Cybersecurity op kantoor - toegang tot PC's/laptops door 1 beheerder?

Vega

Vega

Well-known member
Ik vroeg me af hoe het bij andere kantoren in hun werk gaat...

Bij ons op kantoor (27 bedienden) hebben we 1 collega die zich bezighoudt met de IT, het is geen IT'er en het gaat dus om basic dingen, nieuwe laptops installeren met onze software (Office, CRM pakket, printers installeren, browsers installeren en Adobe PDF installeren), helpen als iemand z'n printers kwijt is, etc...

Nu weet die ene collega van de 26 anderen (inclusief de zaakvoerders) het paswoord van hun PC alsook staat op elke laptop Teamviewer geïnstalleerd en kan hij ten allen tijde inloggen zonder iemands toestemming te krijgen. Het gaat zelfs zo ver dat er geen balkje verschijnt dat hij je laptop aan het overnemen is en zou hij dus in theorie dus gewoon kunnen "meeloeren" terwijl je werkt... Was enkele maanden geleden al eens ferm verschieten toen opeens mijn muis vanzelf begon te bewegen toen ik een half uur langer aan het werken was.

Ik vind dit al enkele jaren behoorlijk louche en heb dan ook mijn Teamviewer eraf gesmeten en paswoord veranderd zodat hij geen toegang meer heeft tot mijn laptop gezien ik de laptop ook gebruik voor privézaken en vaak met gevoelige informatie over inkomen etc.

Is dit een normaal verhaal dat hij ten allen tijde toegang moet hebben om updates uit te voeren? Zou eerlijk gezegd ook niet weten welke updates gezien we bij het afloggen 's avonds onze PC standaard gewoon herstarten om eventuele updates al te laten uitvoeren... Ook de "veiligheid" is één van de argumenten en dat pakt bij onze twee zaakvoerders maar ik zou in godsnaam niet weten hoe het net veilig is dat 1 persoon alle PW'en heeft (en deze dus ook ergens genoteerd heeft). Hoe doen grotere bedrijven dit bvb.?
 
Beetje vreemd mss, maar zul je wel meer tegenkomen in een kleinere KMO vermoed ik. Daarom natuurlijk nog niet OK. Als hij die wachtwoorden dan ook nog mooi in een Excel file heeft zitten :biglaugh:

Wij hebben een inhouse on-site IT support (8-18u) team van zeker 8 personen voor +500 werknemers.
- updates worden gepushed (geen interactie van IT support nodig op elke individuele laptop) via Company portal (standaard Microsoft app)
- als je support nodig hebt, kun je idd via soort schermdeling je scherm laten overnemen. Maar hiervoor moet ik altijd de code die ik op mijn scherm zie eerst doorgeven
- wachtwoorden zijn persoonlijk, aangezien bijna alles werkt met single sign on (en niet iedereen dezelfde rechten heeft in programma's)
- privé gebruik van de laptop is verboden

Geen idee eigenlijk of ze vanop afstand echt op mijn laptop kunnen, maar anderzijds hebben ze idd verschillende admin accounts waarmee ze lid zijn van elke Sharepoint, mailbox etc.
 
Bij ons werkt dit met active directory. Linux enzo zullen ook wel iets gelijkaardig hebben. Dan moet beheerder de wachtwoorden van de gebruikers niet hebben. Alle toestellen worden centraal beheert.

Je kan dan software installeren, script laten lopen, gehele harde schijf raadplegen van computers indien ze op het netwerk zitten, zo goed als alles wat instelbaar is kan ingesteld worden, pc uitzetten etc. Je kan dit vanop afstand zonder de gebruiker nodig te hebben. Microsoft heeft auditing tools voor administrators te controleren, maar ik weet niet wat dit allemaal logt.

Wachtwoorden bijhouden, toestellen overnemen zonder toestemming, gebruikers actief controleren etc. Allemaal rare snuiter dingen. Het is niet omdat je het kan dat je dit ook moet doen. Alhoewel ik bepaalde zaken wel kan begrijpen als er natuurlijk geen ict budget is.
 
Laatst bewerkt:
Het is geen common practice, eerder verboden zelfs om zonder weten van medewerker met een device te verbinden.
Ik kan ook afleiden dat jullie IT-omgeving uit de jaren stilletjes komt.
 
Ik geef zelf ook IT support aan diverse firma's.

Dingen die men kan controleren waar je niet over moet zagen zijn vb. de programma's die op uw PC staan, of uw antivirus geactiveerd is, updates van programma's, licenties, het installeren van nieuwe dingen, het doorvoeren van policies zoals printers en netwerkmappings enzovoort. Voor de meeste van die zaken te doen moet het scherm niet overgenomen worden.

Maar natuurlijk moet iemand ook de mogelijkheid hebben uw wachtwoord te resetten als je dat vergeten bent en dat kan ik ook. Daar begint het al wat een meer ethische kwestie te worden want als ik dat kan dan kan ik uiteraard ook aan al uw bestanden en uw emails. Maar dat is natuurlijk niet de bedoeling dat een IT medewerker op eigen initiatief rondneust in bestanden.

Dan tenslotte wanneer toch iemand zijn scherm van op afstand moet overgenomen worden dan gebeurt dit bij ons altijd met 1. er komt een melding rechtsonder dat iemand aan het meekijken is. 2. de gebruiker krijgt de vraag gepost "wilt u x toegang verlenen tot uw PC?" + we bellen altijd eerst vooraleer we deze aanvraag sturen.

Zomaar gewoon vanop afstand een scherm van een actieve gebruiker overnemen en de muis zien bewegen zonder je van iets afweet is echt not done. Als dat per ongeluk eens gebeurt vanwege een foutieve instelling dan excuseer ik me altijd bij de eindgebruiker. Daar kan je best over reclameren. Best constructief reclameren als in "wanneer worden de updates geinstalleerd dan zorg ik dat ik uitgelogd ben?" of "kan er een melding komen wanneer iemand mijn pc wil overnemen en meekijkt aub?".

Gouden raad, ga er gewoon altijd vanuit dat uw werkgever alles weet wat gij op uw werk PC doet, zelfs al is het niet altijd legaal om dat te weten. Idem als je uw PC of gsm ergens in een PC winkel binnen doet voor herstelling: als uw harde schijf in die PC zit en daar zit geen wachtwoord/pin/encryptie op (of je geeft zelfs uw PIN af) ga er dan gewoon vanuit dat iemand in uw foto's en mails kan neuzen. Zelfs al is het illegaal, daar ben je achteraf weinig mee. Gewoon niet doen en uzelf niet exposen. En dus geen prive zaken doen op werk materiaal en ook geen werkzaken doen op prive materiaal.
 
Laatst bewerkt:
Gewoon omwille van GDPR-redenen is het bij VEGA al not done om een scherm zomaar over te nemen. En wachtwoord delen is natuurlijk ook een stukje over de schreef.
 
Zou bij mij veel uitmaken of dit een laptop is die je privé mag gebruiken (officieel, dus je betaald er VAA voor), of eentje die enkel 100% werk gerelateerd gebruikt wordt.
Geen VAA op loonbrief staat voor mij gelijk aan geen privé gebruik, zelfs al zegt "de baas" dat het mag.
Wel VAA, maar laptop dichtgetimmerd naar installeren naar programma's toe, is nog steeds privé gebruik toegelaten (browsen, internetbankieren, Excel spreadsheet met huishoudbudget, ...).

Indien geen VAA, mogen ze van mij doen wat ze willen, alles wat je dan doet is toch werkgerelateerd. Zelfs moest het legaal shady zijn, zou ik er nog niet echt problemen mee hebben.

Indien wel VAA, dan wordt het toestel niet aangeraakt op geen enkele wijze, zonder mijn expliciete toestemming, en enkel in mijn bijzijn.
Je mag uiteraard niet lastig doen, als men erachter vraagt (wanneer ze niet overdrijven).
Ik ben gelukkig tech savvy genoeg om dit ook praktisch af te dwingen.
 
Hier moeten ze expliciete toestemming geven voordat we het scherm kunnen overnemen. Technisch kunnen we het anders configureren zodat we "stiekem" kunnen meekijken maar vanuit menselijk oogpunt is dat gewoon not done. Er ligt ook het één en ander vast in policies en dat gaat veel verder dan alleen wachtwoorden en schermovername. We werken hier met gevoelige persoonsgegevens (incl. sociale dossiers, medische dossiers, data i.v.m. kinderen, ...) en zijn dus zeer strikt in ons beleid voor eindgebruikers en in wat IT wel en niet mag. Het wordt ook regelmatig geaudit.

Wachtwoorden e.d. gaan via AD & Azure AD. Bijhuden van allerhande wachtwoorden rond beheer voor IT gebeurt in Keepass maar dat gaat absoluut niet over wachtwoorden van eindgebruikers, die kennen wij niet. (en met 2FA ben je er dan nog niet) Met een kleine 400 eindgebruikers doe je dat soort beheer ook allang niet meer met lokale gebruikers, al is een KMO van 27 man ook al meer dan groot genoeg om dit soort zaken in (Azure) AD te regelen.
 
Hmm de "feeling" dat het allemaal wat vreemd is zit dus toch ergens goed.
Five-seveN zei:
Gouden raad, ga er gewoon altijd vanuit dat uw werkgever alles weet wat gij op uw werk PC doet, zelfs al is het niet altijd legaal om dat te weten. Idem als je uw PC of gsm ergens in een PC winkel binnen doet voor herstelling: als uw harde schijf in die PC zit en daar zit geen wachtwoord/pin/encryptie op (of je geeft zelfs uw PIN af) ga er dan gewoon vanuit dat iemand in uw foto's en mails kan neuzen. Zelfs al is het illegaal, daar ben je achteraf weinig mee. Gewoon niet doen en uzelf niet exposen. En dus geen prive zaken doen op werk materiaal en ook geen werkzaken doen op prive materiaal.
Klik om te vergroten...
Dat de werkgever het ziet vind ik nog zo'n probleem niet gezien de vertrouwelijke info vooral bestaat uit afspraken tussen mezelf (zelfstandige) en de opdrachtgever/werkgever, waarvan de rest van het kantoor geen zaken mee heeft en er wel eens wrevel zou kunnen komen als de afspraken openbaar gemaakt worden...

berenod zei:
Zou bij mij veel uitmaken of dit een laptop is die je privé mag gebruiken (officieel, dus je betaald er VAA voor), of eentje die enkel 100% werk gerelateerd gebruikt wordt.
Geen VAA op loonbrief staat voor mij gelijk aan geen privé gebruik, zelfs al zegt "de baas" dat het mag.
Wel VAA, maar laptop dichtgetimmerd naar installeren naar programma's toe, is nog steeds privé gebruik toegelaten (browsen, internetbankieren, Excel spreadsheet met huishoudbudget, ...).

Indien geen VAA, mogen ze van mij doen wat ze willen, alles wat je dan doet is toch werkgerelateerd. Zelfs moest het legaal shady zijn, zou ik er nog niet echt problemen mee hebben.

Indien wel VAA, dan wordt het toestel niet aangeraakt op geen enkele wijze, zonder mijn expliciete toestemming, en enkel in mijn bijzijn.
Je mag uiteraard niet lastig doen, als men erachter vraagt (wanneer ze niet overdrijven).
Ik ben gelukkig tech savvy genoeg om dit ook praktisch af te dwingen.
Klik om te vergroten...
Niet echt VAA gezien laptop van de opdrachtgever die tot mijn beschikking wordt gesteld zonder vast te leggen wat voor gebruik toegelaten is (al kan ik aannemen gezien het contractueel verband er een vermoeden is dat het gebruik strict professioneel zou zijn).

MisterV zei:
Hier moeten ze expliciete toestemming geven voordat we het scherm kunnen overnemen. Technisch kunnen we het anders configureren zodat we "stiekem" kunnen meekijken maar vanuit menselijk oogpunt is dat gewoon not done. Er ligt ook het één en ander vast in policies en dat gaat veel verder dan alleen wachtwoorden en schermovername. We werken hier met gevoelige persoonsgegevens (incl. sociale dossiers, medische dossiers, data i.v.m. kinderen, ...) en zijn dus zeer strikt in ons beleid voor eindgebruikers en in wat IT wel en niet mag. Het wordt ook regelmatig geaudit.

Wachtwoorden e.d. gaan via AD & Azure AD. Bijhuden van allerhande wachtwoorden rond beheer voor IT gebeurt in Keepass maar dat gaat absoluut niet over wachtwoorden van eindgebruikers, die kennen wij niet. (en met 2FA ben je er dan nog niet) Met een kleine 400 eindgebruikers doe je dat soort beheer ook allang niet meer met lokale gebruikers, al is een KMO van 27 man ook al meer dan groot genoeg om dit soort zaken in (Azure) AD te regelen.
Klik om te vergroten...
2FA is ook een van die vreemde zaken.. We hebben drie mailboxen die gedeeld worden door de collega's en die collega's hebben bvb. soms al eens nood om bepaalde regels van de mailbox aan te passen. Dit doen we via Outlook in een browser (Office 365) maar hebben we 2FA voor nodig, enkel onze IT'er heeft de Microsoft authenticator app voor al die mailboxen. Heb al gevraagd dat de collega's die ook de regels moeten aanpassen van de mailboxen toegevoegd worden met hun Microsoft authenticator app, het antwoord => "Gaat niet, de belangrijke redenen hiervoor zijn beheersbaarheid en veiligheid" (verbatim)...
 
Vega zei:
enkel onze IT'er heeft de Microsoft authenticator app voor al die mailboxen
Klik om te vergroten...
Okeeee 😬 Ik kom ze nog wel eens tegen, IT'ers die 100% controle willen en daar dan allerhande rare werkmethoden voor hanteren. Dat werkt gewoon niet, dat is systeembeheerder mentaliteit uit de jaren stillekes.
 
Vega zei:
2FA is ook een van die vreemde zaken.. We hebben drie mailboxen die gedeeld worden door de collega's en die collega's hebben bvb. soms al eens nood om bepaalde regels van de mailbox aan te passen. Dit doen we via Outlook in een browser (Office 365) maar hebben we 2FA voor nodig, enkel onze IT'er heeft de Microsoft authenticator app voor al die mailboxen. Heb al gevraagd dat de collega's die ook de regels moeten aanpassen van de mailboxen toegevoegd worden met hun Microsoft authenticator app, het antwoord => "Gaat niet, de belangrijke redenen hiervoor zijn beheersbaarheid en veiligheid" (verbatim)...
Klik om te vergroten...
Dat is ook nergens voor nodig want je kan delegation instellen voor mailboxen. Dan moet je niet zitten klooien met wachtwoorden delen en MFA van gedeelde accounts. Dan meld je aan bij jouw eigen account en kan je rechtsboven als je op je naam/foto klinkt kiezen voor "ander postvak openen".
 
wat ik altijd zeg tegen al mijn eindgebruikers: besef dat IT alwetend en alkunnend is.
Privezaken hou je op privemateriaal, je PC blijft (zelfs met VAA) eigendom van de werkgever.

> wij hebben van een deel van onze eindgebruikers een paswoord, vaak om dingen te kunnen testen zonder dat zij er hunnen tijd mee verdoen.

Das natuurlijk je pappenheimers kennen, ik ga me enkel "vrijpostig" gedragen bij collega's bij wie ik weet dat ze dat kunnen verdragen.

> ik kan een scherm overnemen zonder dat de eindgebruiker toestemming moet geven, maar dan komt er een melding op dat we meekijken.

We hebben daar al wel is ambras over gehad met nen eindgebruiker, die het niet kon vinden dat blablabla.
Eerlijk gezegd niet veel boodschap aan.
Als ik rechten moet nemen op een sharepointsite omdat er een vraag over komt dan doe ik dat zonder veel geblaat daar rond, het moet gebeuren dus ik doe het ook, wat de inhoud is van die site dat interesseert me niet.
Al dat we doen word gelogd, dus ik ga nooit iets doen die mijn job in gevaar zou brengen.

We zijn natuurlijk ook met 9man op IT, en een bedrijf van 1500.
Ik kan me inbeelden dat als je met 27 bent, en je 1 collega hebt die bij iedereen kan "neuzen" dat totaal anders aanvoelt
 
Ik begrijp dat het jou een oncomfortabel gevoel kan geven in deze set-up. Maar het is niet omdat iemand het kan doen, dat hij het ook doet, het is bovendien onethisch en illegaal. Meteen het slechtste veronderstellen zonder concrete bewijzen of aanleiding vind ik daarom wel wat streng. HR kan ook alle lonen en persoonlijke gezinstoestanden zien. Mogen ze dat misbruiken? Neen

Om wat tegengewicht te geven: waarschijnlijk wordt er maar zeer weinig budget uitgetrokken voor die 27 medewerkers, en die ene collega die zich bezighoudt met IT doet het dan ook met de middelen die hij heeft. Het is inderdaad allemaal nogal strikt geregeld, maar waarschijnlijk is hij hiertoe genoodzaakt omdat het anders niet werkbaar is.
De vergelijking met hoe het in een groot bedrijf is geregeld gaat m.i. niet op.
 
Laatst bewerkt:
Herman De Croo zei:
Ik begrijp dat het jou een oncomfortabel gevoel kan geven in deze set-up. Maar het is niet omdat iemand het kan doen, dat hij het ook doet, het is bovendien onethisch en illegaal. Meteen het slechtste veronderstellen zonder concrete bewijzen of aanleiding vind ik daarom wel wat streng. HR kan ook alle lonen en persoonlijke gezinstoestanden zien. Mogen ze dat misbruiken? Neen

Om wat tegengewicht te geven: waarschijnlijk wordt er maar zeer weinig budget uitgetrokken voor die 27 medewerkers, en die ene collega die zich bezighoudt met IT doet het dan ook met de middelen die hij heeft. Het is inderdaad allemaal nogal strikt geregeld, maar waarschijnlijk is hij hiertoe genoodzaakt omdat het anders niet werkbaar is.
De vergelijking met hoe het in een groot bedrijf is geregeld gaat m.i. niet op.
Klik om te vergroten...
Heb hier natuurlijk niet alles neergepend hé ;-)

Maar je hebt in sé gelijk, niet zomaar doemdenken/beschuldigen zonder reden/bewijs.
 
Vega zei:
Heb hier natuurlijk niet alles neergepend hé ;-)

Maar je hebt in sé gelijk, niet zomaar doemdenken/beschuldigen zonder reden/bewijs.
Klik om te vergroten...
ik ben ook de enige ITer in een bedrijf van 100 man. geloof mij ik heb geen interesse in wat jij doet na uw werk op uw pc, of wat er in de mailbox van uw baas zit, iemand zijn teams chat, onedrive bestanden.... er zijn interessantere dingen om mijn dagen mee te vullen.

Als ik al die dingen wil weten hoef ik ook niet via teamviewer mee te kijken. daar zijn genoeg andere manieren voor :)

als hij persé wil weten hoeveel iedereen verdient zal die wel eens op de HR drive kijken ipv het risico te pakken betrapt te worden met teamvieweren op jouw pc.
 
zaj zei:
ik ben ook de enige ITer in een bedrijf van 100 man. geloof mij ik heb geen interesse in wat jij doet na uw werk op uw pc, of wat er in de mailbox van uw baas zit, iemand zijn teams chat, onedrive bestanden.... er zijn interessantere dingen om mijn dagen mee te vullen.

Als ik al die dingen wil weten hoef ik ook niet via teamviewer mee te kijken. daar zijn genoeg andere manieren voor :)

als hij persé wil weten hoeveel iedereen verdient zal die wel eens op de HR drive kijken ipv het risico te pakken betrapt te worden met teamvieweren op jouw pc.
Klik om te vergroten...
Bedankt voor uw inzichten maar wat uw interesses zijn kan je moeilijk extrapoleren naar elke IT'er op deze planeet. Soit, de collega in kwestie is ook geen IT'er, HR drives hebben we niet, etc....
 
Het is een beetje een evenwichtsoefening. IT'ers hebben nu eenmaal meer toegang nodig dan reguliere gebruikers om hun job deftig uit te oefenen. Dus het komt er voor een deel ook gewoon op neer om uw lokale IT'er te vertrouwen.

Dat die alle individuele wachtwoorden van gebruikers kent slaat natuurlijk op niets. Zelfs als je niet via AD werkt zou hij nog steeds gewoon op elke pc een lokale admin account kunnen hebben (Ik vermoed dat hij ook de pc's instelt?) om zijn werk te doen, zonder daarvoor de wachtwoorden van iedereen te kennen. En gewoon random een pc overnemen slaat natuurlijk ook nergens op.
 
Situatie bij ons bedrijf (multinational):
- schermen van persoonlijke pc's worden niet overgenomen zonder toestemming, gedeelde productie pc's wel
- persoonlijke paswoorden delen is uiteraard not done
- internet surfgedrag wordt gelogd maar niet bekeken, tenzij er opdracht toe gegeven wordt door management (bvb. misbruik van vertrouwen, illegale activiteiten, ...)
 
Je moet ingelogd zijn om te kunnen reageren. Aanmelden | Registreren

Vergelijkbare onderwerpen

FreakyJP
  • Artikel
Techreview: HP OMEN 16 (2023)
Reacties
0
Weergaven
638
FreakyJP
FreakyJP
FreakyJP
  • Artikel
De gamereleases van juli 2023
Reacties
0
Weergaven
721
FreakyJP
FreakyJP
Joeri
  • Artikel
Techreview: Nacon MG-X
Reacties
1
Weergaven
770
nightcawk
nightcawk
Joeri
  • Artikel
De gamereleases van april 2022
Reacties
2
Weergaven
1K
Lakigigar
L
Loser
  • Gesloten
  • Artikel
FAQ Forum
2 3
Reacties
50
Weergaven
5K
Loser
Loser
Terug
Bovenaan