Rád bych zjistil názor širšího okruhu administrátorů podnikových sítí.
Jak moc je nutné omezovat uživatele v jeho právech? Je žádoucí ponechat mu lokální administraci nebo je lepší ponechat pouze uživatelská oprávnění?
Jaký přístup ve firmě aplikujete?
Práva uživatelů ve firemní síti
Moderátor: Moderátoři Živě.cz
Stránka 1 z 1
od vladimir 14. 12. 2016 09:18
Nechat uživatel administrátorská práva? Vtipkuješ? Uvědom si, že firma odpovídá za nainstalované programy. Pokud jim tam dáš administrátorská práva, hned si tam začnou instalovat blbosti, třeba Total Commander, však co, je to freeware (ale jenom pro soukromé použití) atd.
- vladimir
- Expert
-
![;-]](./images/smilies/08.gif ";-]")
od cernakus 14. 12. 2016 13:08
To není jednoduše zodpověditelná otázka
1) jak jsou na tom uživatelé ve firmě. Například lze očekávat, že 60ti letá paní na pozici clerk, která přešla z psacího stroje na PC před deseti lety není vhodný adept na více, než zcela očesaná práva (včetně limitace USB). Na druhou stranu, pokud omezíš lokální práva správce konstruktérovi CAD, tak způsobíš firmě značnou škodu ve formě prostojů v jeho práci.
2) Jak rozlehlá to je firma. Přes RDP nevyřešíš vše, když to bude firma, pěti kanceláří na patře, je to vcelku jedno, jakmile to je firma rozlehlá (obrovská fabrika, či provozovny rozfrcané po městě), pak na svých prostojích pracovně vyhoříš.
3) jak citlivá jsou data, se kterými firma pracuje. Čím citlivější, tím větší musíš mít kontrolu nad data flow a protože každá stanice je potenciální I/O uzel, musíš zkrotit tyto stanice. dtto platí pro množství zaměstnanců, čím více jich je, tím hůře se kočíruje volné prostředí a musíš to svázat.
4) Tvoje vlastní EGO - když uživatele svážeš, budeš pro BFU nepostradatelný Bůh a pro PU namyšlená svině.
Pokud bych se měl vyjádřit konkrétněji, tak bych musel znát odpovědi právě na výše uvedené otázky.
PS: Otázka autorských práv je v tomto rozhodování v rámci EU vcelku minoritní věc. EULA je v EU cár papíru jak v soukromé tak v byznys sféře. To, že si někdo napíše do EULA, podmínky kdy něco nepoužívat a přitom aktivně nezabrání tomuto nepovolenému užití, tak má smolík. Porušovatel AP má zase smolík, když aktivně takovou ochranu obejde, ale o to se postarají antiviry, které bych nedovolil obcházet ani PUčkám (jde to zakázat vcelku bez problémů i když mají lokální admin práva), a které všechny cracky a medicíny automaticky označuje za havěť.
1) jak jsou na tom uživatelé ve firmě. Například lze očekávat, že 60ti letá paní na pozici clerk, která přešla z psacího stroje na PC před deseti lety není vhodný adept na více, než zcela očesaná práva (včetně limitace USB). Na druhou stranu, pokud omezíš lokální práva správce konstruktérovi CAD, tak způsobíš firmě značnou škodu ve formě prostojů v jeho práci.
2) Jak rozlehlá to je firma. Přes RDP nevyřešíš vše, když to bude firma, pěti kanceláří na patře, je to vcelku jedno, jakmile to je firma rozlehlá (obrovská fabrika, či provozovny rozfrcané po městě), pak na svých prostojích pracovně vyhoříš.
3) jak citlivá jsou data, se kterými firma pracuje. Čím citlivější, tím větší musíš mít kontrolu nad data flow a protože každá stanice je potenciální I/O uzel, musíš zkrotit tyto stanice. dtto platí pro množství zaměstnanců, čím více jich je, tím hůře se kočíruje volné prostředí a musíš to svázat.
4) Tvoje vlastní EGO - když uživatele svážeš, budeš pro BFU nepostradatelný Bůh a pro PU namyšlená svině.
Pokud bych se měl vyjádřit konkrétněji, tak bych musel znát odpovědi právě na výše uvedené otázky.
PS: Otázka autorských práv je v tomto rozhodování v rámci EU vcelku minoritní věc. EULA je v EU cár papíru jak v soukromé tak v byznys sféře. To, že si někdo napíše do EULA, podmínky kdy něco nepoužívat a přitom aktivně nezabrání tomuto nepovolenému užití, tak má smolík. Porušovatel AP má zase smolík, když aktivně takovou ochranu obejde, ale o to se postarají antiviry, které bych nedovolil obcházet ani PUčkám (jde to zakázat vcelku bez problémů i když mají lokální admin práva), a které všechny cracky a medicíny automaticky označuje za havěť.
- cernakus
- Mírně pokročilý
od RapRaptor 14. 12. 2016 16:24
Díky všem za podnětné odpovědi. Můj názor na administraci je s ohledem na bezpečnost podnikových dat ten, že je lepší ponechat pouze uživatelská oprávnění.
Problém je, že se setkávám dost často s firemní politikou, která nechává uživatele pracovat z domu a práva na instalaci SW jim neomezuje.
Nevím zda je to jen benevolence, nebo mají nějak zabezpečené svoje vnitřní prostředí tak, aby se jich případné incidenty uživatelů nedotkly.
V mém případě se jedná o firmu do 15 uživatelů, mladých a vzdělaných. S výpočetní technikou nemají problém. Se znalostmi o kybernetické bezpečnosti je to už horší.
Citlivá data firmy jsou v drtivé většině data o zakázkách, ke kterým vyžadují všichni přístup prostřednictvím vnitřní sítě, data jsou sdílena na síťových discích.
Značná část uživatelů také přistupuje do vnitřní sítě z venku pomocí VPN.
Ego neřeším, potřebuji, aby vše fungovalo a jenom z toho důvodu nemám zájem na tom povolovat vyšší práva než user.
Naproti tomu stojí argumentace, že jiné obdobné firmy uživatele takto neomezují. Proto tato diskuze.
Problém je, že se setkávám dost často s firemní politikou, která nechává uživatele pracovat z domu a práva na instalaci SW jim neomezuje.
Nevím zda je to jen benevolence, nebo mají nějak zabezpečené svoje vnitřní prostředí tak, aby se jich případné incidenty uživatelů nedotkly.
V mém případě se jedná o firmu do 15 uživatelů, mladých a vzdělaných. S výpočetní technikou nemají problém. Se znalostmi o kybernetické bezpečnosti je to už horší.
Citlivá data firmy jsou v drtivé většině data o zakázkách, ke kterým vyžadují všichni přístup prostřednictvím vnitřní sítě, data jsou sdílena na síťových discích.
Značná část uživatelů také přistupuje do vnitřní sítě z venku pomocí VPN.
Ego neřeším, potřebuji, aby vše fungovalo a jenom z toho důvodu nemám zájem na tom povolovat vyšší práva než user.
Naproti tomu stojí argumentace, že jiné obdobné firmy uživatele takto neomezují. Proto tato diskuze.
- RapRaptor
- Kolemjdoucí
od JirkaVejrazka 14. 12. 2016 16:52
K tomuhle jsou dva pristupy. Jeden je, ze "spravce to nejak udela" a pripadne hromy a blesky ( a prace navic ) padaji na jeho hlavu. Druhy je takovy, ze nekdo napise firemni bezpecnostni politiku, ktera podobne veci upravuje, a cele vedeni firmy ji schvali. Prace spravce sice neubude, ale muze se zastitit firemni politikou, zvlast pokud si nekdo z vedeni firmy vymysli, ze potrebuje na notebook lokalniho administratora, "aby si na tom kluk mohl hrat hry".
Toliko k te argumentaci "jine firmy to tak neomezuji". Videl jsem opravdu velke firmy, kde mel kazdy uzivatel lokalniho administratora. A taky male, kde to bylo nepripustne. Oboji ma pochopitelne svoje pro a proti, univerzalni navod neexistuje.
Toliko k te argumentaci "jine firmy to tak neomezuji". Videl jsem opravdu velke firmy, kde mel kazdy uzivatel lokalniho administratora. A taky male, kde to bylo nepripustne. Oboji ma pochopitelne svoje pro a proti, univerzalni navod neexistuje.
- JirkaVejrazka
- Mírně pokročilý
od Milanr1 14. 12. 2016 17:03
Fatální bezpečnostní chyba:
nikoliv práce z domova, ale nekontrolovatelná admin práva.
Moudrý závěr:
Samozřejmě to představuje více práce pro příslušné ajťáky.
Výjimečné případy (např. dlouhé cesty mimo WLAN) lze řešit kompromisem:
BFU zná heslo k účtu s admin právy => může instalovat upgrade sw, ale nesmí (resp. nemůže) se do účtu s admin právy přímo přihlásit (to řeší nastavení bezpečnostní politiky).
Po návratu heslo změní příslušný správce IT.
RapRaptor píše:s firemní politikou, která nechává uživatele pracovat z domu a práva na instalaci SW jim neomezuje
nikoliv práce z domova, ale nekontrolovatelná admin práva.
Moudrý závěr:
RapRaptor píše:Můj názor na administraci je s ohledem na bezpečnost podnikových dat ten, že je lepší ponechat pouze uživatelská oprávnění.
Samozřejmě to představuje více práce pro příslušné ajťáky.
Výjimečné případy (např. dlouhé cesty mimo WLAN) lze řešit kompromisem:
BFU zná heslo k účtu s admin právy => může instalovat upgrade sw, ale nesmí (resp. nemůže) se do účtu s admin právy přímo přihlásit (to řeší nastavení bezpečnostní politiky).
Po návratu heslo změní příslušný správce IT.
Milan
- Milanr1
- Pokročilý
-
od meda2016 21. 12. 2016 15:43
Ve firemní síti jsoudvě hlediska zodpovědnosti.
1. Zodpovědnost za funkčnost sítě a pracovních stanic (ať už si představíte PC, NB, tablet, telefon, periferie na síti).
2. Zodpovědnost za užívání SW - legální licence.
Za bod jedna zodpovídá administrátor, za bod dva jednatel/majitel společnosti.
Z toho jasně plyne omezení administrátorských práv. Protože dopad je vždy na admina.
Poučení jedna: Pokud za adminem nestojí vedení firmy, dopadne to jednou špatně.
Poučení dva: Ve firmě nikdy nelze používat soukromý HW a SW zaměstnance. Ať už to omlouvá kdokoli čímkoli, dopadne to jednou špatně.
**Zodpovědnost za data má příslušný zaměstnanec, který je oprávněn s nimi pracovat a je povinen zajistit jejich bezpečí. To se vztahuje ke druhému poučení.
1. Zodpovědnost za funkčnost sítě a pracovních stanic (ať už si představíte PC, NB, tablet, telefon, periferie na síti).
2. Zodpovědnost za užívání SW - legální licence.
Za bod jedna zodpovídá administrátor, za bod dva jednatel/majitel společnosti.
Z toho jasně plyne omezení administrátorských práv. Protože dopad je vždy na admina.
Poučení jedna: Pokud za adminem nestojí vedení firmy, dopadne to jednou špatně.
Poučení dva: Ve firmě nikdy nelze používat soukromý HW a SW zaměstnance. Ať už to omlouvá kdokoli čímkoli, dopadne to jednou špatně.
**Zodpovědnost za data má příslušný zaměstnanec, který je oprávněn s nimi pracovat a je povinen zajistit jejich bezpečí. To se vztahuje ke druhému poučení.
- meda2016
- Junior
Příspěvků: 12 • Stránka 1 z 1
Kdo je online
Uživatelé procházející toto fórum: Žádní registrovaní uživatelé a 0 návštevníků