Борьба админа со Smart Asses

[Dmitry67]

Я DBA/performance expert
Тут мне еще понавесили питерский офис, не в духе эникейщика, а с точки зрения доказательства американцам что мы safe. В общем, security theater. Отчеты по WSUS, по антивирусу. Поразгребал авгиевы конюшни, поужасался. Нашел кучу компов где не стоял антивирус (red flag для американцев), и несколько компов где меня вынесли из локальный админов.

Поборолся, поставил, заставил. Через небольшое время, думая что все закончилось, самые умные начали снова останавливать антивирусы и выносить меня из админов. Написал проверялку которая сканирует и присылает мне письмо со всем проблемами.

Теперь вопрос. Может эккаунты этих умников просто disable в Active Directory и подождать когда они сами ко мне придут (с их питерским начальником) или я становлюсь Берией?

[Slonjra]

Блокировать не стоит, ибо вас же и сделают крайним...типа "парализовал всю работу в офисе"

у вот репортик о таких умных, надо обязательно написать и отправить нужному начальнику..

хотя обычно делают проще, именно у пользователь отбирают админские права..и никаких проблем.
Все изменения софта только админом, по заявочке..и с одобрения начальства ))

[Dmitry67]

1 у вот репортик о таких умных, надо обязательно написать и отправить нужному начальнику..

2 хотя обычно делают проще, именно у пользователь отбирают админские права..и никаких проблем.
Все изменения софта только админом, по заявочке..и с одобрения начальства ))

1 Это уже делал, но помогает временно

2 Это да, но от этой американской системы я как раз хочу их спасти, Чтобы могли ставить экспериментальные продукты итд
И для этого я должен предоставить американцам наиболее хороший отчет, чтобы не боялись "russian hackers"

[Slonjra]

1 у вот репортик о таких умных, надо обязательно написать и отправить нужному начальнику..

2 хотя обычно делают проще, именно у пользователь отбирают админские права..и никаких проблем.
Все изменения софта только админом, по заявочке..и с одобрения начальства ))

1 Это уже делал, но помогает временно

2 Это да, но от этой американской системы я как раз хочу их спасти, Чтобы могли ставить экспериментальные продукты итд
И для этого я должен предоставить американцам наиболее хороший отчет, чтобы не боялись "russian hackers"

для эксперементальных продуктов существует VM.
вот там все что угодно пусть пробуют..а напрямую на рабочем компе - нефиг...

[M. Ridcully]

для эксперементальных продуктов существует VM.
вот там все что угодно пусть пробуют..а напрямую на рабочем компе - нефиг...

А какая разница, с точки зрения безопасности?

[mskmel]

Тут мне еще понавесили питерский офис, не в духе эникейщика, а с точки зрения доказательства американцам что мы safe. В общем, security theater. Отчеты по WSUS, по антивирусу. Поразгребал авгиевы конюшни, поужасался. Нашел кучу компов где не стоял антивирус (red flag для американцев), и несколько компов где меня вынесли из локальный админов.

Вас поставили enforce или просто отчётики?
Согласен с ораторами выше. Получить благословение у вождей и отобрать у особо умных права локальных админов.
Когда им надо что поставить, по тиккету Кумар подсоединяется и ставит.

[Мальчик-Одуванчик]

Комплекс вахтера в IT

[SUPER]

Комплекс вахтера в IT

Ставят палки в колеса. Вот и не могу установить себе Angular2, NodeJS, ReactJS итд

[mskmel]

Комплекс вахтера в IT

Не совсем так. Помимо безопасности есть еще compliance. Например, поставит такой умник ворованный софт, а потом компанию нагнут на круглую сумму.

[Flash-04]

Извечная борьба разработчиков и админов.

[Мальчик-Одуванчик]

Комплекс вахтера в IT

Не совсем так. Помимо безопасности есть еще compliance. Например, поставит такой умник ворованный софт, а потом компанию нагнут на круглую сумму.

За отмазку не канает. Как будто админ сможет это предотвратить.

[Big Cheese]

2 Это да, но от этой американской системы я как раз хочу их спасти

А они-то в курсе Ваших благих намерений?

[mskmel]

Например, поставит такой умник ворованный софт, а потом компанию нагнут на круглую сумму.

За отмазку не канает. Как будто админ сможет это предотвратить.

Не важно, предотвратит или нет, важно что пытался, но "этот русский хацкер Вася..."
Для 99% пользователей скорее предотвратит. Оставшийся 1% надо аудит и увольнялку за несоблюдение.

[Мальчик-Одуванчик]

Например, поставит такой умник ворованный софт, а потом компанию нагнут на круглую сумму.

За отмазку не канает. Как будто админ сможет это предотвратить.

Не важно, предотвратит или нет, важно что пытался, но "этот русский хацкер Вася..."
Для 99% пользователей скорее предотвратит. Оставшийся 1% надо аудит и увольнялку за несоблюдение.

ну то есть речь не о том, что компанию могут нагнуть, а лишь что жопа админа прикрыта.

[StrangerR]

Разработчик всегда объедет админа. поэтому надо договариваться. Иначе в войне пули и брони всегда будет победа у пули, то есть ваши ограничения обойдут, админа себе кривым способом но получат, и вы просто потеряете контроль.

И да, особой разницы между виртуалкой и не виртуалкой для секьюрити как таковой нету, но виртуалки можно создавать в песочнице и вот тогда разница есть.

[mskmel]

Извечная борьба разработчиков и админов.

Какая борьба? Админу мозги имеют если есть в каком-то репорте проблемы. Он их устранил, а добрые юзеры опять понаотключали и наставили "что надо", админу опять мозг по поводу репорта имеют. У меня порой целый день на борьбу с compliance уходит (не windows и не юзеры), но ведь кто-то же должен держать энтропию в норме.

У нас недавно пряма мана небесная - репортилка стала сама и фиксить, только отчетик приходит постфактум. Вынесла мне тулзу, который я давно пользовался, т.к. контора за неё платить перестала. Поставила взамен бесплатный "вот точно такой же" аналог , вынесла всё, вместе с кучей code snippets

[mskmel]

Разработчик всегда объедет админа. поэтому надо договариваться.

Кто кого объедет не важно. В конце концов выгнать могут что одного, за то что пошёл на поводу; что другого за систематическое нарушение режима курятника.

[metaller]

Блокировать не стоит, ибо вас же и сделают крайним...типа "парализовал всю работу в офисе"

у вот репортик о таких умных, надо обязательно написать и отправить нужному начальнику..

хотя обычно делают проще, именно у пользователь отбирают админские права..и никаких проблем.
Все изменения софта только админом, по заявочке..и с одобрения начальства ))

+1 по каждому пункту !

[Easbayguy]

А каким образом вы оказались windows админом? Разве нет специального человека?

[Dmitry67]

А каким образом вы оказались windows админом? Разве нет специального человека?

Есть второй админ, но его плеха плеха понимать англицка, кроме того, он социопат (профессиональная деформация), нормально разговаривать мало с кем может.

Но даже тут есть простор для SQL: залезть напрямую в базу WSUS, сканировать компы запуская xp_cmdshell, там sc.exe с параметром имени машинки, потом парзим результат в SQL

[Dmitry67]

Комплекс вахтера в IT

Привет людям с другой стороны баррикад!)

[Dmitry67]

2 Это да, но от этой американской системы я как раз хочу их спасти

А они-то в курсе Ваших благих намерений?

Я пытался объяснить. Не знаю, несколько убедительно. Но мне кажется есть контингент для, которых принципиально важно иметь фигу в кармане

[Dmitry67]

Комплекс вахтера в IT

Ставят палки в колеса. Вот и не могу установить себе Angular2, NodeJS, ReactJS итд

Вот я и не хочу чтобы у людей забирали локальных админов. Для этого юзверям надо лишь немного прогнуться

[Dmitry67]

Комплекс вахтера в IT

Ставят палки в колеса. Вот и не могу установить себе Angular2, NodeJS, ReactJS итд

Кстати, не волнуйтесь, когда вам зааппрувят установку вышеозначенных продуктов, они будут уже мертвые и родятся очередные серебрянные веб пули. Веб технология принципиально ущербна (делалась не для того как ее используют), так что костыли с разными названиями не впечатляют