Werk Adminrechten op laptops en IT-veiligheid

[Pompi]

om op BG nog een topic tegen te komen dat pleit voor local adminrechten voor eindgebruikers.
Absurd.

ivm met de "ik betaal geen VAA als ik enkel hln.be kan openen ze"
Da's niet IT dat dat bepaalde he, da's de staat. Als gij over de middag hln opent op u bedrijfslaptop dan is dan een persoonlijk voordeel en betaal je daar VAA op.

Net zoals je op je auto VAA betaald, en daar ook geen wrap, spoiler of chiptuning mag uitvoeren moet je VAA nog altijd betalen op een laptop ook al heb je er niet alle vrijheid op.

@Falc die bij een klant komt en niet het nodige kan doen.
Schuld van de business, deftige procedures en voorbereid bij je klant komen.
Desalniettemin, bellen ze mij op zoeen moment dan probeer ik ook wel even te helpen al is dat in het weekend.
Wij hebben ook een BU die bedrijven laat lam leggen om updates uit te voeren en daarvoor een héél specifiek window voor krijgt met giga-boetes als ze daar buiten komen.
Die mannen komen 100% voorbereid aan den aftrap.
Maar dan moete het u ook wel aantrekken, die procedures komen niet uit de lucht gevallen en wij hebben als IT daar véél chance dat ze


Op meetings hang ik ook vaak aan de rem omdat ik wel een heel goed idee heb wat onze verschillende business units nodig hebben en hoe sommige zaken effect kunnen hebben op hen.
Maar geen local admin en MFA zijn toch wel absolute basis.

Ik kan ook wel garanderen dat er bij ons nooit iets weken zal liggen wachten.
Of we lossen het op, of we zeggen dat ge een ander oplossing moogt zoeken

 

[Michel Drets]

om op BG nog een topic tegen te komen dat pleit voor local adminrechten voor eindgebruikers.

Dat is dan ook de reden dat er zoveel tegenkanting is van productie. IT die denken dat productie niets nodig heeft.

Zoals Falc zegt: wel continue heeft een gebruiker zaken nodig die zijn afgeschermd.

Edit: Voorbeeld van deze week: Oude nikobus installatie gaat kapot (dus het licht gaat niet meer aan in bepaalde lokalen) veel geluk om zo iets te regelen met IT op korte termijn .

Die oude software, driver voor rs232 omvormer ... Allemaal niet stabiel, soms is gewoon deinstalleren en opnieuw installeren etc...

En dat allemaal voor een nieuwe component in te kunnen bouwen zodat die eindgebruiker terug licht heeft.

Of we lossen het op, of we zeggen dat ge een ander oplossing moogt zoeken

Doe ik ook, ik koop gewoon devices zelf aan .
Komt veel goedkoper uit ook, als je alles via IT regelt moet je een maandelijkse fee betalen voor alles. Koop je het zelf aan, geen fee en full admin.

Tegenwoordig met office 365 en MFA kan je toch bijna alles doen wat je nodig hebt.

Dan een hoop gezaag van IT als ze is op bezoek komen waarom niemand hun zaken gebruikt (en ze dus ook minder geld krijgen, want zij moeten als service ook winst maken natuurlijk)

 

[Edrek]

Ik werk bij een bank (en ben ook IT'er), dus bij ons is veiligheid zeer belangrijk.

Als je denkt door een update uit te voeren van VLC je geen hackers kan binnen laten, dan weet je duidelijk niet waarover je praat.

 

[Pompi]

Dat is dan ook de reden dat er zoveel tegenkanting is van productie. IT die denken dat productie niets nodig heeft.

Zoals Falc zegt: wel continue heeft een gebruiker zaken nodig die zijn afgeschermd.

Edit: Voorbeeld van deze week: Oude nikobus installatie gaat kapot (dus het licht gaat niet meer aan in bepaalde lokalen) veel geluk om zo iets te regelen met IT op korte termijn .

Die oude software, driver voor rs232 omvormer ... Allemaal niet stabiel, soms is gewoon deinstalleren en opnieuw installeren etc...

En dat allemaal voor een nieuwe component in te kunnen bouwen zodat die eindgebruiker terug licht heeft.



Doe ik ook, ik koop gewoon devices zelf aan .
Komt veel goedkoper uit ook, als je alles via IT regelt moet je een maandelijkse fee betalen voor alles. Koop je het zelf aan, geen fee en full admin.

Tegenwoordig met office 365 en MFA kan je toch bijna alles doen wat je nodig hebt.

Dan een hoop gezaag van IT als ze is op bezoek komen waarom niemand hun zaken gebruikt (en ze dus ook minder geld krijgen, want zij moeten als service ook winst maken natuurlijk)

Wij moeten als service geen winst draaien, onze kost moet wel betaald worden uiteraard.
En een device dat je zelf zou aankopen bij ons is leuk voor jou maar komt niet op het intern netwerk.

Nu an sich een probleem als het jouwe word bij ons de dag zelf opgelost.
En als die persoon belt met "dit is het issue, dit is de oplossing, assisteer mij even met de installatie" dan is dat een kwartiertje kost.
Als die belt met "het werkt niet zoekt het is uit en laat het mij weten" ja dan komt er een kost van 3h omdat wij ook alles moeten uitzoeken en dat kost ons nu eenmaal tijd.

Wij krijgen ook vragen rond kosten, maar wij zijn daar echt niet unfair in.
Je moet gewoon realistisch zijn:
Vorige week heeft een collega mij 30minuten vragen liggen stellen over Yellowbrick en 4411 ; zaken die ik gewoon aan het googlen was terwijl hij ze stelde.
Ja dan moeten ze mijnen tijd betalen he ja.. ik heb die ook gespendeerd.

Ik begrijp ook echt dat je als business geen 2 weken kan wachten op IT, vanaf je in zoeen spiraal wegzakt scoor je slecht op customer satisfaction en krijg je van die toestanden waar mensen liever rond IT werken dan met IT werken.

 

[Avi]

Je zou ervan verschieten hoeveel senior profielen er toehappen op een eenvoudige pentest via e-mail.
Altijd een genante lijst dat overzicht aan het einde van de maand.

 

[coldvinc]

Je zou ervan verschieten hoeveel senior profielen er toehappen op een eenvoudige pentest via e-mail.
Altijd een genante lijst dat overzicht aan het einde van de maand.

Dit Recent nog gehoord van CISO dat een van hun security officer in de phishing mail van de pentesters was getrapt.

 

[nixie]

Wij moeten als service geen winst draaien, onze kost moet wel betaald worden uiteraard.
En een device dat je zelf zou aankopen bij ons is leuk voor jou maar komt niet op het intern netwerk.

Nu an sich een probleem als het jouwe word bij ons de dag zelf opgelost.
En als die persoon belt met "dit is het issue, dit is de oplossing, assisteer mij even met de installatie" dan is dat een kwartiertje kost.
Als die belt met "het werkt niet zoekt het is uit en laat het mij weten" ja dan komt er een kost van 3h omdat wij ook alles moeten uitzoeken en dat kost ons nu eenmaal tijd.

Wij krijgen ook vragen rond kosten, maar wij zijn daar echt niet unfair in.
Je moet gewoon realistisch zijn:
Vorige week heeft een collega mij 30minuten vragen liggen stellen over Yellowbrick en 4411 ; zaken die ik gewoon aan het googlen was terwijl hij ze stelde.
Ja dan moeten ze mijnen tijd betalen he ja.. ik heb die ook gespendeerd.

Ik begrijp ook echt dat je als business geen 2 weken kan wachten op IT, vanaf je in zoeen spiraal wegzakt scoor je slecht op customer satisfaction en krijg je van die toestanden waar mensen liever rond IT werken dan met IT werken.

Dat is onze natte droom. Dat elke dienst zijn eigen budget heeft om gerief aan te kopen (bij ons) en om support te betalen. Want nu wordt er heel veel gewoon doorgestuurd naar ons zonder dat we op voorhand betrokken zijn

 

[Hoffman]

Je zou ervan verschieten hoeveel senior profielen er toehappen op een eenvoudige pentest via e-mail.
Altijd een genante lijst dat overzicht aan het einde van de maand.

Idd zijn de eersten die eraan hangen bij de zoveelste phishing test die uitgestuurd word.
En de techniekers op de baan die heel de dag putten graven die bellen me dan wel op om te vragen of hun mailtje wel koosjer is

 

[ThekillingGoku]

Wij moeten als service geen winst draaien, onze kost moet wel betaald worden uiteraard.
En een device dat je zelf zou aankopen bij ons is leuk voor jou maar komt niet op het intern netwerk.

Nu an sich een probleem als het jouwe word bij ons de dag zelf opgelost.
En als die persoon belt met "dit is het issue, dit is de oplossing, assisteer mij even met de installatie" dan is dat een kwartiertje kost.
Als die belt met "het werkt niet zoekt het is uit en laat het mij weten" ja dan komt er een kost van 3h omdat wij ook alles moeten uitzoeken en dat kost ons nu eenmaal tijd.

Wij krijgen ook vragen rond kosten, maar wij zijn daar echt niet unfair in.
Je moet gewoon realistisch zijn:
Vorige week heeft een collega mij 30minuten vragen liggen stellen over Yellowbrick en 4411 ; zaken die ik gewoon aan het googlen was terwijl hij ze stelde.
Ja dan moeten ze mijnen tijd betalen he ja.. ik heb die ook gespendeerd.

Ik begrijp ook echt dat je als business geen 2 weken kan wachten op IT, vanaf je in zoeen spiraal wegzakt scoor je slecht op customer satisfaction en krijg je van die toestanden waar mensen liever rond IT werken dan met IT werken.

Zoals eerder aangehaald, bij ons is het voornamelijk DEV (en 'k denk ook de infrastructuur gasten) die echt local admin hebben.
Da's niet elke dag nodig om nieuwe software te installeren, sure. Maar er is zoveel wat ze doen waar allerhande admin permissions gewoon van doen zijn.

Random klant A die ineens af komt met whatever VPN oplossing om met hun domein te verbinden is ne klassieker.
Maar 't gaat verder, van VS die als admin moet draaien om vanalles en nog wat te doen tot ineens XYZ nodig hebben voor een ontwikkeling specifiek voor een of ander project.
PowerShell die connecteert naar een of andere applicatie die een add-in van doen heeft? Run as admin again.

In vele gevallen hebben we software nodig die project specifiek is, waar infra voor gene meter verstand van heeft, mss zelfs nog nooit van gehoord heeft. Ineens een klant die een Linux Docker environment vraagt? Ale dan, WSL in gang krijgen op de laptop, etc. Geen kat op infra die weet waarover je begint als je daar mee af komt.

Heck, soms weten we 't zelf ook niet eens & is het een R&D traject om uit te zoeken hoe we een integratie moeten teweeg brengen met XYZ.

Er zijn wel policies. Je zal geen torrent client geïnstalleerd krijgen bv. Dus ergens is er automated security dat ervoor zorgt dat je die machines niet écht als eigen laptop kunt behandelen.
Maar 't is niet dat we om de 5 botten naar infra moeten om daar een nummertje te trekken om dan een paar weken later de noodzakelijke taken uitgevoerd te kunnen zien. Dat zou trouwens ook niet werkbaar zijn.

 

[Pompi]

Zoals eerder aangehaald, bij ons is het voornamelijk DEV (en 'k denk ook de infrastructuur gasten) die echt local admin hebben.
Da's niet elke dag nodig om nieuwe software te installeren, sure. Maar er is zoveel wat ze doen waar allerhande admin permissions gewoon van doen zijn.

Random klant A die ineens af komt met whatever VPN oplossing om met hun domein te verbinden is ne klassieker.
Maar 't gaat verder, van VS die als admin moet draaien om vanalles en nog wat te doen tot ineens XYZ nodig hebben voor een ontwikkeling specifiek voor een of ander project.
PowerShell die connecteert naar een of andere applicatie die een add-in van doen heeft? Run as admin again.

In vele gevallen hebben we software nodig die project specifiek is, waar infra voor gene meter verstand van heeft, mss zelfs nog nooit van gehoord heeft. Ineens een klant die een Linux Docker environment vraagt? Ale dan, WSL in gang krijgen op de laptop, etc. Geen kat op infra die weet waarover je begint als je daar mee af komt.

Heck, soms weten we 't zelf ook niet eens & is het een R&D traject om uit te zoeken hoe we een integratie moeten teweeg brengen met XYZ.

Er zijn wel policies. Je zal geen torrent client geïnstalleerd krijgen bv. Dus ergens is er automated security dat ervoor zorgt dat je die machines niet écht als eigen laptop kunt behandelen.
Maar 't is niet dat we om de 5 botten naar infra moeten om daar een nummertje te trekken om dan een paar weken later de noodzakelijke taken uitgevoerd te kunnen zien. Dat zou trouwens ook niet werkbaar zijn.

Er zijn ook users met local admin bij ons he!
maar dat zijn idd software engineers en dev's die gewoon niet zonder kunnen.
Die hebben ook hun eigen system engineer op de afdeling en hun eigen dataroom met servers voor hun klanten.

Die zijn dan ook wel echt capabel.
Maar dat zijn de 20 uitzonderingen op een bedrijf van 1000 werknemers.

Of de engineers die GBS bij een klant moeten beheren, die hebben ook de "network configuration operators" rol, zodat die hun IP kunnen aanpassen.

'tis natuurlijk in het verhaal van macBC zijn "ik moet VLC updaten dus ik moet local admin zijn"
neeje.

 

[ViperHD]

Hier bij ons (grote multinational) toch ook niemand Admin rechten. Enkel bij uitzonderlijke gevallen kan dat wel eens dat IT iemand tijdelijk admin rechten geeft om iets te fixen.

Verklaar me trouwens zot: maar zelfs hier thuis hebben mijn vrouw en kinderen geen admin rechten op hun computers. En ze vinden dat eigenlijk niet eens slecht want ze weten dan ook dat ze (moeilijk) iets om zeep kunnen helpen.

 

[Mantis]

Daarnaast heb je ook wel heel veel bedrijven die hun eigen devices mooi dicht timmeren maar daarnaast geen deftige access policy hebben op hun cloud/MS365 omgeving. Conditional access policies + (phish-resistant) MFA zijn het nieuwe local admin rechten weg nemen

 

[ThekillingGoku]

Daarnaast heb je ook wel heel veel bedrijven die hun eigen devices mooi dicht timmeren maar daarnaast geen deftige access policy hebben op hun cloud/MS365 omgeving. Conditional access policies + (phish-resistant) MFA zijn het nieuwe local admin rechten weg nemen

Oh zwijg me daarover. We hebben zo enkele klanten waar het een totale soep is.

SECURITY! SECURITY! SECURITY GESTAPO!

Alles zoveel mogelijk dicht draaien, slechts enkele mensen die überhaupt iets kunnen ... die dan de bottleneck zijn.
En er gaan zo maanden over den opzet van iets dat in ons eigen Azure tenant op nog geen dag opgezet was (de DEVs hebben hun persoonlijk MSDN account waar men elke maand een goei 145 EUR krijgt of zoiets).

Maar da's dan pretty much 'deployment'. Niet zo zeer 'development' meer.
Tush kan men het niet meer op ons steken dat het na 3 maand nog steeds ni gedeployed is omdat er nog steeds niemand aan kan (zelfs niet voor CI/CD gewoon al op te zetten) & de nodige permissies nog steeds niet geregeld zijn, etc.

't Is wat 't zelfste liedje met die push om overal 'persoonlijke accounts' te bezigen. Men wil geen generieke accounts meer, maar men wil ook geen licenties voorzien voor de individuele users. En als het dat niet is duurt het 2 maand om een nieuwe user te krijgen. Dus gevolg is dat er regelmatig persoonlijke users 'gedeeld' worden met 'tijdelijke' teamleden.
Totaal belachelijk.

But again ... da's een issue dat in onze nek terecht komt van de klanten uit & wss een beetje off-topic hier.

 

[parabellum]

Ik zou proberen te becijferen wat het de kostprijs van het productiviteitsverlies is, en wijzen op het bestaan van SSO oplossingen. Als het productiviteitsverlies echt zo groot is zal een fatsoenlijk management wel vragen of er kan berekend worden wat SSO kost voor het bedrijf, en kan de afweging gemaakt worden. Geen succes gegarandeerd, maar door het nergens aan te kaarten gaat het niet opgelost worden. Door er cijfers op te plakken gaan ze het rapper serieus nemen. Of ga je zelf ontdekken dat het toch niet zo'n groot probleem is, maar daar heb je nu waarschijnlijk geen boodschap aan.

De context is een (echt kleine) KMO waar IT outsourced is naar een grote West-Vlaamse speler.
Alles van IT is dus eigenlijk een lijdensweg. In principe is er een procedure als er een nieuwe laptop/desktop moet geïnstalleerd worden (rechten/programma's/etc). In de praktijk is dat dan ééns per jaar dat er een junior tot bij ons moet rijden voor een installatie, en elk jaar draait het in de soep. Zelfde met migraties, zelfde met VPN, etc.

Ik snap niet hoe dat allemaal zo moeilijk kan zijn. Een dozijn machines met dezelfde set-up. Wat gedeelde netwerkschijven. Een VPN om van thuis uit te werken. Hangt denk ik ook mijn bazen hun voeten uit maar niemand heeft zin en tijd om een nieuwe leverancier te gaan zoeken en een migratie te organiseren.

 

[Five-seveN]

Ik heb ook wel wat verhalen:

IT die admin rechten wegneemt. Ik sta bij een klant en moest connecteren naar een PLC. Kon mijn ip adress niet veranderen of in vmware de netwerkkaart niet meer koppelen (vereist admin rechten). Kon terug naar kantoor ...

Je vergeet erbij te vertellen of de IT dat al gecommuniceerd had dat je admin rechten zouden vervallen. Nu moeten we aannemen alsof zij stiekem, onaangekondigd, de nacht voor je naar die klant moest, je admin rechten hadden afgenomen. Meestal is het niet zo, meestal wordt dat gecommuniceerd en dan interesseert het niemand iets, men controleert niks of bereid niks voor tot ze ineens bij een klant staan en niks kunnen doen, dan is de ICT de grote debiele schuldige. In dat geval valt dit onder "Ik ben hier bij een klant om een PLC flashen maar mijn nieuwe laptop van vorige maand heeft geen netwerkpoort! ICT dienst is weer goed bezig!!"... euh ja, laat dan iets weten op voorhand eh.

Nu moet ik wel toegeven, en dat is dan mijn grote ergernis, dat het aantal communicatiekanalen tegenwoordig zo groot geworden is dat je eigenlijk niks meer leest of kan terugvinden. Als de ICT ergens op de zoveelste Yammer/Teams/Mail/Nieuwsbrief/Sharepoint/Intranet... gezet heeft dat vanaf 1 maart de admin rechten afgenomen worden, dan snap ik wel als dat fout loopt. Dat is een pest geworden niet normaal.

 

[Falc]

Ik had op voorhand al gewaarschuwd dat dit een issue zou zijn maar er is niet geluisterd

 

[zarathustra]

Over die OneDrive nog iets leuk meegemaakt.
Werknemer die als op OneDrive zet, deelt met collega’s en dan de werkgever verlaat. Na x aantal weken wordt de account verwijdert. Alle data op OneDrive weg

Breng dat terug van backup? Als je geen backup had dan was de data niet belangrijk

 

[Five-seveN]

Breng dat terug van backup? Als je geen backup had dan was de data niet belangrijk

Dat is het punt juist, volgens de ICT policy is data dat iemand op zijn persoonlijke laptop staan heeft niet belangrijk en is ook duidelijk gecommuniceerd dat dat niet gebackupped wordt. Maar als de werknemers die data daar toch op zetten en beginnen sharen via onedrive links naar elkaar, dan volgen ze de ICT policy's dus niet. Heb dat zelf ook al meermaals zien gebeuren. Je probeert dan goed te doen door onedrive te activeren voor als iemand zijn laptop zou kapot gaan en ze TOCH weer iets belangrijks lokaal bewaard hadden, dat je het nog kan terughalen, maar het eindresultaat is dan het omgekeerde, werknemer dat vertrekt en men na een tijd ineens beseft dat die mens zijn werk niet op de juiste plaats bewaard had. En dan is de vraag wie is verantwoordelijk om zoiets te controleren op het moment dat die mens vertrekt: de mensen van HR, zijn direct leidinggevende, of de ICT dienst.

Op den duur kent men het verschil niet meer tussen een bestand dat op sharepoint staat maar gesynced is via onedrive, en een bestand dat op uw PC staat maar gebackupped is via onedrive... het ziet er allemaal hetzelfde uit. Om nog te zwijgen van netwerkfolders. En als je op een netwerkfolder een bestand aanpast is dat niet Auto-Save, maar bij sharepoint/onedrive wel, behalve danweer als het een .doc bestand is in plaats van .docx, dan zijn weer ineens al hun aanpassingen "kwijt" en moeten we "in de backup" de laatste versie gaan zoeken (wat natuurlijk niet kan want die mens had nooit op Save gedrukt). En trainingen krijgen de mensen daar meestal ook niet over, en zelfs als die er zijn er is niemand die dat een fuck interesseert, zoals deze thread al aanhaalt "is niet mijn talent, is niet mijn job".

En zo blijft de wereld draaien en blijft iedereen werk hebben.

 

[zarathustra]

Dat is het punt juist, volgens de ICT policy is data dat iemand op zijn persoonlijke laptop staan heeft niet belangrijk en is ook duidelijk gecommuniceerd dat dat niet gebackupped wordt. Maar als de werknemers die data daar toch op zetten en beginnen sharen via onedrive links naar elkaar, dan volgen ze de ICT policy's dus niet. Heb dat zelf ook al meermaals zien gebeuren. Je probeert dan goed te doen door onedrive te activeren voor als iemand zijn laptop zou kapot gaan en ze TOCH weer iets belangrijks lokaal bewaard hadden, dat je het nog kan terughalen, maar het eindresultaat is dan het omgekeerde, werknemer dat vertrekt en men na een tijd ineens beseft dat die mens zijn werk niet op de juiste plaats bewaard had. En dan is de vraag wie is verantwoordelijk om zoiets te controleren op het moment dat die mens vertrekt: de mensen van HR, zijn direct leidinggevende, of de ICT dienst.

Op den duur kent men het verschil niet meer tussen een bestand dat op sharepoint staat maar gesynced is via onedrive, en een bestand dat op uw PC staat maar gebackupped is via onedrive... het ziet er allemaal hetzelfde uit. Om nog te zwijgen van netwerkfolders. En als je op een netwerkfolder een bestand aanpast is dat niet Auto-Save, maar bij sharepoint/onedrive wel, behalve danweer als het een .doc bestand is in plaats van .docx, dan zijn weer ineens al hun aanpassingen "kwijt" en moeten we "in de backup" de laatste versie gaan zoeken (wat natuurlijk niet kan want die mens had nooit op Save gedrukt). En trainingen krijgen de mensen daar meestal ook niet over, en zelfs als die er zijn er is niemand die dat een fuck interesseert, zoals deze thread al aanhaalt "is niet mijn talent, is niet mijn job".

En zo blijft de wereld draaien en blijft iedereen werk hebben.

Mja, maar als je dan toch al backup gaat nemen van sharepoint kan je evengoed backup nemen van onedrive, dat is bij de (meeste grote) vendors toch dezelfde licensie. Dat beetje extra data is niet de grote kost.

En een IT dienst die er vanuit gaat dat mensen geen zaken gaan opslaan op hun "persoonlijke" onedrive share is ook niet echt goed bezig natuurlijk. Als je het niet onmogelijk maakt gaat men het doen. Net zoals je backup moet nemen van exchange online en teams want er worden genoeg zaken gedeeld of gezegd die "woops enkel in die mail of in dat channel staan"

Ik spreek dan ook vooral over gevallen zoals inderdaad persoon X is het afgebold en iets zat enkel in die zijn mailbox of op zijn share of weet ik veel wat. Maar goed je hebt nog genoeg types die vertrouwen op microsoft hun "backup" of vuilbak of hoe het ook heet.

 

[shiftyke]

Je zou ervan verschieten hoeveel senior profielen er toehappen op een eenvoudige pentest via e-mail.
Altijd een genante lijst dat overzicht aan het einde van de maand.

Wij sturen wekelijkse test phishing uit zowel intern als bij onze klanten en het resultaat is soms echt bedroevend.

We hebben ook sinds kort ook een MDR op de O365 omgevingen en wat die blokkeert van users die hun credentials op malafide sites invullen is waanzinnig.

Admin-rechten kunnen we helaas nog niet afnemen omdat we met beperkingen zitten vanuit de leverancier.