none
Zabezpečení počítačů v doméně

    Dotaz

  • Zdravím, nejsem příliš zkušený administrátor a tak jsem se chtěl zeptat odborníků. Pokud je můj dotaz hloupý, tak se předem omluovám.

    Mám síť s jedním 2008 serverem. Tento server je jako řadič. V doméně je cca 25 PC klientů s w7. Jak vy jako admini nastavujete uživatelské účty na klientech. Jde mi o to aby nemohl počítač používat někdo cizí.

    Zatím mne napadl takovýto scénář:

    Na všech klientech odebrat lokální účty
    Všem klientům nastavit povinnost hesla
    Na všech klientech zakázat (nebo zaheslovat) účet administrator
    Na všech klientech nastavit uživatele jen do skupiny Users, případně PowerUsers, tak aby si nemohli nový (lokální) účet vytvořit

    Jen nevím co třeba v případě, že budu mít dovolenou a někdo bude potřebovat něco nainstalovat tak mu to nepůjde, pokud bude ve skupině Users, či PowerUsers. jak takovéto případy řešíte?

    Děkuji za odpovědi.

    3. prosince 2012 13:24

Odpovědi

  • 1. Prilis mnoho omezeni je kontraproduktivni. (Administrator na ne zapomene a pak se divi, proc to ci ono nefunguje.)

    2. Bezny uživatel nemá zadna specialni prava, ze kterých by mohly čišet obavy.

    3. Proti "nahodne" instalaci programu nasadte prostředky skupinovych politik (Najdete si přednášku Jeremy Moskowitze na TechEdu, nebo si obstarejte jeho knihu)

    4. Pokud mate vedeni organizace postizene fobii ze ztraty dat ci jinych nepristojnosti, nasadte audit, popřípadě další nastroje tretich stran pro rizeni pristupu přes media.

    5. Instalace v nepritomnosti administratora je za normálních okolnosti výjimkou. V pripade cesty kolem světa, nebo smrti administratora je dobře, aby bylo hlavni heslo a popis systemu ulozene na dobrem miste, kam ma vedeni firmy pristup. V dobře organizovane firme se v nepritomnosti administratora zpravidla nic neinstaluje a nekonfiguruje, protože administrator da před odletem vse do fungujícího stavu. Výjimkou necht je pritomnost znale a odpovedne osoby, která administratora zastoupi.

    M.

    • Označen jako odpověď Jan Valentik 4. prosince 2012 8:27
    3. prosince 2012 15:52
    Moderátor
  • Zacni tim, ze uzivatele budou seznameni s/ a podepisou IT smernice o tom co se musi/nesmi/smi. No a pak postupuj dle selskeho rozumu. Pouceny uzivatel s adinistratorskymi pravy je casto mene rizikovy nez i.iot byt s omezenym uctem.

    Lokalni ucty nech, az bude nejhur, budes rad, ze mas aspon jednoho lokalniho Administratora - samozrejme se silnym a jen tobe a trezoru znamym heslem. Zahesluj BIOS / znemozni bootovani z cehokoliv jineho nez HDD.

    MP


    3. prosince 2012 14:36
    Moderátor

Všechny reakce

  • ahoj,

    na uvod, nez se rozhodnes, jak moc budes omezovat klienty....pokud ma clovek, trosku znaly, pristup k fyzickemu stroji, je prakticky nemozne mu zabranit jakkoli nabourat pc a stat se lokalnim adminem (BIOS se da vyresetovat, hesla zmenit, zalozit novy ucet atp atp). Alespon pokud neplanujes nasadit nejake sifrovani dat.

    to, jak si to pak nastavis dal asi zalezi na tom, jak moc prace chces mit v budoucnu, v podstate i user nebo power user muze instalovat programy, kdyz jsou vhodne vypublikovane pres GPO jako nejake balicky. Uzivatelum pres AD muzes priradit jen urcite PC, na ktere se bude hlasit a dalo by se pokracovat dal.....

    Obavam se, ze na toto nejaka univerzalni rada neexistuje, kazdopadne bych vse nejdrive naplanoval. S uzivateli je to nekdy dost tezke, zvlast, kdyz je to majitel firmy, ktery pro vypocetni techniku nema moc pochopeni....s omezenim bych mozna byl na zacatku trosku opatrnejsi a postupne pritahoval srouby, aby se nestrhla nejaka vlna nevole a nebyly zbytecne problemy... Mozna by nebylo od veci se domluvit s nejakym uzivatelem a zkouset to prvne na nem, nez vse nasadis v realu.

    3. prosince 2012 13:52
  • Děkuji za názor. Toho právě se bojím, že utáhnu šrouby moc a pak dojde k nějaký situaci, kdy bude potřeba něco udělat hned, ale bez mé přítomnosti to nebude možné. Více méně mi jde i o to abych běžným uživatelům znemožnil instalovat bezhlavě co jim to nabídne. Například Chrome, který je nacpaný úplně všude. Vím, že heslo admina jde resetnout (případně i vypnutý účet aktivovat, zrovna předevčírem jsem to kamarádovi dělal), ale na to už je potřeba nějaké znalosti mít a to nikdo z našich zaměstnanců nemá.
    3. prosince 2012 14:33
  • Zacni tim, ze uzivatele budou seznameni s/ a podepisou IT smernice o tom co se musi/nesmi/smi. No a pak postupuj dle selskeho rozumu. Pouceny uzivatel s adinistratorskymi pravy je casto mene rizikovy nez i.iot byt s omezenym uctem.

    Lokalni ucty nech, az bude nejhur, budes rad, ze mas aspon jednoho lokalniho Administratora - samozrejme se silnym a jen tobe a trezoru znamym heslem. Zahesluj BIOS / znemozni bootovani z cehokoliv jineho nez HDD.

    MP


    3. prosince 2012 14:36
    Moderátor
  • 1. Prilis mnoho omezeni je kontraproduktivni. (Administrator na ne zapomene a pak se divi, proc to ci ono nefunguje.)

    2. Bezny uživatel nemá zadna specialni prava, ze kterých by mohly čišet obavy.

    3. Proti "nahodne" instalaci programu nasadte prostředky skupinovych politik (Najdete si přednášku Jeremy Moskowitze na TechEdu, nebo si obstarejte jeho knihu)

    4. Pokud mate vedeni organizace postizene fobii ze ztraty dat ci jinych nepristojnosti, nasadte audit, popřípadě další nastroje tretich stran pro rizeni pristupu přes media.

    5. Instalace v nepritomnosti administratora je za normálních okolnosti výjimkou. V pripade cesty kolem světa, nebo smrti administratora je dobře, aby bylo hlavni heslo a popis systemu ulozene na dobrem miste, kam ma vedeni firmy pristup. V dobře organizovane firme se v nepritomnosti administratora zpravidla nic neinstaluje a nekonfiguruje, protože administrator da před odletem vse do fungujícího stavu. Výjimkou necht je pritomnost znale a odpovedne osoby, která administratora zastoupi.

    M.

    • Označen jako odpověď Jan Valentik 4. prosince 2012 8:27
    3. prosince 2012 15:52
    Moderátor
  • Děkuji všem za cenné rady, nějak se tím proberu a snad to bude dobré. O směrnici uvažuji již delší dobu a na aplikace možná tedy bude lepší si v AuditPro nastavit aemail notifikace pokud si někdo něco nainstaluje. Sice nemožnost nainstalovat by byla lepší, protože i když mu to hned zase odinstaluju, tak v PC vzniká bordel, který po sobě aplikace zanechají. Ovšem pojeb od šéfa že něco nešlo bez mé přítomnosti za to nestojí, vzhledem k tomu že na IT jsem tady opravdu jen já a není tu nikdo koho bych mohl po dobu dovolené zaúkolovat.
    4. prosince 2012 8:15