Werk Adminrechten op laptops en IT-veiligheid

Jackerath zei:
Waarom moet jij zoveel programma's installeren? Wist je dat er meestal ook een portable versie beschikbaar is, die je vaak wel kan starten zonder adminrechten?
Klik om te vergroten...
Ik vind dat zowiezo geen goed idee om aan eindgebruikers te gaan voorstellen om portable programma's te gaan gebruiken.

1) Software die gratis is voor persoonlijk gebruik, is dat niet noodzakelijk voor professioneel gebruik. Ga je deze verantwoordelijkheid dan bij de eindgebruiker leggen? Het is aan het bedrijf om software (en licenties indien nodig) ter beschikking te stellen die nodig is om het werk uit te voeren.
2) Ook portable programma's zijn onderhevig aan vulnerabilities. Ga je dan de eindgebruiker verantwoordelijk maken om regelmatig de nieuwste versie te downloaden en de oude te overschrijven?
3) Een IT omgeving die iets of wat deftig ingericht is, gaat trouwens met een whitelist werken van executables die uitgevoerd mogen worden. Dus random portable stuff gaat dan gewoon niet werken. En zo moet het ook.
Loser zei:
Ik snap dat een bedrijf niet zomaar overal admintoegang kan geven, maar van de andere kant: dat gaat al 15 jaar goed. Waarom zou dat ineens niet meer goed gaan?
Klik om te vergroten...
We leven in een heel andere wereld dan 15 jaar geleden. Er zijn gewoon teveel risico's die afgedekt moeten worden en waarvan een eindgebruiker totaal geen besef heeft.
 
  • Leuk
Waarderingen: Mojo
Loser zei:
Daar kan ik zeker nog in meegaan, net als in de post van @zarathustra , dat er mensen zijn die er meer van kennen, laat die dan hun werk doen. Waar ìk een probleem mee heb, is dat die dingen gebeuren van bovenaf zonder overleg, waarbij die mensen die er meer van kennen op voorhand al aan handen en voeten geboeid worden door een bureaucratie die er ook niks van kent, maar gewoon denkt "alles dicht = veilig".

Alles moet lokaal weg, oké. Dan moet er ook een alternatief archief zijn. Alles blind dichtspijkeren zonder te kijken naar de beste balans tussen veiligheid en werkbaarheid is ook nutteloos. Enfin, nutteloos: dat mag best, maar daar zal de productiviteit (zwaar) onder te leiden hebben. En dat ga ik dan als werknemer moeten goedmaken, want de persoon die naar de veiligheid kijkt, is een andere dan de manager die naar de productie kijkt.

Ik snap dat een bedrijf niet zomaar overal admintoegang kan geven, maar van de andere kant: dat gaat al 15 jaar goed. Waarom zou dat ineens niet meer goed gaan? Zeker als je ziet dat veel van de "beveiligingen" twijfelachtig zijn: Is het zo veel veiliger om alles in de cloud te zetten dan verdeeld over lokale machines? Bwa :)

Kan toch gewoon dat zowel Mac en ik als jij en Zara gelijk hebben: IT-beveiliging is belangrijk, en veel van die stappen zijn nodig. Maar niet alle stappen zijn altijd logisch of een zo goed mogelijke implementatie.
Klik om te vergroten...

@mac-bc lijkt me weinig kaas gegeten te hebben van het verschil tussen "effectiviteit", "efficientie" en "we kunnen iets beter doen maar beslissen om het nu even niet te doen".


Probleem is dat je met veel IT analfabeten zijn die gewoon standaard principes niet verstaan. Enige oplossing is alles dichttimmeren. Ook al komt dat met efficientie verlies ergens anders. En ja, waarschijnlijk kan dat beter en efficienter in IT. Maar misschien hebben die ook pokke veel werk (je bent niet de enige met veel werk in de wereld) en denken ze 'deurtje toe, gaatjes kunnen we later in de deur maken'.

Hoeveel keer zie ik hier geen emails passeren van sales/support naar klanten met passworden en logins van allerlei systemen 'om de klant even een demo te geven'. Soms zelfs gewoon login van interne gebruikers die ze aan klant geven.

En elke keer hetzelfde liedje

Ze geven hun login/pass aan klant via email met 10 man op
"Het is toch niet hetzelfde password als je andere (interne) systemen?"
- "Maar dat weet hij toch niet" en "de klant kan toch niet in die interne systemen"
"De 9 andere in de email weten nu ook je password"
- "euh euh euh, shit"
...


Of ze sturen hun pwd naar een klant ipv een nieuwe login te maken. Geen 2FA.
"Hoe krijgen we die klant nu ooit weg uit het systeem?" (nogal moeilijk als hij geen @klantABC.com login gebruikt)
-"Ik zal onthouden als hij eruit mag" (super error proof)
"En als je zelf hier niet meer werkt"
-"euh euh euh euh shit"

:rolleyes:


zarathustra zei:
Maar het ging hier specifiek over admin rechten op een machine. Iets wat je als normale eindgebruiker nooit nodig hebt. Als je iets gebruikt dat wel admin rechten nodig heeft dan is de oplossing om daar een alternatief voor te vinden.

En qua veiligheid.. je moet er gewoon vanuit gaan dat al uw data op een bepaald moment zal gehacked, encrypteerd, of wat dan ook zal worden. Je moet dat zo goed mogelijk proberen voorkomen en moeilijk proberen maken. Maar de echte clou is uiteraard een plan hebben voor wat je doet als alles weg is. En dat is veel eenvoudiger als alles op 1 manier behandeld wordt ipv op 30 verschillende manieren
Klik om te vergroten...

Geef mensen een vinger en ze pakken een half lichaam.

Je kunt mensen die finale verantwoordelijkheid dragen en waarschijnlijk in bepaalde opzichten personally liable zijn, moeilijk verwijten dat ze alles dichttimmeren. Bij ons mag ook niks. Wil je afwijken is er altijd een 'risk acceptance waiver'. Aftekenen dat je personally liable bent om programma ABC te installeren. Even fijntjes op de GDPR boetes wijzen (10% van omzet) en dat je 'on your own bent' als het door jou een breach is. Ik heb nog maar weinig risk acceptance zien afgetekend worden...
 
Er zijn toch niet enkel adminrechten nodig voor iets te installeren?

Hier heeft ons team ook full admin. Anders kan je bij ons uw IP adres niet aanpassen (als je rechtstreeks op een toestel connectie maakt)

Of ik moet ook soms in apparaat beheer oude apparaten wissen. Kan ook niet zonder admin.

Tegen de zomer krijgen we een nieuwe pc. Weer full admin, enkel voor alles van bedrijfsgevoelige informatie gaan we een VM moeten openen waarop we niks kunnen buiten die info gaan halen.
 
mac-bc zei:
Ja kijk, ik werk in een omgeving met quasi uitsluitend jonge en hoogopgeleide mensen, ik wens dan ook zo behandeld te worden. Neen, ik ga geen .exe uitvoeren van [email protected].

Dat ze de admin-rechten maar dichtsnoeren bij de "risico-profielen" op het werk, als je snapt wat ik bedoel.

En ja, op organisatie-niveau snap ik het natuurlijk. Maar dan moet je mijn standpunt ook snappen.
Klik om te vergroten...
Als ik 100€ kreeg voor elk hoog opgeleide persoon die geen klote met zijn computer kan werken kon ik al op pensioen in die paar jaar dat ik it helpdesk heb gedaan...

Hoog opgeleide cto van groot Belgisch bedrijf vraagt phishing campagne, maar trapt er zelf in.

Hoog opgeleide electro mechanica ingenieur die steen en been klaagt dat zijn telefoon niet meer werkt.
Stekker steekt niet in.

Hoog opgeleide persoNEN die hun wachtwoord vergeten

Geef mij dan maar de gemiddelde Sonja of Eddy die zeggen "ik blijf er af, ik ken er nix van dus ik vraag het liever" dan de gemiddelde hoog opgeleide die "het wel weet".
 
Passwoord vergeten = er geen kloten van kennen :laugh:

Zo moeilijk dat het door de retard der retards in indie gereset mag worden.
 
Loser zei:
Daar kan ik zeker nog in meegaan, net als in de post van @zarathustra , dat er mensen zijn die er meer van kennen, laat die dan hun werk doen. Waar ìk een probleem mee heb, is dat die dingen gebeuren van bovenaf zonder overleg, waarbij die mensen die er meer van kennen op voorhand al aan handen en voeten geboeid worden door een bureaucratie die er ook niks van kent, maar gewoon denkt "alles dicht = veilig".

Alles moet lokaal weg, oké. Dan moet er ook een alternatief archief zijn. Alles blind dichtspijkeren zonder te kijken naar de beste balans tussen veiligheid en werkbaarheid is ook nutteloos. Enfin, nutteloos: dat mag best, maar daar zal de productiviteit (zwaar) onder te leiden hebben. En dat ga ik dan als werknemer moeten goedmaken, want de persoon die naar de veiligheid kijkt, is een andere dan de manager die naar de productie kijkt.

Ik snap dat een bedrijf niet zomaar overal admintoegang kan geven, maar van de andere kant: dat gaat al 15 jaar goed. Waarom zou dat ineens niet meer goed gaan? Zeker als je ziet dat veel van de "beveiligingen" twijfelachtig zijn: Is het zo veel veiliger om alles in de cloud te zetten dan verdeeld over lokale machines? Bwa :)

Kan toch gewoon dat zowel Mac en ik als jij en Zara gelijk hebben: IT-beveiliging is belangrijk, en veel van die stappen zijn nodig. Maar niet alle stappen zijn altijd logisch of een zo goed mogelijke implementatie.
Klik om te vergroten...
Het ging bij stad Antwerpen ook al jaren goed. Tot ze gehacked werden eind 2022.
Maanden later waren de musea en andere diensten nog altijd gratis omdat het betaalsysteem nog steeds niet werkende was.
En het lag hier niet aan de Jos die niets van IT kent maar aan iemand die dacht dat hij wel beter wist
 
Loser zei:
Ik snap dat een bedrijf niet zomaar overal admintoegang kan geven, maar van de andere kant: dat gaat al 15 jaar goed. Waarom zou dat ineens niet meer goed gaan?
Klik om te vergroten...
Ik vind dit een hallucinant toondove uitspraak, met als bewijs de vele high profile hacks en de gevolgen ervan de afgelopen 15 jaar, om nog niet te spreken over degenen die het grote publiek niet kent.

Dit is zoals zeggen "ik drink en rij al 15 jaar, en ik heb nog nooit een ongeval gehad, dus het zal wel ok zijn", maar er komen steeds meer en snellere auto's.
De toevoeging is nog dat de andere bestuurders u doelbewust willen aanrijden.



nixie zei:
Het ging bij stad Antwerpen ook al jaren goed. Tot ze gehacked werden eind 2022.
Maanden later waren de musea en andere diensten nog altijd gratis omdat het betaalsysteem nog steeds niet werkende was.
En het lag hier niet aan de Jos die niets van IT kent maar aan iemand die dacht dat hij wel beter wist
Klik om te vergroten...
Dit dus

Cattadelic zei:
We leven in een heel andere wereld dan 15 jaar geleden. Er zijn gewoon teveel risico's die afgedekt moeten worden en waarvan een eindgebruiker totaal geen besef heeft.
Klik om te vergroten...
+ dit ook
 
Laatst bewerkt:
Lint zei:
Ik vind dit een hallucinant toondove uitspraak, met als bewijs de vele high profile hacks en de gevolgen ervan de afgelopen 15 jaar, om nog niet te spreken over degenen die het grote publiek niet kent.

Dit is zoals zeggen "ik drink en rij al 15 jaar, en ik heb nog nooit een ongeval gehad, dus het zal wel ok zijn", maar er komen steeds meer en snellere auto's.
De toevoeging is nog dat de andere bestuurders u doelbewust willen aanrijden.
Klik om te vergroten...
Ja, hoor. Natuurlijk alleen maar als je 90% van mijn post negeert en ervan uitgaat dat jouw werksituatie ook past bij mijn werksituatie.
Ook als reactie op de anderen. Wat er dus duidelijk in stond, was dat ik het goed begrijp dat adminaccounts niet nodig zijn. Maar het punt was "laat de IT'ers hun werk doen", en dat was mijn punt dus ook: want vaak zijn het niét de IT'ers die er iets van kennen die de grote lijnen uitzetten van de beveiliging, en bij ons al zeker niet de IT'ers die ook onze specifieke noden kennen. Zie ook de post van @Padawansie.

Dus dan kan iedereen hierin gelijk hebben: Nee, een adminaccount aan iedereen geven is geen goeie beveiliging. Maar een slechte implementatie van een goeie beveiliging kan ook zo veel problemen in je productie geven, dat het nettoresultaat niet veel beter is. "Als het goed gebeurt" staat hier vaak. En daar ben ik het mee eens. Het punt is net dat het bij mij -en ik neem aan bij mac- niét goed gebeurt.

Daarnaast is het echt niet zo dat sommige oplossingen sowieso beter zijn omdat ze in handen zijn van IT'ers in plaats van "mensen die er niks van weten". Ik ken er niet al te veel van, maar dat zorgt er dus wel voor dat ik dingen niét doe waar ik niet zeker van ben. Het zal het eerste Hoofd van IT niet zijn die op een phishingmailtje klikt. En als alles in de cloud staat, is dat per definitie zo veel veiliger als dat een deeltje op mijn HD staat hier in de kast? Ik durf daaraan te twijfelen, ja.

Het ging hier over blind dichtspijkeren van àlles, ongeacht de specifieke noden van een (hoofdzakelijk) thuiswerkbedrijf, hè. Als je daarmee de productie maar genoeg lam legt, hoef je helemaal niet gehackt te worden om failliet te gaan.
 
Laatst bewerkt:
nixie zei:
Het ging bij stad Antwerpen ook al jaren goed. Tot ze gehacked werden eind 2022.
Maanden later waren de musea en andere diensten nog altijd gratis omdat het betaalsysteem nog steeds niet werkende was.
En het lag hier niet aan de Jos die niets van IT kent maar aan iemand die dacht dat hij wel beter wist
Klik om te vergroten...
Weten ze nu eigenlijk wat de exacte oorzaak was? IT-beleid was niet goed dat werd wel gecommuniceerd, maar tenzij ik me vergis is er toch nooit in de media verschenen hoe het nu exact kwam.
 
shellshock zei:
Weten ze nu eigenlijk wat de exacte oorzaak was? IT-beleid was niet goed dat werd wel gecommuniceerd, maar tenzij ik me vergis is er toch nooit in de media verschenen hoe het nu exact kwam.
Klik om te vergroten...
Ik weet ongeveer wat er gebeurd is. Ga en mag het hier niet delen. Het was vermijdbaar maar stenen gooien is al te makkelijk, IT is complex, zeker in lokale besturen met hun duizenden taken en systeempjes die daarvoor nodig zijn, en de meest onnozele fout of vergeetachtigheid kan al dit soort gevolgen hebben.

Hier hebben we ons boeltje wel op orde maar ik durf er mijn hand niet voor in het vuur steken dat dit bij ons niet kan voorvallen, ze geraken overal binnen.
 
MisterV zei:
Ik weet ongeveer wat er gebeurd is. Ga en mag het hier niet delen. Het was vermijdbaar maar stenen gooien is al te makkelijk, IT is complex, zeker in lokale besturen met hun duizenden taken en systeempjes die daarvoor nodig zijn, en de meest onnozele fout of vergeetachtigheid kan al dit soort gevolgen hebben.

Hier hebben we ons boeltje wel op orde maar ik durf er mijn hand niet voor in het vuur steken dat dit bij ons niet kan voorvallen, ze geraken overal binnen.
Klik om te vergroten...
Je laat hier nu toch een uitgelezen kans liggen om 'ik zeg het lekker niet' én deze meme te gebruiken!

tv25s.jpg
 
Probleem is dat alles steeds meer verzuipt in rechten en regeltjes met al dan niet bijhorende administratie.

Aan de ene kant is het nodig ja.
Aan de andere kant wordt het het uitvoerend personeel, dat al alle shit over zich heen krijgt, nog moeilijker gemaakt.

En dan een random manager: "waarom wordt er nu zo traag gewerkt?"
 
Oldskooler zei:
Probleem is dat alles steeds meer verzuipt in rechten en regeltjes met al dan niet bijhorende administratie.

Aan de ene kant is het nodig ja.
Aan de andere kant wordt het het uitvoerend personeel, dat al alle shit over zich heen krijgt, nog moeilijker gemaakt.

En dan een random manager: "waarom wordt er nu zo traag gewerkt?"
Klik om te vergroten...

Exact. Dit is eigenlijk de essentie van mijn post.
 
Ik word stilaan wel wat gek van al die veiligheidseisen. Ik heb al een microsoft authenticator met 9 accounts. Nu kreeg ik vorige week een nieuwe log-in…ah kan alleen met netIQ authenticator. Dus naast de app, en dan al die 2FA’s die via sms of mail gaan, nu nog een tweede app erbij.
Verder wachtwoorden die minstens 15 tekens moeten zijn, om de 2 maand moeten veranderen en nooit hetzelfde als een oud paswoord mogen zijn. Mail van het werk om iets aan de VPN te veranderen. Gelukkig ben ik al slimmer en behandel ik die pas na een paar weken. En jawel hoor, collega had het aangepast en kon niet meer op de VPN. Halve dag verkloot met de junior IT-profielen van de helpdesk die het dan toch moeten escaleren naar de mannen met ervaring.

Ik ben geen IT’er. Mijn loonkost per uur is best hoog. Ik rendeer het best wanneer ik het werk doe waar ik in gespecialiseerd ben, niet wanneer ik IT-shit probeer uit te klaren.
 
Ik begin mij stilaan een oude mens te voelen.
Het verandert mij tegenwoordig te snel qua updates.. nieuwe Teams, nieuwe Outlook, nieuwe Windows, OneDrive dit, sharepoint dat .. paswoorden in Keeper hier, 2FA daar, SSO dit dat……

Het is allemaal heel mooi en het lijkt ook allemaal geconnecteerd te zijn, maar soms zie ik door de bomen het bos niet meer met heel het 365 gedoe en alles maar willen integreren in duuzd teamsgroepen. :angry:

Altijd wel best tech savvy geweest, maar het is toch niet meer wat het geweest is en ik ben ocharme nog maar 35 :p
 
Je moet ingelogd zijn om te kunnen reageren. Aanmelden | Registreren

Vergelijkbare onderwerpen

Vega
Cybersecurity op kantoor - toegang tot PC's/laptops door 1 beheerder?
Reacties
17
Weergaven
1K
sniper80
sniper80
H
USB-C dock voor Surface laptop 4 (Ryzen 5)
Reacties
4
Weergaven
304
zephir
Z
Squidward
  • Artikel
Review: Assetto Corsa Competizione + Nürburgring Pack DLC
Reacties
0
Weergaven
305
Squidward
Squidward
Sir. K
  • Artikel
BeyondGaming @ FACTS Spring Edition 2023
Reacties
0
Weergaven
639
Sir. K
Sir. K
Killjoy
  • Artikel
Review: Ghostrunner
Reacties
0
Weergaven
999
Killjoy
Killjoy
Terug
Bovenaan