes à résoudre?

Peut-être - mais considérez cela comme une opportunité d’acquérir une capacité de première main pour montrer vos capacités et avoir un peu de temps libre avec le gars qui signe les chèques. Donner à un PDG une expérience talentueuse auprès du chef de la direction est un excellent moyen de donner à l’enfant un temps de comparution et de faciliter le processus de promotion ... "Souvenez-vous du gars qui a sauvé la journée le mois dernier ..."

Ou vous pouvez adopter l'approche grincheuse, à la livre, énerver le PDG et donner des brûlures d'estomac à votre patron.

J'ai totalement évité le problème et acheté au PDG un poste de travail Mac très coûteux (très haut de gamme) avec un énorme écran de studio. Il aimait l'exclusivité, j'aimais le fait qu'il y ait un peu moins de problèmes, il pourrait obtenir à. J'ai maintenu la capacité de ssh et de courir en haut pour garder un œil sur les choses. Heureusement, ce n'était pas un ordinateur portable.

Dites-lui que très peu de patrons d'hôpitaux pratiquent une chirurgie du cerveau ou une intervention chirurgicale.

Plutôt que d'essayer d'empêcher le patron d'installer des choses sur sa machine, je pense que vous feriez mieux de trouver un moyen d'empêcher son ordinateur de causer une destruction injustifiée du reste de vos systèmes informatiques quand il / elle attrapera inévitablement un virus après avoir désactivé le système. scanner de virus.

Si cette question se pose, je suppose que l’organisation n’a pas de politique explicite en place pour traiter ce type de demande. Si ceux-ci étaient en place, ce serait un non-aller, ou il serait en train de déposer des demandes spéciales pour obtenir le privé. Ou il vous demanderait de violer la politique. ahem.

Vous ne pouvez pas faire grand chose. Il n'y a pas d'argument magique si quelqu'un ne comprend pas ou si votre patron ou votre organisation ne reconnaît pas les risques possibles. Vous pouvez prendre la position et dire non et mais cela peut ou peut ne pas fonctionner et cela peut entraîner des sentiments négatifs.

Conclusion: si un patron n’est pas préoccupé par l’apparence du traitement préféré ou par le risque associé aux utilisateurs exécutant des tâches en tant qu’administrateurs ET si vous (ou votre département) n’avez pas l’autorité reconnue pour refuser la demande, vous pouvez tout aussi bien la donner à lui.

Le mieux que vous puissiez faire est d’essayer de formuler une déclaration polie «c’est contre les meilleures pratiques techniques», de sauvegarder ses informations, de le laisser partir en ville.

J'ai constaté que la plupart des gestionnaires utilisent l'un des deux styles informatiques suivants: ils sont extrêmement maniables, car ils ont des tâches plus importantes à faire que de jouer avec un ordinateur, ou ils aiment s'y mettre et s'y perdre.

Les gestionnaires autonomes ne posent aucun problème: vous configurez leur ordinateur, leur dites ce qu’ils peuvent ou ne peuvent pas faire et vous vous assurez d’être toujours présent s’ils ont besoin d’installer quelque chose (et d’avoir autant d’options que possible - par exemple compte local avec accès administrateur, accès distant testé sur VPN, etc.).

Dans mon cas, presque tous les gestionnaires et les responsables de niveau VP qui souhaitaient installer ou configurer des éléments sur leur ordinateur avaient déjà tué leur ordinateur à un moment donné. Nous n'avions donc pas trop de problèmes pour le verrouiller. Quelques-uns d'entre eux ont dû parler du compte de l'administrateur local pour les rendre heureux, mais ils ont compris les risques de faire quelque chose sans nous impliquer ou du moins nous demander d'abord.

Le président, cependant, n'a jamais compris combien cela coûtait quand il avait tué son système, mais il a pris sa retraite avant d'essayer notre dernière tentative de solution: nous allions lui procurer deux ordinateurs, l'un d'entre eux contenant tous nos équipements standard. installé, et un second sur lequel il pouvait installer tout ce qui lui passait par la tête. Il aimait les petits cahiers bien avant que le terme "netbook" ne soit inventé. J'ai donc pensé qu'il pourrait en transporter deux, mais seulement une source d'alimentation.

Expliquez qu'avoir des privilèges administratifs rend son ordinateur plus vulnérable contre les pirates informatiques, qui pourraient voler des secrets d'entreprise, détruire des données ou abuser des services, ou des virus, ce qui pourrait détruire des données ou l'amener à faire partie d'un botnet, ce qui pourrait les ouvrir à des accusations criminelles. s'ils participent à une attaque par déni de service ou similaire.

De plus, expliquez-leur que s'ils endommagent accidentellement quelque chose, ils pourraient rester sans leur ordinateur pendant quelques heures (ou quelques jours) pendant que vous essayez de le réparer. S'ils ne disposent pas de privilèges administratifs, ils seront moins en mesure de casser des choses.

Vous devez d'abord mettre en place les stratégies informatiques: les solutions techniques sont toujours basées sur celles-ci, et non l'inverse, même si certaines configurations techniques comme des comptes d'utilisateurs non administrateurs nous paraissent évidentes.

Je lui demanderais ce qu'il pense qu'il ne peut pas faire avec les privilèges dont il dispose. En dehors de cela, donnez-lui les droits d'administrateur - il signe le chèque d'heures supplémentaires lorsqu'il le casse.

Ce que nous avons fait est d'expliquer ce qui a déjà été mentionné ... si nous devons nettoyer un système, cela signifie qu'ils sont sans leur système pendant cette période. Nous avons également une politique stricte qui consiste à faire une évaluation rapide. Si le nettoyage prend plus d'une heure ou si nous ne pouvons pas évaluer rapidement l'étendue de l'infection, nous nous contentons de redonner une image du système. En ce qui concerne l’exécutif, le problème est que tous leurs jouets ont disparu. Mais comme nous ne savions pas ce qu’il y avait sur le système ni où trouver tous les packages d’installation, vous voyez l’idée. Vous ne pouvez pas avoir un tel effet de levier, mais cela vaut la peine d'essayer.

En fin de compte, le grand patron doit prendre une décision concernant ce qui est acceptable pour lui / elle. Nous pouvons être en désaccord techniquement avec tout ce que nous voulons, mais ce n'est pas notre affaire. Si nous ne pouvons pas vivre avec cette décision, nous avons toujours la possibilité de chercher un emploi ailleurs.

En passant, si vous recherchez une ressource pouvant vous aider avec cet argument, visitez le site suivant: Threatcode.com . Je ne sais pas à ce jour, il a été conservé, mais il a été vanté dans le passé.

Si vous allez de front et dites "vous ne pouvez pas faire cela" avec le gars qui vous signe, vous payez un chèque, vous perdrez!

Comme toujours, vous devez tourner et tourner pour contourner cela. La réponse ne peut être trouvée que si vous comprenez pourquoi il veut être administrateur.

Si c'est technique, vous pourrez peut-être le convaincre, mais s'il s'agit de "pouvoir" et d'être votre patron, vous n'avez pas de chance. Il est très difficile de convaincre un patron qu’il a besoin de moins de privilèges que les personnes qu’il dirige, cela voudrait probablement dire de son point de vue qu’ils sont autorisés à en faire plus que lui et que la hiérarchie normale est renversée ( et la plupart des patrons n'aiment pas ça).

Choisissez donc vos mots avec soin et n'oubliez pas le côté humain de ce problème.

\ nomordinateur \ c $ sur son PC, lisez tous ses documents, copiez-les, collez-les à un emplacement différent, puis présentez-lui un exemple de ce qu'un pirate informatique fera à son système et de toutes ses informations personnelles s'il est infecté parce qu'il voulait naviguer sur des sites étranges ou télécharger des jeux gratuits quelque part.

Il va probablement vous faire virer. J'ai été dans la situation avant et c'est une situation sans issue. Je suis dans un autre en ce moment. Je travaille pour une entreprise qui se moque bien de donner des droits d'administrateur local aux utilisateurs. Nous avons des problèmes de virus / logiciels espions / programmes malveillants TOUT LE TEMPS. En plus de tout cela, notre ordinateur de bureau est un noob, mais très arrogant, comme s’il avait inventé Internet.

Quoi qu'il en soit, je suis un administrateur réseau. Je bloque juste les très mauvais sites et j'essaie d'empêcher des choses de ma part, mais les utilisateurs stupides semblent toujours trouver un moyen. Je suis content de ne pas avoir à couvrir beaucoup le type de bureau.