Gewoon fyi: in de NIST password guidelines wordt aangeraden om een paswoord niet frequent aan te passen.
Dit wel zo hard. Zoals dat meestal gaat kan dat allemaal niet naadloos samenwerken en krijg je zo een hoop gezever van apps en aparte wachtwoorden. Ook privé trouwens vind ik het echt belachelijk hoeveel logins ik nodig heb voor zaken waar dat vroeger niet relevant was. Natuurlijk valt dat allemaal te verklaren door veiligheid, maar ik heb ook de indruk dat ik vaak tijd verlies door allerhande marginale shit die niets met mijn werk te maken heeft.
Ook wat @Musk zegt: ik heb eigenlijk nog maar zelden een update gezien die een functionaliteit toevoegde die nuttig was. Dat gaat eerder om bestaande functionaliteiten nog eens te verbergen achter een of ander keuzemenu om dan wat grafische leuke dingen te pushen, terwijl ik geen 12-jarige ben en gewoon een droge interface wil die functioneel is. Ondertussen krijg je dan allerhande conflicten, want de laatste -verplichte- update heeft nog wat bugs.
Allez, simpel voorbeeld blijft voor mij toch Teams. Wat is het nut van het merendeel van die functionaliteiten? Ah een chat, ahja naar de "chat" gaan. Ondertussen een melding, meldingstab. Enz. Toch gewoon een trage zooi waar alles achter 5 knoppen zit. Ah je kan een team aanmaken voor het een of ander, ok. Ah dan kan je zo'n clunky file explorer openen die niet-intuïtief is. Ik zet gewoon meteen een shortcut naar file explorer zodat ik die sharepoint kan beheren zoals een gewone map, waarom zou ik ooit iets half-ass willen openen in Teams zelf als ik daarvoor een dedicated programma heb?
MisterV
Well-known member
Geloof mij, als IT'er erger ik mij daar ook steendood aan. Alles zit in abonnementsformules met interfaces die om de vijf botten veranderen en om de zoveel tijd een nieuw tooltje dat weer eens wat functionaliteit zonder toegevoegde waarde biedt. En wij moeten het dan allemaal gaan managen. Dan heb je altijd een paar idioten die denken dat dat ene tooltje al hun werk een pak vlotter gaat doen verlopen. Een paar jaar later schaffen ze dat tooltje dan weer af en is het drama, wordt er verwacht dat IT alles gaat migreren naar iets nieuw, alsof wij het gepruts van een user in één of ander tooltje zomaar kunnen omzetten naar wat anders.
Eerlijk gezegd, IT is gewoon niet leuk meer op die manier. Het is achter de feiten aanhollen en ofwel veel gezaag aanhoren of elders moeten gaan zagen. Ware het niet dat ik niet weet wat dan in de plaats te doen, ik was allang weg.
Ik begin mij stilaan een oude mens te voelen.
Het verandert mij tegenwoordig te snel qua updates.. nieuwe Teams, nieuwe Outlook, nieuwe Windows, OneDrive dit, sharepoint dat .. paswoorden in Keeper hier, 2FA daar, SSO dit dat……
Het is allemaal heel mooi en het lijkt ook allemaal geconnecteerd te zijn, maar soms zie ik door de bomen het bos niet meer met heel het 365 gedoe en alles maar willen integreren in duuzd teamsgroepen.
Altijd wel best tech savvy geweest, maar het is toch niet meer wat het geweest is en ik ben ocharme nog maar 35
En vooral, moest al die nieuwe Microsoft bucht nu eens een grote vooruitgang betekenen... Maar mijn sterke indruk is toch dat het veel cosmetische veranderingen zijn, allemaal oppervlakkig maar weinig of geen substantiële extra functionaliteit (of stabiliteit!)
Idem met MS Office dat al aan de zoveelste generatie toe is maar qua functionaliteit weinig extra te bieden heeft tegenover 10 iteraties geleden - maar intussen zijn zowat alle functies een paar keer van plaats veranderd in de menu's
Ik weet het maar daar is idd niet over gecommuniceerd,
Euhm waar slaat dit op. Ik ben min of meer akkoord met de rest van uw post. Wilt ge dat ik zinneke per zinneke ga quoten en zeggen "yes agreed
". Lijkt mij niet zo nuttig. Dus uiteraard reageer ik op het gedeelte dat ik compleet niet correct vind. En die statement van u staat best op zichzelf, en verandert imo niet in de context van de rest van uw post.Dus ik herhaal dat het hallucinant toondoof is om te zeggen "Ik snap dat een bedrijf niet zomaar overal admintoegang kan geven, maar van de andere kant: dat gaat al 15 jaar goed. Waarom zou dat ineens niet meer goed gaan?"
Om in te pikken op de rest van uw post: Uiteraard is het beter als "de zaken goed geïmplementeerd worden". maar dat doet niks af aan de toondoofheid van die uitspraak. Zelfs als we over slechte implementaties spreken, is het nog steeds onnozel om te zeggen "het gaat al 15 jaar goed, waarom nu niet meer". De hele wereld is rondom u compleet anders, en er zijn legio voorbeelden waar het niet goed ging. En dat zijn voorbeelden van zowel goede als slechte implementaties van safety regulations (meer slechte dan goede probably).
cege
Well-known member
zulke opmerkingen op de man zijn voor niks nodig
Als ze allemaal grote problemen als macbc hebben heelder dagen, ik zou mezelf ook in mijn bureau opsluiten.
Heel de voorbije IT-passages doen mij terugdenken aan de hel die het was om gedaan te krijgen dat wij de rechten kregen om de netwerkinstellingen van onze laptop te mogen aanpassen.
Om in te kunnen loggen op bepaalde gebouwbeheersystemen, die hun eigen (niet extern geconnecteerd) netwerk hebben.
Voorheen ging dat met een oude, toegegeven verder compleet onbeveiligde laptop, die alleen daarvoor diende en bvb niet eens op andere, normale netwerken kon (wat z´n eigen problemen had natuurlijk) maar die was compleet einde leven.
Die rechten toekennen ging dus alleen nog maar op account-basis en niet meer op een dedicated toestel. Om die afwijking van de policy gedaan te krijgen is dat dus heel de chain of command moeten gaan tot blijkbaar het schepencollege (lokale overheid he). Onze IT-contactpersoon snapte de bedoeling, zag de noodzaak ook in, zijn higher-ups ook maar niemand had dus de autoriteit (of ballen) om daar voor af te tekenen.
Ergens in die IT-keten zat dan ook nog een zijdelings weggepromoveerde ex-collega die niet kan verkroppen dat hij dat systeem niet meer mag beheren die wat heeft liggen moeilijk doen ook want "vroeger, toen ik dat, werkte dat toch ook gewoon".... ja, Jaak, vroeger wel ja. Met die ene overgebleven laptop achtergelaten door den Duits in 14-18 die met ducttape en dustbunnies aaneen hing en bovenal voor ze het systeem compleet hebben afgekoppeld van de buitenwereld omdat gij Jan en alleman en de koffiemadam het licht en de chauffage liet bedienen op structureel niveau omdat gij logins uitdeelde gelijk niknakskes met Sinterklaas ( true story, geen hyperbool)
Om in te kunnen loggen op bepaalde gebouwbeheersystemen, die hun eigen (niet extern geconnecteerd) netwerk hebben.
Voorheen ging dat met een oude, toegegeven verder compleet onbeveiligde laptop, die alleen daarvoor diende en bvb niet eens op andere, normale netwerken kon (wat z´n eigen problemen had natuurlijk) maar die was compleet einde leven.
Die rechten toekennen ging dus alleen nog maar op account-basis en niet meer op een dedicated toestel. Om die afwijking van de policy gedaan te krijgen is dat dus heel de chain of command moeten gaan tot blijkbaar het schepencollege (lokale overheid he). Onze IT-contactpersoon snapte de bedoeling, zag de noodzaak ook in, zijn higher-ups ook maar niemand had dus de autoriteit (of ballen) om daar voor af te tekenen.
Ergens in die IT-keten zat dan ook nog een zijdelings weggepromoveerde ex-collega die niet kan verkroppen dat hij dat systeem niet meer mag beheren die wat heeft liggen moeilijk doen ook want "vroeger, toen ik dat, werkte dat toch ook gewoon".... ja, Jaak, vroeger wel ja. Met die ene overgebleven laptop achtergelaten door den Duits in 14-18 die met ducttape en dustbunnies aaneen hing en bovenal voor ze het systeem compleet hebben afgekoppeld van de buitenwereld omdat gij Jan en alleman en de koffiemadam het licht en de chauffage liet bedienen op structureel niveau omdat gij logins uitdeelde gelijk niknakskes met Sinterklaas ( true story, geen hyperbool)
MisterV
Well-known member
Dat is ook maar omdat ze hun delegaties niet op orde hebben. IT-contactpersoon heeft groot gelijk van daar zelf geen beslissing in te nemen maar een lokaal bestuur kan dit perfect delegeren naar bvb. een algemeen directeur of een diensthoofd.
BigBear
Member
Geloof me, IT security is niet alleen een échte werkergernis, het is dé ergernis op mijn werk. Wij waren een KMO, overgenomen door een Noord-Amerikaans concern. Uiteraard worden we (langzaam) ook geïntegreerd in hun IT omgeving, wat voor gigantische frustraties zorgt bij al onze engineers. By default wordt alles toegezet, en als iemand iets nodig heeft, moet hij maar vragen om een gaatje te laten prikken. Het gevolg is dus dat er NIETS meer werkt en er ongelooflijk veel tijd verloren gaat aan deze zever. Er zijn engineers die niet meer naar kantoor komen omdat ze daar dus hun werk niet meer kunnen doen (geraken niet op het netwerk).
En om over local admin rechten verder te gaan. Al onze engineers hebben local admin rechten op hun laptop. Da's overigens ook zo bij de meeste andere bedrijven van het concern. Het concern ziet dat liever niet en hebben al aanzienlijk geïnvesteerd om daar iets op te vinden, maar daar zijn ze vooralsnog nog niet in geslaagd. Om maar aan te geven dat local admin rechten afnemen echt niet altijd kan. (Ik weet dat er nu wel iemand zijn vinger gaat opsteken en zeggen "jawel", maar geloof me: neen. Verder ga ik er niet op in)
Oh, en de frequentie waarmee we onze paswoorden moeten aanpassen? Elke 40 dagen....
Laatst bewerkt:
ThekillingGoku
Well-known member
Bij ons zijn ze er ook al eerder mee afgekomen en da's uiteindelijk ook niet gelukt. Ga al de redenen hier niet opsommen waarom, niet dat ik het nog allemaal weet 'off the top of my head' ook.
Maar 't is wel zo dat niet iederéén op 't bedrijf die rechten heeft.
't Is over 't algemeen enkel DEV dat écht local admin rechten heeft (& nodig heeft). Ook bij klanten waar ik in een of ander hoog-technisch team zat waren er uitzonderingen op de regel.
Ik zie het bij ons bv. in de meeste gevallen niet goed komen zonder local admin rechten voor de development taken.
Bij veel v/d collega's is dat wel anders natuurlijk. Analisten bv. bezigen slechts een beperkt aantal applicaties, waarvan sommige licensed, HR mensen ook, sales mensen ook, etc.
----
En ja, 'DEV VPC's' met admin rechten ... da's wat het ooit was & zijn ze van af gestapt. Zeker nu toch 90% v/d dingen cloud-first zijn, zijn er meestal geen dedicated DEV servers meer van doen om alle server stuff op te draaien om 'tegen' te ontwikkelen.
En uiteindelijk is iedereen daar wreed content om. Die dingen waren ontiegelijk, irritant traag.
OK, da's in eerste instantie een hardware verhaal, maar hardware is een kosten verhaal. En eenieder wat extra RAM steken in hun laptops, zorgen voor SSD'ke met iets van ruimte & een ietwat deftige processor is véél goedkoper natuurlijk.
Moesten we om te ontwikkelen de power krijgen die ik op sommige van m'n klanten hun productie servers zie zou dat wss wel een ander verhaal zijn, mor soit.
Nuja, gezien vrijwel alles cloud-first is is dat toch nog zoveel handiger dat je niet eerst nog ne VPN moet maken naar ergens om dan gewoon naar Azure te verbinden van op ne VPC.
Ik vind het hallucinant dat er blijkbaar nog bedrijven zijn die (tot recent) lokale admin rechten geven? Dat heb ik oprecht nergens meer gezien de afgelopen 15 jaar.
Probeer maar een deftig IT security beleid uit te voeren als uw gebruikers lokale admin rechten hebben. Geen wonder dat er om de haverklap bedrijven slachtoffer worden van ransomware.
Probeer maar een deftig IT security beleid uit te voeren als uw gebruikers lokale admin rechten hebben. Geen wonder dat er om de haverklap bedrijven slachtoffer worden van ransomware.
Ja, SaaS is allemaal leuk en wel, tot uw provider het roer omgooit en uw applicatie niet meer ondersteunt of tot ze de uw abonnementskost omhoog laten schieten. Het is gewoon veel om allemaal te managen. Ik weet niet of jullie VMWare gebruiken? Ben benieuwd wat dat nog gaat geven hier als blijkt dat dat niet meer te betalen wordt.
Over die admin rechten: client devices zitten echt wel bij de meest kwetsbare/risicovolle dingen in uw omgeving.
We zijn hier zelf slachtoffer van een hack geworden en thank god waren we toen onze XDR aan het uitrollen, dat heeft veel kunnen stoppen. Admin rechten waren toen ook nog geen probleem hier (van hogerhand opgelegd want 'vervelend' voor de gebruikers), had dat niet het geval geweest, dan had de impact nog een pak kleiner geweest.
Na dat voorval ook penetration tests laten doen. Kerel die ze deed wist te zeggen dat ze als ze local admin rechten hebben, ze 90% van de tijd ook domain admin kunnen worden.
't is maar om te zeggen dat IT dat ook niet voor zijn plezier toeschroeft.
Proto
Well-known member
Yikes mannekes, als ik hier al die frustraties lees over IT security zaken. Er gaat nog wat afkomen eens NIS2 in actie treedt hoor. Onvoorstelbaar dat goede maatregelen om het bedrijf en dus ook jullie job te beschermen op zoveel weerstand stuit. Ik heb het gevoel dat de meesten nog niet eens half beseffen in welke realiteit ze leven op vlak van IT security kwetsbaarheden. Zelfs met alle maatregelen ben je vaak nog een vogel voor de kat als IT security team tegenover cybercriminaliteit.
Sneeuwstorm
Well-known member
Bij ons zijn de meeste van die updates automatisch. Bovendien als die IT'er daarvoor fysiek aan je bureau komen om een update te doen, dan lopen ze daar toch nog wat achter.
Het kan eens voorvallen dat een programma door IT moet geïnstalleerd worden maar dat kan op afstand via Teamviewer.
Het kan eens voorvallen dat een programma door IT moet geïnstalleerd worden maar dat kan op afstand via Teamviewer.
Ah, ik snap waar het verschil zit en waarom het zo overkomt... dat was niet m'n bedoeling.Euhm waar slaat dit op. Ik ben min of meer akkoord met de rest van uw post. Wilt ge dat ik zinneke per zinneke ga quoten en zeggen "yes agreed
Dus ik herhaal dat het hallucinant toondoof is om te zeggen "Ik snap dat een bedrijf niet zomaar overal admintoegang kan geven, maar van de andere kant: dat gaat al 15 jaar goed. Waarom zou dat ineens niet meer goed gaan?"
Geen doe maar-tralalala op je laptop: begrijp ik, en als dat goed geïmplementeerd wordt heb ik daar eigenlijk ook weinig problemen mee. Het probleem is dat dat dus niet echt het geval is bij ons. En dat is niet de schuld van IT op zich, maar van "theoretische" beslissingen van hogerop.
Maar er is ook duidelijk een verschil tussen wat ik admintoegang noem en wat anderen dat hier noemen, blijkbaar. Een laptop die niet standaard verbonden is met iets van het werk, waarbij m'n archief op een losse HD staat die in mijn kast ligt, is niet noodzakelijk onveiliger dan een laptop geconnecteerd aan een intranet (zij het met beperkte toegang) waarbij alles op de cloud staat en op servers van het werk. Uiteraard is er in die 15 jaar al veel veranderd en moet IT mee met die veranderingen en zelfs dan lopen ze jammer genoeg achter op de criminelen. Maar de kans dat mijn archief te maken krijgt met ransomware is toch veel kleiner dan dat van de servers op ons werk. En de gevolgen zijn veel kleiner.
Daarbij krijg je nog eens wat hierboven ook werd gezegd, dat iets superveilig wordt gemaakt met 2FA, SSO die elke maand veranderen en ingewikkelde wachtwoorden vragen, en dichtgetimmerde laptops, want MOAR VEILIGER. Maar het resultaat daarvan is ook gewoon dat mensen hun wachtwoord ergens op hun bureaublad in een notepad zetten, omdat ze dat 15x moeten ingeven op een dag. En dan gaat het van veiliger naar plots onnoemelijk veel onveiliger
Ik werk op ICT voor een grote vlaamse werkgever en wij zien deze issues ook bij 'hoog opgeleide profielen' hoor, meer dan je denkt.
Bvb een manager die roblox had geinstalleerd op zijn pc, tijdens het verlof voor de klein mannen bezig te houden.
Het zijn niet alemaal obscure links die security issues triggeren.
Als je bij ons nu iets wil installeren dat niet standaard software is dan moet je dat ook aanvragen + controle security en dan naar ons terugbellen om dat door ons te laten installeren.
Als je installatie rechten nodig hebt voor aanpassingen op software die wel ondersteund word door het bedrijf kan je wel een eigen admin aanvragen. Bijvoorbeeld bij externe ondersteunde applicaties met veel updates.
Maar dan ben je ook verantwoordelijk natuurlijk voor wat er verder mee uitgevoerd word naast je werk.
Is dat dan toch iets afwijkend dan komt er alsnog een melding binnen bij monitoring.
Dat van die portable apps die ik hier zie voorbijkomen = vergeet dat maar bij ons, word ook getriggerd via monitoring.
Ik herriner me nog het voorbeeld van mensen die spotify op die manier gebruikten.
En als dat iets kritiek lijkt word de gebruikers account zelfs in sommige gevallen dichtgeschroefd, tot we contact hebben met de persoon in kwestie.
Laatst bewerkt:
Gebeurd bij ons allemaal vanop afstand.
Ik heb op 9 jaar dat ik daar werk nog geen enkele eindgebruiker zijn bureau gezien.
Ik werk zelf op dat soort helpdesk en implementeer zelf dat soort policies, de grote vraag wat mij betreft is: waarom heb jij VLC nodig?
De enige reden waarom ik zelf VLC nodig heb is als ik ondertitels wil inschakelen op gedownloade video's, of als ik video's aan het downloaden ben met exotische codecs. Vermits jij zegt dat je super productief moet zijn tijdens uw dag en u geen 5 seconden inefficiëntie kunt veroorloven, waarom ben je u dan bezig aan het houden met VLC notificaties en updates terwijl op elke PC een ingebouwde audio en video player zit.
Redenen waarom andere gebruikers VLC nodig hebben heb ik ook wel ervaring mee maar is niet noodzakelijk uw reden: omdat ze met een ander louche mozilla plugin tooltje zonder licentie stiekem schermopnames aan het recorden zijn van externe trainingen en ze die vervolgens willen croppen met VLC om dan naar iedereen te gaan doormailen als interne training (bijvoorbeeld preventieadviseurs). Ook van die zaken is de ICT graag op de hoogte.
De enige reden waarom ik zelf VLC nodig heb is als ik ondertitels wil inschakelen op gedownloade video's, of als ik video's aan het downloaden ben met exotische codecs. Vermits jij zegt dat je super productief moet zijn tijdens uw dag en u geen 5 seconden inefficiëntie kunt veroorloven, waarom ben je u dan bezig aan het houden met VLC notificaties en updates terwijl op elke PC een ingebouwde audio en video player zit.
Redenen waarom andere gebruikers VLC nodig hebben heb ik ook wel ervaring mee maar is niet noodzakelijk uw reden: omdat ze met een ander louche mozilla plugin tooltje zonder licentie stiekem schermopnames aan het recorden zijn van externe trainingen en ze die vervolgens willen croppen met VLC om dan naar iedereen te gaan doormailen als interne training (bijvoorbeeld preventieadviseurs). Ook van die zaken is de ICT graag op de hoogte.
Laatst bewerkt:
