Est-il normal de donner à l'administrateur des utilisateurs un accès au PC de leur entreprise?

13

J'ai un utilisateur qui veut être administrateur de son PC de travail, il a fait une histoire sur la façon dont il ne peut pas travailler sans lui, donc on me dit de "le réparer" (comme si c'était une faute, il était connecté en tant que un utilisateur!).

Mes collègues informatiques et moi ne nous connectons pas en tant qu'administrateurs en raison de la présence de virus / programmes malveillants et de leur configuration en tant que serveurs pour distribuer une attaque (oui, cela s'est produit dans le passé).

Quelle est la «norme» pour les utilisateurs de votre réseau et comment gérez-vous les demandes d'accès administrateur?

Merci

permissions Phillipe B
la source
3
Si vous vous opposez à lui donner des droits d'administrateur, il est de votre responsabilité de vous assurer qu'il dispose de toutes les autorisations et accès granulaires activés à l'avance afin qu'ils ne rencontrent pas de barrages routiers à la manière d'un repas. Ceci est très difficile à prévoir dans un système Windows, étant donné la complexité des logiciels d'aujourd'hui. Par exemple, ils peuvent voir un comportement étrange dans une application et, après une journée de dépannage, découvrir que l'application échoue silencieusement à lire un paramètre de registre auquel l'utilisateur n'a pas accès.
AaronLS

Réponses:

12

Nous avons actuellement trois niveaux de support pour les utilisateurs:

  1. Plein soutien. Les utilisateurs n'ont qu'un accès de base et un ensemble standard d'applications
  2. Support limité. Nous effectuons des correctifs centraux du système d'exploitation et fournissons les applications. L'utilisateur a un accès root.
  3. Pas de support. Nous fournissons à l'utilisateur une connexion Internet. L'utilisateur assume la responsabilité de l'ordinateur, notamment des logiciels et des correctifs. Nous surveillons le réseau pour les problèmes et coupons l'utilisateur en cas de problème.

De cette façon, les utilisateurs peuvent choisir ce qu'ils veulent et nous minimisons l'impact, tant pour le personnel informatique que pour les utilisateurs. Nous avons constaté que les utilisateurs peuvent faire confiance pour choisir un niveau de support approprié. J'ai le sentiment que le verrouillage des utilisateurs par défaut est très coûteux en termes de productivité.

pehrs
la source
1
+1 J'aime ça, et je pourrais l'essayer à mon travail.
Nic
4
Bien que cette approche soit intéressante et mérite d'être prise en compte, avec les systèmes d'exploitation susceptibles aux logiciels malveillants, elle est très susceptible de permettre la perpétuation de vers tels que les logiciels malveillants sur votre réseau interne. Pour éliminer ce risque, les options 2 et 3 ne pouvaient pas inclure un accès interne illimité au réseau.
Warner
2
Je pense que c'est une excellente approche. Les personnes ayant un PC sur leur bureau sont généralement des «travailleurs du savoir» (KW), et il est préférable de laisser les KW prendre leurs propres décisions technologiques. Dans les années 80, l'informatique s'appelait encore «Data Processing», et ils n'étaient responsables que des gros terminaux de fer et de stupides. Ce sont les KW qui ont introduit leurs propres PC qui ont forcé les départements de traitement des données du monde entier à se concentrer sur la prise en charge des PC et à passer à un modèle client-serveur, pour finalement se renommer "IT". Laissez vos KW décider par eux-mêmes de la quantité de main qu’ils veulent de vous.
Spiff
@Warner où je travaille, la plupart des gens n'utilisent pas de systèmes d'exploitation sujets aux logiciels malveillants, et ils optent pour le n ° 3, et bénéficient d'un accès interne illimité au réseau. Les personnes qui souhaitent utiliser des systèmes d'exploitation sujets aux logiciels malveillants sont forcées vers # 2 ou # 1 et sont obligées d'utiliser uniquement des adresses IP statiques enregistrées pour leurs boîtiers sujets aux logiciels malveillants afin que le service informatique analyse plus facilement leurs ports ou leur trafic réseau pour détecter les activités malveillantes, et traquer plus facilement l'utilisateur coupable.
Spiff
Les conditions sont essentielles. Vous ne pourriez pas me convaincre que donner au service client un accès illimité à leurs postes de travail Windows sur le réseau interne serait une bonne idée, tout en maintenant un niveau de service raisonnable pour l'utilisateur final. Cela introduirait un grave risque de sécurité entre l'incapacité à maintenir les normes, les mises à jour et les privilèges supplémentaires permettant aux logiciels malveillants de s'exécuter gratuitement sans restrictions. J'aime l'idée de 3, car je concentre ma carrière sur les technologies Internet et les solutions de haut niveau, pas sur les technologies de type support intranet.
Warner
5

Mes deux centimes :

1 / Les droits d'administrateur sont MAUVAIS. Et les logiciels malveillants ne sont pas la seule raison. Un autre problème, souvent plus important, est que de nombreux utilisateurs ajouteront des applications que vous ne savez pas comment prendre en charge ou qui seront interrompues au fil du temps. Résultat ? Trois ou quatre ans comme ça, et vous finissez par pleurer parce que pour une raison quelconque, un processus critique est géré à l'aide d'une application que personne ne connaît ou qui a été développée par un ami du gars qui a quitté l'entreprise, ou autre chose. J'ai un client, par exemple, qui a développé une application GRANDE - et en fait TRÈS UTILE - en utilisant Lotus 1-2-3. Une version très ancienne. Cela ne fonctionne pas sur un système d'exploitation plus récent que ... Windows 98. Et le gars qui a fait cela a quitté l'entreprise. Vous voyez le problème?

2 / Si QUELQU'UN ne doit PAS avoir de droits d'administrateur, ce sont les développeurs . Parce que s'ils sont administrateurs, ils ne feront AUCUN effort pour écrire leur logiciel en respectant les directives de codage. Et ils finiront par écrire des applications qui ont besoin des droits d'administrateur pour fonctionner. Ce qui est mauvais.

Je suis un administrateur système et j'exécute SANS droits d'administrateur (pas même l'administrateur local de mon ordinateur). Quand j'en ai besoin, je les attrape, le temps de ma tâche d'administration. C'est ma propre bouée de sauvetage. Je peux faire des erreurs ... Et les erreurs avec les droits d'administrateur peuvent être terribles.


la source
Changement de vie !!!!
Saariko
4

Il peut y avoir une justification commerciale pour qu'un utilisateur final ait des privilèges plus élevés. Souvent, cela sera dicté par la culture de votre entreprise.

La meilleure stratégie informatique consiste à définir par défaut les moindres privilèges nécessaires pour exécuter une fonction de travail. S'il y a une justification et qu'il n'y a pas de solutions techniques pour maintenir des privilèges moindres, il y a alors une justification commerciale pour l'accès supplémentaire.

Certaines sociétés techniques choisissent de donner à tous les utilisateurs un accès administrateur local. D'autres, uniquement du personnel technique.

Dans mon service: sans justification, ils n'y ont pas accès. En ce qui concerne l'accès administrateur local au poste de travail: les utilisateurs techniques l'obtiennent généralement. S'ils présentent un risque pour l'entreprise, il peut être réévalué sur une base individuelle. L'employé non technique moyen n'en a pas. Nous n'avons jamais eu d'incident de malware de quelque importance que ce soit, mais nous gérons généralement un navire serré.

J'ai également répondu à une question plus tôt aujourd'hui, qui est liée à votre question ici. Il couvre certains des principes fondamentaux associés à la politique et à la procédure de contrôle d'accès.

Warner
la source
4

Non non Non Non Non!

Aucun ordinateur avec un utilisateur disposant de droits d'administrateur ne doit jamais accéder à votre réseau. Il est certain qu'aucun ordinateur appartenant à une entreprise ne devrait disposer de droits d'administrateur utilisateur:

Je ne déteste pas les utilisateurs, mais un service informatique ne peut tout simplement pas faire son travail efficacement s'il doit constamment résoudre des problèmes informatiques auto-infligés.

Pourquoi diable les utilisateurs (développeurs, si vous en avez, sauf) ont-ils besoin d'un accès administrateur?

Pour installer des applications?

Nous passons beaucoup de temps et d'efforts à tester la compatibilité des applications, puis nous standardisons sur une version particulière. Nous conservons les informations de licence et acceptons de prendre en charge tout ce que nous installons.

Pour exécuter des applications qui nécessitent un accès administrateur?

Hé, nous n'exécutons plus Windows 98. Je ne me souviens pas d'une application commerciale standard qui nécessite des droits d'administrateur. Si tel était le cas, nous ne le permettrions pas en premier lieu.

Mises à jour?

C'est à cela que servent WSUS / ASUS. La plupart des utilisateurs n'ont pas besoin des derniers pilotes de carte graphique - ce ne sont pas des joueurs!

Et si [insérer la raison ici] devait s'exécuter en tant qu'administrateur?

Ensuite, ils sont totalement séparés du reste du réseau, éventuellement s'il y en avait suffisamment, dans leur propre domaine. Plus important encore, nous gérons leurs attentes - vous le cassez, vous le corrigez - les délais de résolution SLA normaux ne s'appliquent pas.

Il y a beaucoup de cas marginaux, mais nous visons à exécuter notre département afin qu'aucun utilisateur ne doive jamais avoir besoin d'un accès administrateur ni même le demander. Si vos utilisateurs ont des droits d'administrateur, vous ne contrôlez pas votre `` réseau '', pas une situation dans laquelle je voudrais être.

Jon Rhoades
la source
2
Bon point que le type d'utilisateur (et donc le type d'organisation) est un facteur décisif. Mon expérience consiste à faire de l'administration pour les ateliers de développement de logiciels, mais il est clair que les exigences ailleurs peuvent différer.
Charles Duffy
@Charles Duffy - Je suis d'accord avec le fait que les développeurs changent tout, nous n'avons qu'un seul et il est également membre de l'équipe informatique, donc il n'y a aucun problème.
Jon Rhoades
2

Généralement, là où j'ai travaillé, les développeurs de logiciels ont eu un accès administrateur et généralement personne d'autre.

À un endroit où j'ai contracté, ils ont eu une bonne idée. Afin d'obtenir un accès administrateur, j'ai dû lire et signer un formulaire convenant que, si jamais je devais appeler le service informatique pour des problèmes informatiques, ou si quelqu'un d'autre avait remarqué des problèmes sur mon ordinateur, le service informatique essaierait de le réparer pendant quinze minutes, puis essuyez et ré-image.

David Thornley
la source
1

Comme vous pouvez le voir dans les réponses précédentes, il n'y a pas de norme pour cela. Il y a cependant la règle d'or des moindres privilèges. Cela signifie simplement que votre utilisateur doit disposer des droits d'accès minimum requis pour faire son travail. Il est regrettable que, en particulier dans le monde Windows, cela signifie que certains utilisateurs (par exemple les programmeurs) nécessitent des droits d'administrateur complets.

Je vous suggère de demander à l'utilisateur en question de documenter ce qu'il ne peut pas faire en tant qu'utilisateur et de voir si le problème peut être résolu avec quelque chose de moins que les droits d'administration complets. S'ils ne peuvent pas ou ne veulent pas documenter les problèmes, vous pourrez peut-être présenter un cas à la direction que la réclamation n'est pas fondée et ne nécessite donc aucun changement. Bien sûr, la façon dont cela se passe dépend souvent de qui aspire à qui dans votre organisation particulière.

John Gardeniers
la source
0

Si quelqu'un a vraiment besoin de droits d'administrateur sur sa machine locale, je serais tenté de configurer quelque chose comme Virtual Box / Vmware Player comme sandbox. Permettez-leur de faire tout ce qu'ils veulent dans leur bac à sable, et sur le système d'exploitation hôte, ils seront verrouillés comme n'importe quelle autre machine.

Les détails dépendraient beaucoup des attentes pour le système particulier.

  • L'utilisateur (et ses responsables) est-il disposé à rendre cet utilisateur responsable des sauvegardes?
  • L'utilisateur pourra-t-il accepter que si quelque chose ne peut pas être réparé rapidement parce qu'il l'a falsifié, vous allez insérer un disque et le formater immédiatement?
  • L'utilisateur et le gestionnaire sont-ils prêts à assumer la responsabilité de tout problème juridique résultant de logiciels non autorisés, d'atteintes à la sécurité, de dommages à d'autres systèmes du réseau?
Zoredache
la source
En supposant que la machine virtuelle n'était pas connectée au réseau, il serait plus facile de simplement débrancher leur câble réseau. Sinon, tous les risques sont toujours là.
Joe Internet