[XP] Hoe administrators beletten service uit te schakelen

Beetje vreemde gang van zaken Dus omdat mensen het niet eens zijn met beleidvoering, laten jullie het toe dat ze dingen uitzetten

Punt is dus dat ze dingen moeten kunnen installen, lastig maar je kan er ook aan denke ze alsnog een limited acc te geven en de progs over het netwerk te installen. Werkt bij de grotere bedrijven ook wel zo

tsja, ze zijn administrator dus kunnen ze services uitschakelen. En als er zoveel software geinstalleerd wordt, waarom niet een tool daarvoor gebruiken en de users beperkte rechten geven. Verder, Ook al zijn ze het niet eens met de installatie, lijkt het me toch tegen company policy in te gaan dat ze die service uitschakelen....

IK verduidelijk je topic titel nog even.

De meest eenvoudige manier om ervoor te zorgen dat je geen gebruikers aan je buro hebt staan die zeuren om installatie pakket X is om ze local admin te maken.

Daarbij maak je bewust een keuze om geen enkele optie die MS ingebouwd heeft aan beveiliging en beheersbaarheid van een werkstation overboord te zetten.
Slechte keuze hebben jullie gemaakt imho.

Maar volgens mij kun je ook nog rechten zetten op registersleutels, en draaien services vaak ook onder een account. Denk dat je het die kant op moet gaan zoeken als je aan je keuze (gebruikers local admin) wil vasthouden.

Ben wel benieuwd welke service ze dan om zeep helpen

aZuL2001 schreef op woensdag 28 maart 2007 @ 09:56:
Ben wel benieuwd welke service ze dan om zeep helpen

Waarschijnlijk een service die doorgeeft aan de baas waar de medewerkers mee bezig zijn (en dan denk ik aan gamen, porno kijken en al het andere wat niet de bedoeling is).

Buiten de structurele problemen in het bedrijf (users met admin rechten, personeel wat zich verzet tegen de beleidvoering etc) is er een hele gemakkelijke oplossing: Gewoon 1 of 2 ontslaan vanwege het uitschakelen van bedrijfskritische systemen, dan houdt de rest vanzelf op.

Of gaat dat niet omdat het programma misschien toch niet helemaal volgens de Nederlandse wet werkt?

Je kan met 'sc sdset' de security descriptor via SDDL instellen op een service (even zoeken op die keywords geeft je wel meer info) en op die manier administrators het recht ontnemen om services te stoppen.

Overigens is dat niet zinvol, want een administrator kan ook die security descriptor dus weer aanpassen, maar als jij met je gebruikers graag een kat en muis spelletje wil spelen in plaats van het structureel op te lossen ...

Is het misschien een optie om een opstart script te draaien bij aanmelden op het netwerk: geen service geen toegang op shares of internet?
Daanraast zijn er volgens mij ook programma's van derden die middels wachtwoord beveiliging dingen blokkeren.
Binnen ons netwerk is iedereen local admin omdat anders bepaalde pakketten niet werken, maar de virusscanner de-installeren kan alleen met een wachtwoord, en indien iemand hem toch verwijderd wordt ie de volgende keer bij opstarten weer net zo hard geïnstalleerd. De service van de on-access scanner mag ik niet stoppen, vraag me niet waarom (interesseert me stiekem ook niet, is zo al druk genoeg) maar gewoon stoppen weigert ie.

Verwijderd schreef op woensdag 28 maart 2007 @ 10:23:
Ten eerste het is geen applicatie die tegen de Nederlandse wetgeving is maar gewoon een service die een inventarisatie maakt van de geïnstalleerde software en hardware binnen het bedrijf.
Ten tweede het zou de eerste gebruiker zijn die ze sinds 15 jaar binnen ons bedrijf ontslaan. Om welke reden dan ook!

Over 'sc sdset' wil ik wel wat meer weten. Het kat en muis spel is al langer bezig maar goed. De gebruikers moeten gewoon werken en een ICT-Beheer doet zijn baan alleen maar door alles te beveiligen. De gebruikers moet hun gewoon werk doen en onze services uitschakelen en wij hoeven alleen maar te zorgen dat alles blijft lopen

Vind ik dus niet logisch. Ik weet niet wat voor werkzaamheden deze clients hebben, maar ik zou dus echt ervoor zorgen dat ze geen rechten meer hebben. Desnoods zet je er een monitoring tool op, zodat je weet wanneer deze service uitgeschakeld is. Zodra je dat ziet, neem je de desktop lekker over en schakel je het weer in. Erg irritant, maar dan weten ze tenminste dat je het meent.

en zoals al meerdere keren gezegd, maak ze geen admins. Het is niet dat je en en kan doen in dit soort situaties. OF ze hebben geen tot weinig rechten en jij beheert alles OF je laat ze lekker hun gang gaan en je zit zonder baan

ICT beheer is niet alleen maar zorgen dat je zelfgecreerde problemen oplost. In tegendeel: je bent er om problemen te verhelpen. Dit is gewoon mensen pesten

En je gaat je toch afvragen, waarom werknemers deze service willen uitschakelen... Duidelijk om iets te verbergen. (en kom niet aan met het BS argument: inbreuk op de privacy )

[ Voor 5% gewijzigd door Notna op 28-03-2007 10:29 ]

je kan dmv een gpo rechten op een services zetten... misschien dat je daar mee wat kan?

Gover schreef op woensdag 28 maart 2007 @ 10:17:<knip>
Binnen ons netwerk is iedereen local admin omdat anders bepaalde pakketten niet werken,

Lekker pakket is het dan. Is binnen een zakelijke omgeving compleet gestoord imho.

Maar dan nog kun je, maar dat is (je) werk, rechten zetten op mappen en registry keys.
Zodat voor de groep "bepaald pakket" er toch voldoende rechten zijn.

Op zich zou de leverancier van dat pakket die info gewoon moeten kunnen verstrekken.
Tenslotte is rechten binnen een NT gebaseerde, maar eigenlijk alle serieuze bedrijfsomgevingen, niets nieuws, en is imho compleet gestoord dat een pakket admin rechten nodig heeft om te kunnen werken. Is meestal de easy way out voor een support afdeling (en dan zeker voor de leverancier).


Aanvulling op Duinkonijn:
Je kunt services ook zo inrichten dat ze na gestopt te zijn na een minuut weer automatisch starten

Verwijderd schreef op woensdag 28 maart 2007 @ 10:23:
Over 'sc sdset' wil ik wel wat meer weten.

Daar kom je met google wel verder mee lijkt me

Het kat en muis spel is al langer bezig maar goed. De gebruikers moeten gewoon werken en een ICT-Beheer doet zijn baan alleen maar door alles te beveiligen. De gebruikers moet hun gewoon werk doen en onze services uitschakelen en wij hoeven alleen maar te zorgen dat alles blijft lopen

Dit klinkt alsof er geen enkel (directie gedragen) ICT beleid is, maar een ICT afdeling die zelf bedenkt wat de gebruikers nodig hebben. En dan ga je de strijd verliezen ! Een ICT afdeling is er voor de gebruikers, en er zijn geen gebruikers om de ICT afdeling in stand te houden.

De directie zal moeten bepalen wat wel en wat niet mag. En ICT voert dat beleid uit. Gebruikers die dat saboteren maken hun eigen positie uiterst wankel. En ik weet dat niet of die 15 jaar reklame is.

Pak de problemen bij de bron aan, en hou op met symptoom bestrijding.

[ Voor 42% gewijzigd door aZuL2001 op 28-03-2007 13:07 . Reden: aanvulling, uitgebreidere aanvulling ]

Hoewel ik het met aZul eens ben dat dit je hier probeert een gevolg "op te lossen" van een heel ander probleem zou ik het eerst naar GPO's kijken.
Met een Group Policy kun je aangeven hoe je een service wel of niet wil starten en ook gelijk rechten uitdelen.

Je kunt in ieder geval een startup-script maken die checked of de service draait en anders op automatic zetten, en starten, dan draait de service in ieder geval eenmalig per dag bij het opstarten van de pc.
Zorgen dat je compmgmt.msc en services.msc niet mag starten (kun je natuurlijk altijd nog via net stop .... de service stoppen).
Verder toch maar een inventariseren waarom een applicatie niet werkt zonder admin-rechten en zonodig aanpassingen maken zodat het pakket wel werkt. Meestal is power-user ook al genoeg.

15 jaar al niemand meer ontslagen?

Dan kun je juist maar beter extra streng zijn, voordat je het weet gaat het van kwaad tot erger en dan denken de medewerkers dat ze alles maar mogen.

Kom je binnen als baas, zit je nietmachine in de jello....

Ideetje:

Draai een extra service die alleen checkt of de service draait, geef deze een niet boeiende naam zodat hij niet opvalt. Zodra dat gebeurd zet je die machine gewoon in een ander subnet zodat hij niks meer op het netwerk kan.
Het is ontzettend flauw, maar vaak wel erg effectief. Onder het mom: "Als je MSN oid wil gebruiken regel je maar je eigen internet/netwerk verbinding"

Op deze manier gebruik je hetgene waar jij verantwoordelijk voor bent: het netwerk, om te zorgen dat hetgene waar je samen voor verantwoordelijk bent: de werkstationen in de lucht blijven.

Ook het weigeren van support is vaak zeer nuttig:
Je krijgt mailtje binnen: "Kunnen jullie dit regelen"
Mailtje terug: "Helaas gaat dat niet aangezien je programma X hebt uitgezet"

En dan mag hij gaan uitleggen aan zijn baas waarom hij zijn productiviteit en de rest van de organisatie in gevaar moet brengen om te kunnen chatten met de buurvrouw of filmpjes en muziek te downloaden. Vooral nog even laten vallen wie van de twee de expert is op dit gebied en klaar.
Overigens na zo'n actie meteen alles weer herstellen, zodat het bij je punt blijft, anders krijg je idd. kinderachtige acties zoals ^^^

aZuL2001 schreef op woensdag 28 maart 2007 @ 12:39:
[...]


Lekker pakket is het dan. Is binnen een zakelijke omgeving compleet gestoord imho.

Maar dan nog kun je, maar dat is (je) werk, rechten zetten op mappen en registry keys.
Zodat voor de groep "bepaald pakket" er toch voldoende rechten zijn.

Absoluut dat zou ik kunnen doen, maar dat kost me zeker een half uur en die tijd kan ik een stuk nuttiger besteden. De regel is simpel als je iets installeert of verkloot heb je pech totdat ik een keer tijd heb om het voor je op te lossen, dat is pas 2 keer voorgekomen in de afgelopen 3 jaar. En reken maar dat niemand zin heeft om aan de directeur uit te leggen dat ie een pr0n ding had geïnstalleerd of erger nog de Google of Yahoo toolbar...
Je krijgt van de baas gereedschap en als jij geen zin hebt om te begrijpen hoe je een pc moet gebruiken, dan zit je blijkbaar op een te hoog functie niveau. Net als met een hamer; als je hem verkeerd gebruikt gaat er iets kapot...je duim (én indien de PC: je word-documenten....)

(ter info: 65 werkplekken, bezig met een out-sourcing project voor IT, ik heb teveel werkzaamheden tegenwoordig om met goed fatsoen beheerder te spelen, maar in de tijd dat ik nog wel/alleen beheerder was gold deze regel ook al). Als mensen extra software nodig hebben dan vragen ze toestemming. Oh ja...virusinfecties of trojans, 2 maal vermoedelijk in de afgelopen 3 jaar, maar uiteindelijk niet met zekerheid aantoonbaar in de logs).

[ Voor 7% gewijzigd door Gover op 28-03-2007 17:20 . Reden: typo's + aanvulling ]

Nofi, maar proberen goed te spreken dat gebruikers beheerder-rechten hebben is nog erger dan het daadwerkelijk te doen.

Als er dusdanige structurele problemen zijn binnen een bedrijf is het nodig structurele oplossingen te zoeken, niet snel de boel af te raffelen met half bakken korte termijn 'oplossingen'.

Ben ik niet helemaal met je eens.

Het zou persoonlijk mijn keuze ook niet zijn om gebruikers met beheerder rechten te laten werken, maar Gover maakt in ieder geval een bewuste keuze. En dat lijkt voor hem en zijn opdrachtgever te werken.

En in het geval van TS heb ik zeer sterk de indruk dat er geen bewuste keuze is gemaakt dan wel ook maar enig beleid / visie aanwezig is. Vandaar zijn "probleem".

Beetje vreemde gang van zaken, jij zegt, het kijkt alleen naar welke software en hardware op pc staat.
Echter de gebruikers hebben blijkbaar een andere mening.

Ik zou zeggen, wees is duidelijk binnen het bedrijf. Als je controle software invoert, moet dat trouwens zowiezo al duidelijk bekend gemaakt worden.
Als het puur kijkt, naar welke software/hardware aanwezig is, zou ik zeggen, geef is duidelijk aan, wat het programma doet en leg dat uit.

Als je onduidelijk bent over zulke dingen en het bedrijf ook, kun je soms verwachten, dat gebruikers ook anders reageren.
PS: ik als gebruiker, check ook absoluut wat ze aan een pc veranderen en als ze dingen erop zetten, zonder dat het bekend gemaakt is....

nou.. dat valt te betwisten..

bij ons geldt de regel alle acties mbt beveiliging cq computer aan te passen is verboden...

dus gebruikers hebben niet veel in te brengen, als er bepaalde programma`s worden uitgerold.

gaan ze daarmee niet accoord.. dan moet men gewoon geen gebruik maken van de computers...

maargoed... bij mij hebben ze ook geen admin rechten

Verwijderd schreef op woensdag 28 maart 2007 @ 17:35:
Nofi, maar proberen goed te spreken dat gebruikers beheerder-rechten hebben is nog erger dan het daadwerkelijk te doen.

Als er dusdanige structurele problemen zijn binnen een bedrijf is het nodig structurele oplossingen te zoeken, niet snel de boel af te raffelen met half bakken korte termijn 'oplossingen'.

<geheel offtopic uiteraard>
Ik ben het enerzijds volledig met je eens, wanneer goed geïmplementeerd en met voldoende resources voor beheer is dit een zeer goed model.
Wanneer dadelijk een derde partij een groot deel van het beheer gaat overnemen gaan zij wel restricties plaatsen zonder onmiddellijk alles volledig dicht te zetten zodat je zelfs je bureaublad-instellingen niet meer kan controleren.

Ik zal hieronder mijn insteek uiteen zetten. Ons bedrijf groeit en zal als het goed gaat nog een tijdje flink doorgroeien, wanneer ons bedrijf groter wordt zullen restricties noodzakelijk worden omdat ik of welke willekeurige beheerder dan ook niet meer de tijd heeft om opvoeder te spelen.

Mijns inziens is ieder individu voor een zeer groot gedeelte verantwoordelijk en derhalve direct aansprakelijk voor zijn of haar handelen; 'Ich habe es nicht gewuβt' is geen valide argument, want wanneer je niet weet wat je doet, dan zorg je ervoor dat je de juiste informatie bemachtigd. En tuurlijk kun je dan een fout maken en die wordt dan samen met de veroorzaker verholpen.
Je hoeft de computer niet lief te vinden, of interessant of wat dan ook, maar ik verwacht dat je wel leert om op een verantwoordelijke manier om te gaan met de gereedschappen die nodig zijn om je werk te doen. Vergelijk het met een grote papiersnijder of zaagmachine, daar ga je ook niet mee klieren. En wanneer je het moeilijk vind of niet begrijpt zal ik de tijd nemen om alles met de persoon in kwestie door te nemen, eventueel in Jip en Janneke taal.

De basisregels bij ons:

- Wil je iets installeren, beargumenteer waarom je het nodig hebt en vraag toestemming.
- "Help de computer doet het niet...?" .....de gebuiker komt naar mij met de antwoorden op: "Wat doet ie niet, wat was je aan het doen? Schrijf de foutmelding exact over (nee niet de hex-codes), heb je je werk opgeslagen recentelijk? Etc..."
- Op vage internet sites: klik kruisje en niet ja/nee (ok niet waterdicht, maar de virusscanner moet nog iets te doen hebben).
- De enige domme vraag is een niet gestelde vraag!
- Niet klieren in dingen als het configuratiescherm als je niet weet wat je doet.
- Heb je zitten kloten omdat je vind dat je een geweldige tweaker bent, niet mijn probleem. Ga maar bij de baas zeuren of ik het mogelijkerwijs kan oplossen op korte termijn.

De servers zijn overigens uitstekend dichtgetimmerd, hoewel er hier genoeg lezers zijn die hem binnen het uur hacken. Men is geen beheerder over het netwerk slechts het 'eigen en persoonlijke' werkstation.

Mijn persoonlijke ervaring leert mij dat het geven van enige verantwoordelijkheid en zonder te betuttelen een prima werkbare situatie oplevert. Al denk ik wel dat dit volledig afhangt van de persoonlijke eigenschappen van de beheerder. Maar voor mij werkt het en ik hoef geen politie-agent te spelen. De reden dat ik stop met beheer, het is voor mij een gepasseerd station, het mag weer hobby worden en ons export-product is gewoon veel leuker en een grote uitdaging..

Je hebt gebruikers die het er niet mee eens zijn en die service uit willen schakelen. De gebruikers hebben admin rechten omdat er heel veel software moet worden geinstalleerd. Blijkbaar hebben ze dan ook wel enige kennis van zaken.

Wat je wilt kan dan dus niet. De gebruikers hebben de kennis, de administratieve rechten en de motivatie om je dwars te zitten. Wat je ook bedenkt, ze zullen het de nek om draaien.

Het is vaker gezegd, je probleem is heel anders. Of je geeft ze geen admin rechten, of je geeft ze wel admin rechten maar dan moeten ze door de directie wel verantwoordelijk gesteld worden voor het navolgen van de bedrijfspolicy. Je moet de directie duidelijk maken dat als ze je in deze niet steunen je inventarisatie software nutteloos zal zijn omdat er PC's "niet meedoen". Dan kun je dus geen inventaris rapporten afleveren.

Maar misschien is er een alternatieve oplossing mogelijk?
Moet er echt zoveel software geinstalleerd worden dat je het als systeembeheerder niet kunt doen ? waarom eigenlijk ? als het om te testen is zou je ze een virtuele machine kunnen geven om mee te doen en laten wat ze willen. Dan kun je de echte machine schoonhouden.

Drastische aanpak kan ook, toegang tot het netwerk weigeren als je service niet draait. Maar dat gaat geld kosten. Dan moet je denken aan zoiets als Cisco's Delf-Defending network.
http://www.cisco.com/en/US/products/hw/vpndevc/index.html

Korte versie van wat het doet. Je installeerd een stukje cisco software op de PC. Die software communiceert met een centrale server op het netwerk. Die server beheerd de Cisco switches in je netwerk. Die switches blokkeren standaard al het verkeer op de poort, behalve naar die ene centrale server.
Pas als die server tevreden is gesteld omdat de PC aan allerlei policies voldoet (AV geinstalleerd en up to date, windows patches up to date, jou service draaiend, etc) wordt er ook ander verkeer toegestaan.

Overigens ook te gebruiken voor fijner regelwerk. (zoals onbekende pc's wel toegang tot internet, maar niet tot het interne bedrijfsnetwerk.)

@Gover:

Je kunt wel zeggen dat er situaties zijn waarbij het een goede oplossing lijkt en dat zal ook zeker zo zijn, neemt niet weg dat je het gewoon niet hoort te doen. Het is in den beginnen al fout, hoe je het ook gaat bekijken.

Binnen Windows en Active Directory is het erg eenvoudig een gebruiker een hoge mate van vrijheid te geven zonder dat dit werkstations om zeep kan helpen. Het is relatief eenvoudig te regelen dat de gebruiker bepaalde zaken wel met de juiste rechten kan draaien zonder hem daadwerkelijk die rechten te geven.

Ook kun je ervoor zorgen dat bij het uitloggen of na het opnieuw opstarten (denk reborn kaart) eventuele wijzigingen ongedaan worden gemaakt. Op die manier kun je de gebruikers een tool geven waarmee ze bepaalde zaken even tijdelijk als administrator kunnen draaien (denk aan het installeren van een programma of bijvoorbeeld iets van diagnose) zonder dat dit blijvende effecten heeft op de computer.

Doordat alle gegevens van een gebruiker zijn opgeslagen in een roaming profile (en daarbij is een NAS voor storage wensbaar aangezien je het roaming profile niet al te groot wil hebben) kunnen ze op ieder moment op iedere lokatie inloggen en direct aan de slag alsof het een eigen omgeving is.

Via de tool waarmee ze bepaalde zaken als administrator kunnen doen is het dan ook niet nodig dat iedere werkplek de tools heeft voor iedere gebruiker/type gebruiker/afdeling. Gewoon de .msi files in een map zetten die voor alle gebruikers te lezen is en ze kunnen het in no-time installeren wanneer nodig.

Doordat gebruikers zelf kunnen installeren kunnen ze eenvoudig tools testen en jou laten weten wat hun bevindingen zijn, op die manier kun jij het opnemen in het standaard software pakket en via active directory deployen op alle PC's.

Een goed beleid werkt altijd veel beter dan een quick fix, ook al denk je dat een quick fix beter is.

Gebruikers beheerders rechten geven is altijd fout, hoe je er ook naar kijkt.

Dit is de laatste post hierover aangezien het veel te offtopic is, als je er meer over wil praten met iedereen hier kun je het beste even een apart topic openen: "Gebruikers beheerdersrechten geven, goed of fout?"

Is het mogelijk om een service te beveiligen tegen verwijderen en uitschakelen?

Uitschakelen:
Je bedoeld net als Nod32 (Nod32km) en VSMON (Zone Alarm)
Dat zijn ook protected services tegen stoppen.
Hoe ze dat gedaan hebben weet ik niet uit me hoofd maar misschien help ik je wel zo op weg


Verwijderen:
Ik denk dat je enige met een rootkit idee weg komt zoals hxdef.
Want de gebruikers kunnen altijd een (protected ook?) services weggooien en rebooten.
Of je moet een script (niet zichtbaar) maken die telkens de services weer aanmaakt bij het inloggen