Niet in domein, veiliger werken?

Sterker nog: vanuit een domein kan je eenvoudiger allerlei zaken pushen zoals Windows GPO's, anti-virus instellingen, firewall instellingen enz waardoor de computer altijd volgens de regels ingesteld is en daardoor optimaal beveiligd. Of dit ook zo makkelijk kan buiten een domein om betwijfel ik. Ik zou dus juist de computers wel in het domein hangen om bovengenoemde redenen.

De leverancier zal denken dat het browsen naar c$ alleen op een pc kan als deze in een domein hangt en jij domein admin bent.

En het is voor hem waarschijnlijk veiliger als jij middels het dichttimmeren via GPO niet aan de stabiliteit van zijn pakket knaagt.

clogie886 schreef op woensdag 13 februari 2013 @ 04:39:
Ik zit op een project waar de HR computers NIET in het domein zitten maar wel aangesloten op het netwerk. HR gebruikers melden zich dus lokaal aan, dit is veiliger volgens de leverancier die de HR software heeft geinstalleerd, nu kan de computer niet 'gehackt' worden via het netwerk
Ik zie geen enkel probleem om de PC in het domein aan te melden net als alle andere gebruikers. Hij wil verder niets zeggen dan dat het veiliger is en weigert dit.

Met 30 jaar IT ervaring vind ik dit onzin maar misschien mis ik iets...

Iemand enig idee wie hier gelijk heeft daar ik nog nooit deze situatie heb meegemaakt?

Ik weet niet wat voor bedrijf dat is waar je dat project doet, maar eh....sinds wanneer heeft een leverancier van HR Software verstand van computers? Ik bedoel het zou toch bedrijfspolicy moeten zijn om computers wel of niet op het domein aan te laten loggen. Vreemd dat je je dan laat leiden door een leverancier?

Je kunt ze als ict afdeling neem ik aan toch gewoon laten aanmelden op het domein, of zijn die pc's misschien geen eigendom van het bedrijf, maar van de HR software leverancier?

De keren dat ik dit heb meegemaakt was het meer een oneigenlijk argument van een ontwikkelaar/leverancier die 15 jaar achter loopt dan iets anders.

Vraag hem/haar even te verwijzen naar de security baselines / best practices (voor Windows software) waar ze zich op baseren.

Coach4All schreef op woensdag 13 februari 2013 @ 06:30:
En het is voor hem waarschijnlijk veiliger als jij middels het dichttimmeren via GPO niet aan de stabiliteit van zijn pakket knaagt.

Dat is dus een manco van de software of van de documentatie, niet van het in een domein hangen.

of zijn die pc's misschien geen eigendom van het bedrijf, maar van de HR software leverancier?

Dan kan het inderdaad misschien een ander verhaal zijn - maar dan wil je wel een hard contract / SLA hebben inclusief boetebedingen waar de HR-leverancier verantwoordelijk is voor de beveiliging. Liefst inclusief vervolgschade

[ Voor 22% gewijzigd door F_J_K op 13-02-2013 13:34 ]

Een simpele stelling. Niet in domein, geen ondersteuning vanuit ICT.

De leverancier zal wel Aziatische toestanden gewend zijn: Alle PC's in het domain, alle users hebben overal Admin rechten, niemand heeft ooit van virusscanners gehoord en alle PC's staan boordevol illegale software en de bijbehorende trojans en virussen. Dan is een stand-alone PC misschien toch wat veiliger.

clogie886 schreef op zondag 17 februari 2013 @ 04:40:
Iedereen bedankt voor je reactie, ik zie dus niets over het hoofd. Werk niet in Nederland maar in Azie en als ik mijn mening 'doordruk' (wat ik misschien wel zou moeten doen) verliest de leverancier 'face' en zit ik daarna met een leverancier die niet erg behulpzaam meer is. Ik moet dus soms geven en soms nemen al valt dat niet altijd mee. Laat ik het woord SLA maar helemaal niet in mijn mond nemen hier .....

Hmm..maar eh..ik mag toch hopen dat ict toch gewoon eisen heeft met betrekking tot het wel/niet ondersteunen van zaken? Lekkere business daar in Azie...als jij als ICT eisen stelt zou een leverancier gezichtsverlies lijden..? Pfff...ben ik blij dat ik niet in Azie werk zeg Zou daar niet goed tegen kunnen...

Ach, komt vaker voor. Hier hebben we 2 identieke servers staan t.b.v. bestandsverwerking/colormanagement (Kodak Prinergy). Kodak beheert die dingen en hostnamen, gebrukkersaccounts en workgroupsettings worden dus door Kodak voorgeschreven.
Virtualisatie? Vergeet het maar, gevolg 1 server heeft het heel druk, de andere server doet geen reet.

Het topic loopt al even dus ik zal niet overal op ingaan maar...

dit is veiliger volgens de leverancier die de HR software heeft geinstalleerd, nu kan de computer niet 'gehackt' worden via het netwerk

Een goed geconfigureerde netwerkomgeving is een stuk eenvoudiger te beveiligen dan een lokale machine. Hoewel een lokale machine inderdaad ingebouwde beveiligingen heeft tegen netwerktoegang, is het beheer, beveiliging en herstel via een netwerk een stuk beter te regelen .

clogie886 schreef op dinsdag 19 februari 2013 @ 08:22:
Het voordeel is wel dat er NIETS aan de PC kan veranderen dus alles blijft zoals het is. Zelf Group Policies kunnen de PC niet down krijgen - alles blijft gewoon werken...

Ik heb nog nooit een machine down gekregen met GPO's, kwestie van testen voor je ze uitrolt.