A VP está exigindo acesso de administrador ao PC para instalar aplicativos - O que é uma boa estratégia de contenção? [duplicado]

Diga a ele que ele pode ter o mesmo acesso que os administradores de rede e, em seguida, dê a ele exatamente isso:

• Sua conta de usuário padrão. Esta é a conta que ele já tem. Ele está conectado a aplicativos de e-mail, documentos e negócios. Ele usa essa conta para o trabalho do dia a dia e permanecerá inalterado .
• Uma conta de administrador separada na máquina. Esta conta tem privilégios de administrador, mas apenas para essa máquina. É análogo à conta de administrador do domínio de um administrador ou quando um administrador faz login como root. Essa conta deve ser quebrada pelo design para uso diário. Faça coisas como: certifique-se de que ele não está conectado ao e-mail ou a qualquer aplicativo comercial que exija autenticação com base no usuário conectado, ou que nenhuma impressora esteja configurada para esse perfil. Dessa forma, ele terá os incentivos adequados para ser executado como um usuário padrão na maioria das vezes. Com sorte, ele esquecerá a senha e terá vergonha de pedir a recuperação.

Ah ... Estive lá, fiz isso

Certifique-se de ter isso por escrito do chefe:

Você pode obter acesso de administrador, se você absolutamente quer. Mas se algo (não importa o quão trivial) seja fodido no PC, será uma limpeza / reinstalação completa. Não tentará solucionar problemas, pois não há como dizer o que você errou.

Deixe claro por quanto tempo uma reinstalação completa será executada. E tenha absoluta certeza de que ele próprio é responsável por backups de quaisquer dados locais no PC.

Certifique-se também de que eles estejam cientes de que, em qualquer sinal de problema de rede (surto de vírus), seu PC será o primeiro suspeito e será submetido a uma varredura de vírus completa e demorada a partir da mídia limpa.

Pode valer a pena dar-lhes um susto por uma semana ou duas depois de obter direitos de administrador: Colocar um falso positivo nos arquivos temporários da Internet. Quando o vírus-scanner falha, confisque o PC para uma varredura de vírus completa e murmure algo como "Eu espero poder limpar isso ... Eu realmente não tenho tempo para reinstalá-lo .. Você faz tenho um backup recente dos seus dados que eu confio? "

É claro: se o CEO ou o dono da empresa não lhe apoiar, você está ferrado. Ainda assim, informe-os, por escrito, que você considera isso uma grande idéia ruim. Se apenas para a oportunidade "eu te avisei" quando as coisas dão errado. (Geralmente, não demorará muito para que isso aconteça.)

Definitivamente, escreva por escrito para a CYA !!

Envie e-mails sobre cenários típicos de possíveis problemas se alguém tiver direitos de administrador. O mais comum é o vírus infectar toda a rede, levando à perda de dados, negócios e implicações financeiras.

Assegure-se de que o grande chefe concorda com isso antes de fazer qualquer coisa por escrito (não verbal, mas por escrito).

E quanto à contenção, apenas certifique-se de que ninguém ouça sobre isso, senão eles vão querer (aconteceu comigo!). Nenhuma outra maneira de contornar isso infelizmente.

Todas as outras sugestões são boas.

Outro que eu adicionaria à lista é que você, como gerente de TI, seria responsável por rastrear todas e quaisquer licenças de software corretas? Que garantia você tem de que o VP está usando uma licença adquirida para cada produto que ele instala? Ele estará instalando software "livre para uso pessoal" em uma máquina de trabalho?

Eu tenho medo de que, embora você deva ter alguma autoridade em relação aos computadores, rede, etc., como o Gerente de TI, há pessoas que podem substituir essa autoridade. Isso não significa que você não possa afirmar com clareza e objetividade seu caso e obter tudo por escrito caso sua empresa acabe "acima da dobra", por assim dizer.

Você mencionou todos os aspectos padronizados versus não padronizados de permitir isso? Eu empurro para trás se eu pudesse e, no mínimo, obter tudo isso por escrito para CYA. Não há muito o que você pode fazer nesse nível além do seu argumento de padronização.

O que sua política de segurança de TI diz sobre isso? Está dando permissões de administrador VP em um PC coberto e permitido pela política? Se não, o VP e seu chefe (e seu chefe?) Estão lhe pedindo para agir em violação a isso. Isso não pode terminar bem para você.

Se você ceder e der ao VP o que ele quer, você violou a política da empresa, o que já é ruim o suficiente. Mas também qualquer problema que possa surgir e venha a surgir a partir disso será culpa sua, não importa o que você receba por escrito e não importa quantas vezes você diga "eu avisei".

Se você não desmorona e, em vez disso, cumpre a política, você vai irritar os superiores e isso pode custar você no futuro também.

Eu não conheço sua empresa ou qualquer experiência, mas geralmente em uma situação como esta você está basicamente aparafusado e deve encontrar outro emprego onde as políticas (razoáveis) são cumpridas, ou você deve convencer o chefe de seus vice-presidentes de que isso é não é o jeito de lidar com as coisas. Políticas existem por um motivo e não devem ser violadas por capricho de um superior.