Domanda:
Va bene che un amministratore di sistema conosca la password per un nuovo arrivato / agisca come utente (subito dopo il reclutamento)?
Diego Pascotto
2018-11-21 16:08:46 UTC
view on stackexchange narkive permalink

In qualche modo correlato a quest'altra domanda. Mi sto occupando del seguente caso: un'azienda medio-grande (con circa 200 dipendenti in sede) sta applicando la seguente procedura per tutti i neo assunti (immediatamente prima del loro primo giorno in azienda):

  • generano una password per l'utente (NON una modifica al primo accesso)
  • accedono al laptop (impersonando l'utente finale)
  • ne applicano configurazione (es. accedono alla posta di Outlook per controllare che tutto funzioni)
  • cambiano di nuovo la password (questa volta con una modifica al primo accesso)
  • il laptop viene consegnato all'utente

Sembra che questa procedura sia abbastanza comune anche nelle aziende IT.

Non so dire se la configurazione iniziale, "a nome di utente ", è assolutamente necessario o semplicemente dettato da motivi di praticità (un laptop completamente funzionante viene consegnato a un utente non IT, impedendo molte richieste all'IT per la risoluzione di problemi comuni), ma ci sono alcune cose che puzzano:

  • se non dovessi mai dire a un amministratore la mia password (poiché è stata data risposta alla domanda citata) non c'è motivo per cui un amministratore conosca la mia password anche all'inizio del mio lavoro in quell'azienda
  • I può accettare che un amministratore conosca la mia password (quando crea per la prima volta il mio account o quando lo reimposta) a condizione che sia una password di modifica al primo accesso (in modo da avere la prova che non è stata utilizzata prima). Sospetto comunque che la maggior parte dei sistemi legacy (come AD) consenta agli amministratori di reimpostare le password con grande libertà (ad esempio, reimpostare le password senza avvisare l'utente o senza costringerlo a impostare una modifica al primo accesso). È una pratica accettata? Sembra completamente diverso da quello che accade ad esempio in Google (nessuno conosce la mia password, se viene rilevata un'attività vengo notificato).

Modifica: per rispondere a molti commenti che affermano che "il computer non è tuo, è il computer del datore di lavoro, non dovresti avere informazioni personali sul computer aziendale" vorrei sottolineare che non è una questione di informazioni personali , ma riservate relative all'attività aziendale. Quindi, se è corretto che non dovrei usare la mia email aziendale per ricevere i risultati delle mie analisi del sangue dal mio medico, è perfettamente comune che alcune informazioni riservate sull'azienda vengano scambiate tra il dipendente A e il dipendente B.

Quando il computer viene aggiunto al dominio e dispone del software MDM installato, gli amministratori del dominio possono sempre modificare le password e, a seconda della configurazione, possono anche leggere e modificare tutti i file archiviati senza accedere come utente.Finché non conoscono una password che il dipendente potrebbe utilizzare altrove, non hanno più accesso qui di quanto probabilmente abbiano già.
J.A.K., quindi l'unico motivo per non dire a un amministratore la mia password è che potrebbe avere accesso a un altro sistema (se uso la stessa password per l'accesso web della mia banca, diciamo)?
No, una volta che i dati sono stati associati all'account, potrebbero accedervi senza che questo venga registrato come accesso amministratore.Nello scenario precedente, i registri mostrerebbero la generazione della modifica alla password del primo utilizzo e le azioni precedenti potrebbero essere attribuite all'amministratore.Allo stesso modo potrebbero essere attribuite all'utente le azioni successive alla modifica della password.Se comunichi all'amministratore la nuova password, l'attribuzione nei file di registro non verrà più applicata.Un altro rischio è che in realtà non sia l'amministratore a chiedere: un vero amministratore non avrà bisogno della password in un sistema ragionevole.
@DiegoPascotto No. Come ho detto nella mia risposta, questa regola è fatta perché gli amministratori non dovrebbero accedere ai tuoi dati riservati associati al tuo account come la posta.Non ci sono dati associati sull'account a questo punto.
@KolappanNathan Ma possono accedere alla 'posta ... Non possono senza prove in nessun sistema sano, ma l'amministratore di sistema potrebbe quasi certamente accedere ai dati richiesti per ricostruire la posta in arrivo.
@wizzwizz4: In qualità di amministratore di sistema, posso leggere tutti i dati senza lasciare alcuna prova dai sistemi di produzione.Lascia che questo affondi. Come amministratore di sistema, ho la capacità di modificare il sistema operativo e cancellare le voci di registro a piacimento, ma non devo fare nulla di tutto ciò, ma solo diventare l'agente di backup e leggere i file a piacimento.
@wizzwizz4 a meno che non esternalizzi il tuo sistema di posta a una terza parte, ci sarà sempre qualcuno che lavora a un livello che può accedere alla casella di posta senza lasciare alcuna traccia di prova che puoi vedere (o che può manomettere o disabilitare i registri se lo desideranoper).Se esternalizzi a una terza parte, quell'amministratore di sistema semplicemente non funziona per te.L'unico modo per proteggersi da questo è richiedere la crittografia lato client per tutte le e-mail, sebbene ciò continuerà a perdere metadati (chi invia a chi e quando).
@Joshua Sicuramente dovrebbe esserci un registro di tutti i comandi, incluso il comando "disabilita il registro", inviato a un server protetto che non controlli?
Per coloro che discutono sull'automazione, probabilmente vivi in un mondo da sogno.Almeno da quando i fornitori di laptop hanno iniziato a utilizzare hardware diverso a seconda del prezzo per la stessa serie di laptop, non vi è alcuna garanzia che un'immagine verrà eseguita su un altro laptop con la stessa configurazione.Inoltre ci sono una miriade di insidie in più, dove un certo nome utente, aggiornamento di Windows, combinazione di ruoli, ... potrebbero portare a nuovi problemi sullo "stesso" hardware con la "stessa" configurazione automatica.
@wizzwizz4: Non sono così stupido da disabilitare i log eseguendo il comando per disabilitare i log.È più come "iniziato mmc.exe con token elevato".
Problema molto molto molto grande.Raramente esiste un'impostazione per "modifica al primo accesso".È "cambia al - *** NEXT *** - usa".In Windows, lo scenario della tua password principale, tu come utente finale non sapresti se qualcuno in precedenza ha effettuato l'accesso con quella password.Un amministratore può impostarlo sulla tua password attuale domani e tu non lo sapresti.
@DiegoPascotto per quanto riguarda la tua modifica.quando l'amministratore di sistema è stato assunto, parte di questo era affidare loro il tipo di informazioni che descrivi.poiché il ragazzo che installa i tuoi sistemi o il ragazzo che gestisce la tua rete o gestisce le tue e-mail potrebbe comunque rubare tutto, sono stati assunti sulla base del fatto che non lo faranno.
Non impersonare mai un utente.Dopo aver creato un account per un nuovo utente, è prassi normale che un nuovo utente acceda agli account hardware, software e assegnati.Quando lo fai, il profilo viene creato sul computer.Ovviamente l'amministratore di sistema dovrebbe impostare l'utente in modo che modifichi la password dopo aver effettuato con successo l'accesso per la prima volta.Ad ogni modo, è importante per il nuovo utente impostare le proprie impostazioni, configurazioni, personalizzazioni, ecc. Quando accede a tutto.La triade CIA (riservatezza, integralità e disponibilità) viene immediatamente violata quando impersonate un utente.
Qual è la preoccupazione qui?"Ehi, perché Nick, il nuovo ragazzo, ha cancellato il database dei prodotti? E perché lo ha fatto due giorni prima di iniziare a lavorare qui?"
Dieci risposte:
Kolappan N
2018-11-21 17:05:48 UTC
view on stackexchange narkive permalink

Se non dovessi mai dire a un amministratore la mia password (poiché è stata data risposta alla domanda citata) non c'è motivo per cui un amministratore conosca la mia password anche all'inizio del mio lavoro in quell'azienda

Uno dei motivi principali di questa regola è che gli amministratori non dovrebbero accedere ai tuoi dati riservati come e-mail, ecc ... Poiché all'inizio non ci sono dati associati all'account, questo non è un problema.

generano una password per l'utente (NON una modifica al primo accesso)

L'utilizzo di una password di accesso singolo chiedere una normale password prima di poter modificare la configurazione. Quindi è necessaria una password prima di accedere alla configurazione.

Sospetto comunque che la maggior parte dei sistemi legacy consenta agli amministratori di reimpostare le password con grande libertà. È una pratica accettata?

Questa è una pratica accettata. Non i vecchi sistemi ma i sistemi più recenti come Office 365 consentono anche agli amministratori di reimpostare la password degli utenti senza avvisare l'utente. Tuttavia, qualsiasi ripristino di questo tipo viene registrato nel sistema e l'amministratore sarà ritenuto responsabile per eventuali problemi.

Si noti inoltre che non tutte le configurazioni possono essere modificate a livello di amministratore. Alcune cose possono essere eseguite solo dall'utente. Invece di dire a ogni utente di eseguire una serie di passaggi, lo fanno in anticipo.

Alcuni altri problemi di condivisione di una password non si applicano qui come

  • Riutilizzare la password è irrilevante in quanto la password non è tua.
  • Nessuna delle tue informazioni personali è associata alla password.

    • A rispondi ad alcuni commenti,

    Ho il sospetto che "all'inizio non ci siano dati associati all'account" non è assolutamente vero: potrei avere delle email nella mia casella di posta (qualcuno potrebbe aver inviato il mio alcune informazioni riservate al mio indirizzo email, perché la casella di posta è stata attivata prima del mio primo accesso)

    di Diego Pascotto

    L'ID posta non deve essere condiviso con nessuno dagli amministratori prima della configurazione. La cassetta postale deve essere stata attivata durante la configurazione di Outlook. Gli ID email vengono condivisi solo dopo aver impostato la password di accesso singolo. Inoltre, come sottolineato da James Snell, è improbabile ricevere un'email entro pochi minuti dalla creazione dell'account.

    Un'azienda competente dispone di immagini, procedure, tramite automazione che si prendono cura di queste cose senza mai accedere come nuovo utente in qualsiasi momento.

    di Sokel

    Le piccole aziende non sempre investi nell'automazione. Se un'azienda assume circa 10 dipendenti all'anno e ciascuno con un ruolo diverso, lo sforzo richiesto per portare l'automazione e mantenerlo sarà maggiore dello sforzo manuale. L'automazione vale lo sforzo solo quando si ha un lavoro che viene svolto ripetutamente in gran numero. In altre parole, lo sforzo richiesto per l'automazione dovrebbe essere inferiore a quello richiesto per il lavoro manuale

    Se l'amministratore ha avuto accesso non monitorato al tuo account in qualsiasi momento; avrebbero potuto impostare qualsiasi cosa sotto il tuo nome, impedendo loro di restituire loro.

    di UKMonkey

    Qualsiasi azione intrapresa dagli amministratori durante questo periodo possono essere ricollegati ad essi in quanto è chiaro che l'account non viene consegnato all'utente fino a quando l'utente non reimposta la password utilizzando la password single sign-on.

    Ok, capisco il punto, ma sospetto che "all'inizio non ci siano dati associati all'account" non è assolutamente vero: potrei avere delle email nella mia casella di posta (qualcuno potrebbe aver inviato alcune mie informazioni riservate alla mia emailindirizzo, perché la casella di posta è stata attivata prima del mio primo accesso)
    @DiegoPascotto L'ID della posta non deve essere condiviso con nessuno dagli amministratori prima della configurazione.La cassetta postale verrà attivata durante la configurazione di Outlook.Gli ID email vengono condivisi solo dopo aver impostato la password di accesso singolo.
    @DiegoPascotto - dal momento che probabilmente hanno appena impostato il tuo account utente prima di accedere per verificare che funzioni, è improbabile.
    Cosa intendi con "non condividere il tuo ID email"?Se la politica aziendale per l'assegnazione dell'indirizzo e-mail è nome.cognome@mycompany.com, chiunque può indovinare la mia e-mail e inviarmi un messaggio prima che effettui l'accesso.
    Si noti che ha detto che l'account di posta elettronica è attivato durante la configurazione di Outlook.Eventuali e-mail inviate all'indirizzo prima di quel punto verranno rimbalzate.
    Attenzione anche: generalmente le e-mail aziendali sono di proprietà del datore di lavoro, non i dati privati del dipendente e (a seconda di altri accordi nel contratto di lavoro, legge nazionale, accordi del consiglio dei lavoratori, qualunque cosa) il datore di lavoro (o il suo rappresentante in qualità di amministratori) ha sempre il dirittoper accedervi.
    La risposta ignora una politica molto comune: ciò che accade al tuo account è tua responsabilità.La responsabilità è il 99% del motivo per le password;alla società non interessa davvero se l'amministratore accede alle tue informazioni personali - che non dovrebbe essere sui PC dell'azienda in primo luogo;e l'amministratore di solito può accedere a tutti i dati sulla rete per i backup, ecc. Se l'amministratore ha avuto accesso non monitorato al tuo account in qualsiasi momento;avrebbero potuto impostare qualsiasi cosa sotto il tuo nome, impedendo loro eventuali resi.Quindi no;non è consentito che l'amministratore di sistema abbia la password in qualsiasi momento.
    L'unico problema potrebbe essere se l'utente cambia la password e viene informato che la password è stata utilizzata in precedenza, nel qual caso la password utilizzata dagli amministratori è trapelata.Quindi è meglio che gli amministratori utilizzino una password temporanea diversa da qualsiasi password utilizzata altrove nel sistema.
    @UKMonkey Ma se l'amministratore sta impostando tutto questo prima ancora che all'utente sia stato consegnato il sistema, c'è un record che qualunque cosa sia accaduta non è stata fatta dall'utente.Tutto ciò che è stato fatto prima della modifica della password al primo accesso è stato eseguito dall'amministratore.
    "qualsiasi ripristino di questo tipo viene registrato nel sistema e l'amministratore sarà ritenuto responsabile di eventuali problemi."Inoltre, l'amministratore non può cambiarlo INDIETRO, quindi l'utente stesso saprà che è successo.
    @DiegoPascotto `Se la politica aziendale per l'assegnazione dell'indirizzo e-mail è nome.cognome@mycompany.com, chiunque può indovinare la mia e-mail e inviarmi un messaggio prima che effettui l'accesso. Nessuno invierà un'e-mail prima di sapere che è stato creato un account.In caso di tale politica sanno che questa sarà la tua email ma non lo faranno fino a quando il dipartimento IT non glielo dirà.
    @KolappanNathan forse sciocco, forse realistico, esempio a seconda dell'utente: so che prenderò ChrisH@example.com perché mi è stato detto dal mio manager / questa è la forma di tutti gli indirizzi e-mail in esempio e ChrisH è un nome raro (ipoteticamente).So anche, poiché le risorse umane mi hanno detto, che dovrò aggiornare i miei dati bancari sul loro sistema in modo da poter essere pagato.Quindi li mando via email a me stesso al lavoro, insieme a un collegamento di condivisione al mio calendario personale in modo da poter vedere gli appuntamenti di famiglia, prima di entrare nel mio primo giorno, ma prima.l'amministratore di sistema esegue la configurazione finale.(Ovviamente * io * non lo farei)
    @ChrisH ** Non sai nemmeno se quell'email esiste o meno, non conosci la sua password. ** Sai solo che questa sarà la tua email nei ** prossimi giorni **.Questa email sarà tua in futuro ma non è ancora tua.A meno che tu non abbia ricevuto un'informazione che ti viene assegnata * questa * email e * questo * è il tuo pass temporaneo, non ti viene assegnata alcuna email.Perché dovresti inviare le tue informazioni riservate a un'e-mail che non è tua?
    @DavidK Stai cercando di dirmi che un amministratore di sistema non sa come cambiare la data di creazione / ultima modifica su un file?Se sono anche leggermente bravi nel loro lavoro, saranno in grado di nascondere le prove.
    Per l'e-mail e "fare cose malvagie sotto il tuo account" - 1. Un amministratore che accede al tuo hardware con privilegi amministrativi potrebbe già installare qualsiasi backdoor / rootkit che desidera.2. C'è un tempo fisso in cui il tuo account ti viene consegnato, solo le azioni intraprese con l'account dopo tale tempo sono di tua responsabilità.
    @KolappanNathan * Io * non lo farei.Molte persone altrimenti intelligenti lo farebbero (lavoro nel mondo accademico, dove le persone sono intelligenti ma abbastanza fiduciose e nella maggior parte dei casi ignorano la sicurezza).Ho dovuto raccontare la storia in prima persona per adattarsi al limite di caratteri.
    @Sokel Se l'automazione vale sempre la pena al 100%, presumo tu, personalmente, abbia già automatizzato la tua auto (se ne hai una) per guidarti da sola?Hai creato un'IA per rispondere automaticamente a tutte le tue e-mail?Hai automatizzato l'intero lavoro?Hai costruito una macchina per lavarti i capelli mentre sei sotto la doccia?O forse hai deciso che alcune cose sarebbero troppo dispendiose in termini di tempo (forse al punto da renderle impossibili) per automatizzare e prendere decisioni strategiche in base al tempo, alla complessità e alle modalità di fallimento di un'attività su quando automatizzare e quando fare le cosemanualmente?
    @Sokel: Lavoro in un'azienda con 7 dipendenti e negli ultimi due anni ho assunto solo 1 persona.Mi dirai davvero che vale sempre la pena automatizzare?Presumete che abbiamo un intero * team * di supporto desktop / IT e non solo un singolo dipendente che fa queste cose di tanto in tanto?Non tutti lavorano in una grande azienda.
    @Sokel L'automazione del processo di aggiunta di un dipendente implica l'integrazione con provider di posta elettronica, directory attive, servizi come Slack, gestione delle attività, hosting del codice, ecc ... L'account dovrebbe integrarsi solo con i servizi richiesti.Queste automazioni si interrompono con qualsiasi modifica in uno qualsiasi di questi servizi o quando viene aggiunto o sostituito un nuovo servizio.oltre alle modifiche al sistema operativo Windows / Mac / Android.Si noti inoltre che il ciclo di aggiornamento di Windows è biennale ora.Comprendo chiaramente i vantaggi dell'automazione, ma ** lo sforzo richiesto per l'automazione dovrebbe essere inferiore a quello richiesto per il lavoro manuale. **
    @Sokel [Ah il vecchio errore di automazione] (https://xkcd.com/1319/).Nessuno qui sta sostenendo che l'automazione non valga la pena per le aziende più grandi.Ma il semplice fatto è che le piccole aziende non ne hanno bisogno molto spesso e non hanno l'esperienza in primo luogo.Il che significa che è semplicemente un pessimo ROI.
    @Sokel Non hai risposto agli argomenti effettivi di Kolappan o Voo.Il semplice fatto di sottolineare l'esistenza del debito tecnico e dell'automazione non risolve le loro preoccupazioni.Quando il tempo e il denaro spesi per l'automazione sono maggiori del tempo e del denaro spesi per il processo manuale, l'automazione è stupida.Periodo.
    Lie Ryan
    2018-11-21 20:59:37 UTC
    view on stackexchange narkive permalink

    In una piccola azienda, è probabile che l'amministratore che configura la macchina di un nuovo dipendente sia anche l'amministratore delle email e dei document server dell'azienda. In tal caso, l'amministratore è già in grado di leggere le tue e-mail o inviare un'e-mail come te in ogni momento senza mai aver bisogno di accedere alla tua macchina.

    Se questo è il caso, non ci sono nuovi problemi di sicurezza qui, anche se è vero che la pratica è un po 'superflua. In teoria, un amministratore non dovrebbe mai aver bisogno di accedere al tuo account utilizzando una password attiva; possono invece accedere come account amministratore e fare praticamente tutto ciò di cui hanno bisogno da lì.

    In pratica, a meno che il tuo team IT non sia abbastanza esperto da essere in grado di configurare nuove macchine ripetibili, correttamente e in modo affidabile ogni singola volta, è spesso molto più facile accedere come utente per testare l'installazione ed eseguire alcune configurazioni che sono semplicemente più facili da eseguire come utente effettivo piuttosto che cercare di simulare l'effetto mentre si effettua l'accesso come amministratore. Molti sistemi aziendali sono progettati per consentire agli amministratori di essere in grado di reimpostare la password di un altro utente o impersonare un altro utente senza la password dell'utente, spesso questo viene registrato per consentire l'audit, ma nelle aziende più piccole, lo stesso amministratore probabilmente ha anche accesso al sistema in cui si trovano può manomettere il registro di controllo.

    Il motivo principale per l'adagio "non dire mai a un amministratore la mia password" è per evitare che gli utenti cadano vittime dell'ingegneria sociale, perché se all'utente viene detto tutto il tempo che un vero L'amministratore non avrebbe mai bisogno o chiesto la tua password, diventa una risposta automatica che solo qualcuno che finge di essere un amministratore avrebbe mai bisogno di chiederti la tua password. Il motivo secondario è che molte persone riutilizzano la propria password; in tal caso potrebbero condividere molto di più di quanto si rendano conto. Nessuno di questi si applica in questa situazione.

    "possono invece accedere come account amministratore e da lì fare praticamente tutto ciò di cui hanno bisogno".Il personale IT mi ha detto specificamente che qualcosa su AutoCAD o alcuni dei suoi plug-in lo rendeva impossibile.Sfortunatamente, non conosco i dettagli esatti.
    @jpmc26: Lo so.Fondamentalmente, per far funzionare AutoCAD, era necessario installarlo con i diritti di amministratore come utente che lo avrebbe utilizzato.Il software ha scritto tutti i tipi di cose su HKCU durante l'installazione.
    In qualità di amministratore, la mia terza ragione per non chiedere mai la password all'utente è che la paragono al porgermi le chiavi della sua macchina o di casa ... Quindi non avrebbero alcuna prova che sia stato io o loro a fare qualcosa di nefasto.
    Tuttavia, non lo rende davvero impossibile, un amministratore può modificare l'HKCU di un altro utente.Anche se probabilmente è molto più semplice lasciare che il software lo faccia piuttosto che capire quali chiavi vengono modificate.
    @LieRyan Lasciamolo a "proibitivamente costoso", quindi, poiché cercare di duplicare la logica del programma di installazione di AutoCAD (che probabilmente cambia in base alla versione) è una proposta del tutto irragionevole.;)
    @jpmc26 Sono d'accordo
    Mi piace che questa risposta arrivi alla domanda sul * perché * gli amministratori non dovrebbero conoscere la tua password.Spesso la realtà della sicurezza ha più sfumature della semplice storia che diamo ai clienti.
    barbecue
    2018-11-22 06:28:07 UTC
    view on stackexchange narkive permalink

    Affronterò questa domanda da una direzione diversa.

    La tua domanda si basa sul presupposto che l'account sia responsabilità e / o proprietà del nuovo utente nel momento in cui viene creato, ma non è proprio vero.

    Quando l'account viene creato, appartiene al reparto IT, non all'utente .

    La configurazione iniziale che descrivi avviene prima che il nuovo utente prenda possesso dell'account.

    Il fatto che l'account abbia il nome del nuovo utente non cambia questo. L'amministratore potrebbe creare un account per Paperino e successivamente modificare il nome con quello del nuovo utente.

    L'utente prende possesso dell'account e ne diventa responsabile solo quando effettua il login e assegna la propria password. Questa è la consegna dell'account.

    Supponi di ordinare una pizza per la consegna. Il negozio scrive il tuo nome e inizia a cucinare la pizza. Potrebbero metterci sopra le guarnizioni sbagliate, bruciarlo o lasciarlo cadere. È un problema di sicurezza, perché hanno accesso alla tua pizza? No, perché non è ancora la tua pizza . Non ti è stato consegnato. Se il negozio commette un errore, è responsabile della correzione.

    Dopo averlo pagato e preso in consegna, diventa una tua responsabilità. Se lo lasci cadere o lo lanci al tuo vicino, la pizzeria non è responsabile.

    Per quanto riguarda i problemi relativi all'email, se l'email è presente nell'account prima del primo accesso dell'utente, non importa, perché non è ancora la sua email. L'email non è comunque sicura , è facilmente visualizzabile da qualsiasi numero di persone. Inoltre, nella maggior parte delle giurisdizioni, la posta elettronica aziendale è di proprietà dell'azienda, non dell'individuo.

    Però;Se la tua azienda ti consegna un laptop che puoi utilizzare per uso privato, la maggior parte dei paesi dispone di leggi sulla privacy per proteggere l'utente dall'essere spiato dall'azienda, anche se tecnicamente potrebbe possedere il laptop.Hai privacy al lavoro e hai privacy quando non lavori.Seguendo la tua teoria, ciò significa che l'azienda può semplicemente installare il software RAT perché possiede il laptop, quindi darlo all'utente e non viene fatto alcun danno?
    @KevinVoorn: Mi stavo preparando a rispondere in modo simile con uno scenario semplice: il futuro dipendente decide che il lavoro non ne vale la pena e non inizia mai a lavorare Ora, c'è attività con un nome utente che sarebbe stato usato da luiAveva effettivamente iniziato a lavorare. A cosa serve il mai impiegato? Niente, perché non ha mai avuto accesso e non ha fatto nulla, e non si può ragionevolmente sostenere che l'abbia fatto. Stessa cosa per cose accadute primaha iniziato a lavorare.Per quanto riguarda l'e-mail e la privacy, trasformala in fisica: ha fatto irruzione nel mio cubo senza il tuo permesso e ha frugato nel mio schedario.
    @KevinVoorn l'intera questione se un amministratore IT possa o meno fare cose illegali o nefaste è irrilevante, perché la domanda riguarda eventuali rischi intrinseci nella procedura descritta, NON sui rischi inerenti alla fiducia nel personale IT.Se i tuoi amministratori IT vogliono installare software dannoso sul tuo computer, non hanno bisogno del TUO login per farlo.
    @jmoreno Ecco un esempio del mondo reale tratto dalla mia esperienza.Un utente è stato assunto per una posizione, è stato creato un account, controllato il computer, ecc. Poco prima che iniziasse, è tornato un test antidroga positivo, che lo ha reso non idoneo per il lavoro.A quel punto è stato contattato il secondo classificato per la posizione.Ha accettato immediatamente il lavoro.L'account esistente che era stato creato per il primo dipendente è stato semplicemente rinominato per il nuovo dipendente.Nessuno dei dipendenti possedeva ancora l'account.L'account era ancora sotto il controllo del reparto IT.
    @barbecue È vero, ma stavo dando un altro esempio come hai fatto con la pizza del perché la tua logica ha dei difetti secondo me.Sono d'accordo con la conclusione, ma non con gli argomenti che ci hanno portato ;-)
    @KevinVoorn Se puoi essere più specifico su quello che vedi esattamente come un difetto nel mio ragionamento, cercherò di affrontarlo.Sto affrontando specificamente la questione se vi sia o meno un rischio per la sicurezza intrinseco nell'accesso con le credenziali di altri utenti prima che prendano possesso dell'account e non riesco a vedere nessuno che non esiste anche se una procedura diversaè seguito.
    Quello che stai dicendo è corretto, anche se `` il computer non è ancora di proprietà dell'utente, quindi l'IT può fare tutto ciò che vuole '' non è vero in tutti i casi, questo era comunque il mio pensiero al riguardo.
    [Una catena di pizzerie negli Stati Uniti] (https://www.dominos.com/en/pages/carryout-insurance/) sembra [in disaccordo] (https://www.adweek.com/creativity/dominos-offers-to-aggiusta-buche-nel-tuo-quartiere-così-porta-fuori-pizze-torna-a-casa-in sicurezza /) (per attirare l'attenzione, ovviamente)
    Luc
    2018-11-21 16:55:17 UTC
    view on stackexchange narkive permalink

    In genere si consiglia di utilizzare un account personale per tutto ciò che fai. I log mostreranno chi ha fatto cosa. Ecco perché gli amministratori non accedono tutti solo con "root" o "Administrator", ma hanno i propri account: puoi dire chi ha fatto cosa e puoi facilmente revocare le credenziali dell'amministratore senza cambiare la password per tutti gli amministratori.

    Gli utenti hanno problemi a scegliere password sicure. Se hanno memorizzato alcune password complesse e le usano per tutto, probabilmente puoi già considerarlo un utente superiore alla media. Se gli amministratori conoscono la password dell'utente, potrebbero essere in grado di accedere agli account privati ​​dell'utente (come l'email personale, il servizio di streaming musicale, qualunque cosa). L'amministratore può sempre impersonare un utente: può reimpostare la password, e spesso è anche possibile accedere semplicemente come quell'utente senza conoscere la password. Su sistemi unix-like, puoi eseguire il comando su john per accedere come john: se sei un utente normale, ti chiederà la password di john; se sei root, ti accederà come john senza bisogno della loro password. Questo non è raccomandato per il motivo menzionato nel primo paragrafo, ma è totalmente possibile su molti sistemi.

    L'ultima informazione rilevante è che le cose sono più facili da configurare dall'utente che ne ha bisogno. Se John ha bisogno di Outlook, puoi scrivere uno script e programmarne l'esecuzione al primo accesso. Nelle organizzazioni più piccole, tuttavia, potrebbe essere più efficiente accedere una volta sola come John e configurare Outlook manualmente. Windows in particolare non si presta bene per lo scripting: la maggior parte è possibile, ma non è ben consolidato e alcune cose sono ancora accessibili solo tramite l'interfaccia utente grafica (GUI).

    In conclusione, supponendo che questa sia la procedura stabilita, non vedo alcun rischio in essa. Gli amministratori possono comunque accedere come qualsiasi utente, quindi non ottengono ulteriori privilegi tramite esso. Inoltre non stanno imparando la password personale dell'utente. L'unico problema è che i log mostreranno brevemente attività con il nome sbagliato, ma non vedo alcun vantaggio per un amministratore malintenzionato: ci sono mille altri modi (più semplici) per fare cose dannose.

    Dalla tua risposta vedo che è una pratica accettata che un amministratore imposta una password per l'utente e accede a un sistema come utente (mi limito solo al sistema Windows).Se un amministratore malintenzionato legge le e-mail dell'utente, questo deve essere considerato un rischio accettabile (non ottiene più privilegi con quell'azione).Che ne dici di * inviare * un'e-mail come utente?
    @DiegoPascotto: non c'è motivo di limitarlo a Windows.È perfettamente ragionevole che l'IT controlli che l'ambiente utente funzioni correttamente prima che l'account / il computer venga consegnato loro.Di solito non è necessario, ma in una piccola / media impresa come quella non è affatto insolito.
    @DiegoPascotto Nella risposta ho detto "ci sono mille altri modi (più facili) per fare cose dannose".Un esempio è leggere / inviare e-mail per conto dell'utente: l'amministratore può già farlo senza accedere come utente.O l'amministratore accede con il proprio account amministratore e legge il tuo file di posta (ad es. File PST), oppure guarda nella tua casella di posta sul lato server.L'invio può essere effettuato utilizzando telnet.Per le azioni dannose, non vi è alcun vantaggio nel modificare temporaneamente la password dell'utente e quindi accedere come utente.
    @DiegoPascotto * "Se un amministratore malintenzionato legge le email dell'utente" * Aspetta cosa?Prima dicevi che è una cosa una tantum durante la creazione di un account.Ora dici che c'è un'e-mail nell'account dell'utente, il che implica che l'amministratore non dovrebbe leggerlo.Se cambi la domanda, non dovresti aspettarti che la mia risposta corrisponda ancora.Leggere / inviare e-mail è diverso dal finire la configurazione di un account.
    Non sto cambiando la domanda, in realtà è una cosa unica.Immagino non sia una situazione frequente ma può capitare che durante questa operazione (la configurazione di Outlook) la posta in arrivo abbia già dei messaggi in arrivo.In questo caso la lettura (volontaria o meno) di una mail sarebbe quasi inevitabile (immagina il pannello di anteprima che è impostato di default).La mia domanda è ancora "la configurazione fatta da admin COME UTENTE è una pratica accettabile"?
    @DiegoPascotto Ciò può accadere in uno scenario come questo: viene informato che John Doe inizierà a lavorare tra pochi giorni e dovrà lavorare al progetto X. Crea l'account, inclusa la posta jdoe@example.org.Per qualche ragione, l'effettiva assunzione di John Doe è posticipata di alcune settimane, ma altri membri interni (o esterni prematuramente informati) inviano già la posta.Poco prima della data effettiva, l'IT controlla nuovamente la configurazione.- Direi che è ancora colpa dei mittenti o in particolare delle persone che diffondono (accidentalmente) informazioni false sullo stato di John Doe.
    Frank Hopkins
    2018-11-22 00:03:30 UTC
    view on stackexchange narkive permalink

    la configurazione fatta da admin COME UTENTE è una pratica accettabile?

    Sì, lo è.

    Come con tutte le pratiche dipendono dal contesto. Ma in generale questa è una pratica comune e accettabile, dato che hai un livello base di fiducia nei tuoi amministratori e non un livello molto alto di necessità di sicurezza, come quando proteggi i segreti di stato.

    Va ​​bene , nonostante la regola generale, perché inizialmente il tuo account non contiene dati sensibili. Sebbene vi sia un breve lasso di tempo in cui la posta potrebbe arrivare, prima di modificare la password, è in genere così improbabile che a) sia il caso eb) contenga dati veramente sensibili che di solito non è considerato un problema.

    Tieni presente che molte aziende mantengono il diritto di accedere comunque alla tua posta e / o ai file sulla tua macchina di lavoro . Sebbene le società etiche proteggano tale accesso richiedendo la tua presenza o la presenza di almeno due amministratori quando accedono al tuo account, per assicurarti che agiscano solo in linea con il loro compito amministrativo , per esempio rimuovere un virus, cercare un file assolutamente necessario durante le vacanze, ecc. Le stesse garanzie potrebbero essere in atto per questo breve periodo in cui hanno accesso diretto al tuo nuovo account.

    Nota che devi fidarti del tuo dipartimento di amministrazione in generale: potrebbero semplicemente installare un sistema danneggiato comunque. Tuttavia, il rischio di furto d'identità nel breve lasso di tempo è minimo, poiché risulta chiaro dal contratto e dalla data e ora della modifica della password iniziale, da quando avevi il controllo del tuo account.

    Se la pratica è accettabile senza ulteriori garanzie, ad es. Il principio dei 4 occhi, dipende dalle esigenze di sicurezza della tua azienda / lavoro. Più la sicurezza è cruciale, più rigorose devono essere le protezioni e più si mirerebbe ad automatizzare questi processi per ridurre al minimo la finestra di opportunità per chiunque possa danneggiare la tua macchina / account o ottenere l'accesso temporaneo ai tuoi dati. Nota che quest'ultimo può essere ottenuto anche semplicemente attivando il tuo indirizzo di posta dopo aver reimpostato la password.

    DoubleD
    2018-11-22 00:49:46 UTC
    view on stackexchange narkive permalink

    Accettabile ma non ideale

    Affinché ciò sia accettabile, dovrebbe essere parte di una procedura documentata. Questo serve per spiegare il motivo del comportamento e per precludere qualsiasi accusa di scorrettezza.

    I documenti sono generalmente approvati quando firmati o altrimenti finalizzati, quindi questo stabilirebbe anche l'approvazione ufficiale della pratica.

    Better Idea ...

    Se ci sono azioni che devono essere eseguite con le credenziali dell'utente, è preferibile automatizzare il processo. L'automazione può assumere la forma di uno script, una procedura guidata di configurazione o un portale self-service --- qualunque cosa l'organizzazione preferisca.

    Ciò offre molteplici vantaggi:

    Primo l'interazione dell'utente è ridotta al minimo per evitare errori di configurazione. In secondo luogo, il "tempo di contatto" dell'amministratore è ridotto. Terzo, la configurazione non subirà errori umani o incongruenze tra le distribuzioni. Infine, le tue preoccupazioni sull'utilizzo dell'account saranno eliminate.

    Avvertenze

    Sono necessarie competenze aggiuntive per l'automazione (rispetto all'installazione manuale) e la tua organizzazione potrebbe non avere queste capacità. Alcune piattaforme sono difficili da automatizzare, sebbene questo sia meno problematico di quanto non lo fosse in passato. Oppure l'azienda potrebbe semplicemente non comprendere i vantaggi dell'automazione.

    Tom K.
    2018-11-21 21:35:18 UTC
    view on stackexchange narkive permalink

    Ciò che manca alle altre risposte IMO è:

    Perché questo processo non è automatizzato?

    Il provisioning degli account utente (indipendentemente dal sistema operativo) non è niente di quello che un amministratore dovrebbe fare a mano più e più volte. La configurazione iniziale di un account utente e il provisioning del software possono essere effettuati tramite automazione. Anche l'impostazione della rispettiva password dell'account utente verrà eseguita automaticamente. Dovrebbe essere "modifica dopo il primo utilizzo". Questo processo di automazione deve essere riesaminato regolarmente e deve essere implementato con il principio dei quattro occhi.

    Tutto ciò che un amministratore fa su una macchina deve essere registrato . Se un amministratore si limita a vagare liberamente su un sistema prima del provisioning, è inevitabile che si verifichino scenari di "cattivo amministratore".

    Modifica:

    poiché questa risposta ha suscitato qualche conversazione, lasciatemi aggiungere quanto segue:

    Di seguito sono riportati alcuni strumenti per fornire immagini Windows all'hardware aziendale, per Windows 8 Microsoft Deployment Toolkit e System Center Configuration Manager per Windows 10. Questi strumenti sono strumenti ufficiali di Microsoft, sono gratuiti (per quanto ne so) e dal primo sguardo abbastanza ben documentati. Qui puoi implementare e documentare facilmente tutti i processi per il provisioning di Windows 8/10 sull'hardware aziendale. Tutti gli accessi amministrativi a una macchina dovrebbero essere effettuati tramite strumenti come questi e dovrebbero essere registrati con un server di registrazione. Quindi ci sono meno possibilità per un singolo amministratore di manipolare una singola macchina.

    Se un amministratore gestisce ogni macchina a mano, 1) la manipolazione è possibile e 2) gli errori sono destinati a verificarsi. Un processo automatizzato può essere rivisto e verificato, un processo manuale è impossibile da controllare.

    L'impegno per strumenti come questi è un passo verso un provisioning più sicuro dei sistemi operativi e degli account utente in un ambiente aziendale.

    Come può essere automatizzata la procedura come la configurazione dell'app Outlook sul laptop di una persona?Anche le piccole imprese non sempre investono nell'automazione.Se un'azienda assume circa 10 dipendenti all'anno, lo sforzo richiesto per portare l'automazione e mantenerlo sarà maggiore dello sforzo manuale.
    Per automatizzare un processo di configurazione del sistema di 10 minuti ci vorranno ** di gran lunga ** più di 10 minuti e richiederà sicuramente un amministratore di sistema molto più costoso.Se ottieni un amministratore incompetente per eseguire l'automazione, lo scenario migliore è che non funzionerà.Lo scenario peggiore è che aprono ogni sistema alle vulnerabilità.Hai anche bisogno di un manager che sappia distinguere e sappia assumere per l'automazione.È uno sforzo molto più costoso.Hai mai provato a creare un disco di installazione di Windows personalizzato con driver preinstallati specifici?Mi ci sono volute diverse ore la prima volta ...
    @Nelson Non sono sicuro di dove stai andando?Secondo [questo] (https://xkcd.com/1205/) grafico scientifico (!), Risparmiando 30 minuti settimanali (che sono abbastanza sicuro che questo compito richiederà se leggo correttamente OP) si possono investire 21 orein questo.
    @KolappanNathan Non lo so.Non sono un amministratore di sistema Windows, ma sono sicuro che ci sia un modo.
    Posso assicurarti che 21 ore di automazione dureranno forse 1 mese, quindi dovrai rifarlo quando verranno fuori nuove cose.È molto più complicato se la società non esegue un terminale stupido.Reparti diversi, pacchetti software diversi, ecc. È un tempo enorme e cambia, almeno annualmente, in ogni reparto.
    1. Non credo proprio.2. Anche se, e allora?Solo perché le cose sono difficili, non significa che voglio che la configurazione della mia macchina venga eseguita manualmente da un amministratore.
    @TomK.Ho lavorato in organizzazioni grandi e piccole per molti anni.Non puoi automatizzare tutto.Può essere molto più efficiente per l'amministratore farlo a mano prima che l'utente entri piuttosto che accompagnare il nuovo utente attraverso l'intero processo il primo giorno.Per una "nuova esperienza utente", colpirli con un processo complesso e soggetto a errori è una prima impressione negativa.E sono amministratori, hanno comunque accesso a tutto.
    @schroeder 1. È vero, non puoi automatizzare tutto.Ma sono abbastanza sicuro che questo sia automatizzabile (?) Poiché viene fatto automaticamente nella mia azienda.2. Ogni altro accesso da parte di un amministratore dovrebbe essere registrato e dovrebbe essere responsabile.Se un laptop viene consegnato al reparto IT e un amministratore casuale lo gestisce, nessuno sa chi ha gestito quale macchina.
    @TomK.tranne per il fatto che l'amministratore che lo fa sarebbe noto."Tom stava configurando nuovi dispositivi".E non sono sicuro del motivo per cui deve esserci un'ulteriore attribuzione quando non vi è alcun accesso concesso o esercitato.
    Ho modificato la mia risposta per chiarire le cose.
    L'automazione vale sempre la pena al 100%.Non importa se è un server Linux o Windows o una workstation Linux o Windows.Disponi di automazione che fa risparmiare tempo.Sì, c'è una curva di apprendimento, @KolappanNathan ma una volta che l'hai fatto una volta, il gioco è fatto.Ora sarai sempre in grado di avere processi e procedure ripetibili e sapere cosa fare o aspettarti, riducendo così ogni responsabilità.
    "Lì puoi implementare e documentare facilmente tutti i processi per il provisioning di Windows 8/10 sull'hardware aziendale", parlato come qualcuno che apparentemente non ha mai utilizzato nessuno degli strumenti o ha dovuto affrontare il tentativo di automatizzare le dozzine di altri strumenti di cui avrai bisogno nel tuolavoro quotidiano.No seriamente, in che tipo di ambiente hai utilizzato questi strumenti e quanto tempo hai impiegato per capire come automatizzare l'installazione dei soliti strumenti di terze parti di cui avresti bisogno?
    Lo chiedo perché per esperienza, di solito sono solo le persone che non hanno mai dovuto capire perché MSSQL non è riuscito a installarsi correttamente automaticamente anche se funziona perfettamente se provi gli stessi parametri della riga di comando nella sessione CLI interattiva, che pensano che questo sia banalee fatto in un pomeriggio.Fattibile?Assolutamente.Ma un investimento piuttosto grande che richiede un coinvolgimento costante (sono necessarie nuove immagini molto regolarmente e le procedure di configurazione cambiano continuamente).Per una piccola azienda il ROI non esiste nella mia esperienza.
    nigel222
    2018-11-22 17:36:16 UTC
    view on stackexchange narkive permalink

    Sembra che qui ci sia un presupposto errato, che un PC portatile di proprietà di un datore di lavoro e un account di posta elettronica fornito e pagato da un datore di lavoro in un certo senso appartengano al dipendente. Non lo fanno! La situazione è che sei impiegato e pagato per far funzionare le loro apparecchiature e per elaborare i loro dati. (Idem, gli amministratori di sistema).

    Quindi l'unico modo per essere certi della privacy è gestire questioni private su hardware di tua proprietà. Il tuo telefono cellulare connesso alla rete mobile è probabilmente quel dispositivo, mentre sei al lavoro. Se il tuo datore di lavoro consente l'uso personale della sua connessione a Internet in generale, la comunicazione sicura (https) con un account personale su un servizio di posta elettronica esterno come Gmail è quasi altrettanto sicura, purché ti fidi del tuo datore di lavoro di non farlo fare qualsiasi cosa palesemente immorale come installare un keystroke-logger sul tuo PC di proprietà del datore di lavoro per intercettare la tua password privata e un registratore dello schermo per consentire al datore di lavoro di guardare il tuo schermo in un secondo momento. Nell'UE ciò sarebbe palesemente illegale a meno che le politiche dei datori di lavoro (di cui sei stato informato e che fanno parte del tuo contratto di lavoro) non lo avvertano. È probabile che sia illegale anche se lo fanno, a meno che tu non stia lavorando in un ambiente particolarmente sensibile (nel qual caso è probabile che qualsiasi uso personale dell'hardware del datore di lavoro sia vietato per ragionevoli motivi di sicurezza).

    Gli amministratori di sistema sono pagati dal datore di lavoro per mantenere le proprie risorse in conformità con le sue politiche. Queste politiche dovrebbero essere conformi alla legge. Quindi nell'UE c'è un'aspettativa di privacy rispetto alle e-mail, coperta dalle azioni necessarie per l'esecuzione del datore di lavoro. Quindi un amministratore di sistema potrebbe dover guardare le e-mail "private" per amministrare un sistema di server di posta, ma non dovrebbe mai rivelare o agire su ciò che vede a meno che non riveli una grave cattiva condotta o un crimine. Certamente non dovrebbe mai guardare deliberatamente le e-mail al di fuori delle politiche stabilite dal datore di lavoro e note al dipendente.

    Ma un amministratore di sistema cattivo o corrotto è privilegiato, quindi non c'è nulla da cui puoi proteggerti lui. Se non ti fidi completamente del tuo datore di lavoro, almeno non utilizzare il suo hardware per scopi privati ​​che ti farebbero male se fossero resi pubblici. Al massimo, dovresti cercare un nuovo lavoro!

    Di passaggio, sono un amministratore di sistema di una piccola azienda e imposto i PC più o meno come descritto. In un precedente datore di lavoro, era s.o.p. per inviare una singola e-mail dal PC appena configurato all'account e-mail aziendale dell'amministratore di sistema, rispondere a questa e cancellare la risposta, per assicurarsi che tutto funzioni correttamente. Era anche s.o.p. per inviare un'e-mail più lunga dall'amministratore di sistema all'account del dipendente appena creato, generalmente accogliendolo nell'organizzazione e fornendo informazioni standard su come iniziare. Li aspetterebbe dopo il primo accesso, reimpostando la password.

    blahblah
    2018-11-24 06:50:28 UTC
    view on stackexchange narkive permalink

    Mi sembra che questa domanda sottolinei semplicemente la dicotomia tra "come vorremmo che funzionasse" e "come funziona veramente".

    In un momento storico, scommetto che i ragazzi IT hanno impostato un laptop per un dirigente. Quando hanno passato il laptop, il dirigente si è arrabbiato perché non funzionava o necessitava di una configurazione aggiuntiva. Quindi, vengono sgridati, e probabilmente è stato allora che è iniziata una politica di "accedere e assicurarsi che sia completamente configurato e funzionante prima del trasferimento".

    È l'ideale? No. Ma nessuno in IT è mai sorpreso dalla quantità di sistemazioni che l'IT offre per far funzionare le cose senza intoppi in un'azienda, soprattutto quando ha un impatto sui superiori.

    È un po 'come il modo in cui un appaltatore ottiene assunto, ma continua a dare cattive notizie al noleggiatore che sarà fuori mercato ... beh, un reparto IT che continua a gestire le cose come da manuale e sconvolgere le persone che li assumono alla fine verrà sostituito.

    IT sta spesso camminando su gusci d'uovo e deve scegliere le sue battaglie.

    Configurare un laptop e accedervi per eseguire eventuali post-setup per programmi dispari e ricontrollare per far funzionare tutto (QA) prima del passaggio di consegne ... è qualcosa per cui IT ha appena fatto una concessione per semplificare la vita di tutti. Finché gli amministratori IT erano gli unici a farlo, era una "scommessa sicura" da fare.

    Ma, quando i dirigenti chiedono a qualcuno di accedere per loro e di lavorare (a cui, l'amministratore potrebbe essere risucchiato a cucinare i libri per qualcuno senza rendersene conto) .. o un dirigente / manager che chiede all'IT di rilassarsi su una politica intesa a proteggere gli utenti da se stessi, o proteggere i server dai virus (ad esempio: "lascia che la mia gente mantenga le proprie password sui post-it accanto al computer "... ehm, no.)

    Devi scegliere le tue battaglie. Puoi controllare le policy tutto il giorno e, in effetti, se continui a scavare nella policy, ti sentirai frustrato nel vedere tutte le piccole consolazioni che il reparto IT sta dando per mantenere le cose senza intoppi.

    L'altro problema con questo è che, mentre il reparto IT si consola, può essere visto come un gruppo disposto a piegare le regole .. quindi alcune persone potrebbero non prendere le regole così seriamente, o aspettarsi che le pieghino al punto di rottura.

    Quindi, IT, proprio come la filosofia Jeet Kun Do di Bruce Lee è "essere come l'acqua". Vuoi soddisfare i bisogni e i desideri dell'azienda per cui lavori per far sì che le cose vadano bene, soddisfacendo anche il tuo scopo principale. Ma vuoi anche essere una forza da non sottovalutare se qualcuno ti spinge in una direzione che è chiaramente dannosa per se stesso o per l'azienda.

    Questo è il motivo per cui le aziende hanno un delicato equilibrio. Vuoi assumere persone affidabili nel settore IT. Preferirei dipendenti IT mediocri di cui mi fido, quindi le rockstar che temo trovino modi per sottrarre denaro o sfruttare i server per lavorare su contratti di notte.

    D'altra parte, Inoltre, non voglio che il personale esecutivo pensi di poter camminare dappertutto. Avere a che fare con l'IT dovrebbe essere come trattare con la polizia. Devono essere affidabili da avere abbastanza potere per respingere le persone che sono arroganti, ma anche abbastanza affidabili da non abusare del loro potere.

    Quindi, tl; dr ... penso che tu " ti stai bloccando su una politica che non sembra ideale da un punto di vista accademico / ideale, ma probabilmente è nata da un passo falso del passato e ora agisce come il reparto IT abbastanza attento a controllare le cose prima di consegnarle alla cieca.

    Kwisatz Haderach
    2018-11-22 18:57:10 UTC
    view on stackexchange narkive permalink

    Acquisti una nuova macchina. Almeno una volta all'anno lo porti da un meccanico per la manutenzione (controllo olio ecc.). La maggior parte di noi darà una chiave al meccanico e andrà a fare qualcosa (shopping, caffè, ecc.). Hanno un accesso completo alla tua auto. Possono fare qualsiasi cosa. Lo consideri un grosso problema, dato che potresti lasciare / dimenticare il tuo laptop privato / da ufficio all'interno o alcuni documenti personali o .... ??

    Proprio come la manutenzione della tua auto, preparare il tuo account è qualcosa che deve essere fatto. Puoi sederti, guardare e fingere di sapere cosa stanno facendo o lasciarli fare da soli, fidandosi di loro che sono professionisti e sanno cosa stanno facendo.

    In caso di trasferimento a un nuovo lavoro, sarei più preoccupato per la mia casella di posta piena lasciata sul vecchio lavoro che vuota per un nuovo lavoro.

    Essere paranoici è abbastanza OK, fintanto che sei sicuro di sapere perché sei paranoico.

    Questo mi ricorda una barzelletta sul GDPR:
    Nell'ambulatorio del medico, l'infermiera esce dicendo: "A causa del GDPR non posso dì i tuoi nomi in pubblico, ma quello con la sifilide può andare dal dottore .... "

    Questo non risponde alla domanda e l'analogia non si adatta.L'analogia sarebbe "quando si acquista un'auto, va bene che la concessionaria avesse prima le chiavi?"
    Esempio sbagliato!Avendo affrontato troppe volte meccanici non professionisti ora guarderò con un occhio diverso i ragazzi IT!


    Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 4.0 con cui è distribuito.
    Loading...