Administrator rechten beheer tools in bedrijfsomgeving

Ik ben volledig admin over mijn werklaptop. Er worden wel wat dingen via policy's geregeld geloof ik, maar dat is meer dat er wordt gecontroleerd of de virusscanner nog draait (scriptje bij opstarten denk ik).

Verder is het beleid more or less. Je zoekt het zelf maar uit, als hij stuk is zetten wij een nieuwe image erop en succes.

Voor een hacker zijn dit soort situaties ideaal. Kost je weinig tot geen moeite om een backdoor te planten. Wachten tot de machine online komt in het bedrijfsnetwerk. Lateraal bewegen door de omgeving heen. Pass the hash op een machine waar een admin of helpdeskmedewerker op inlogt. En je bent je netwerk kwijt.

Een werklaptop is in mijn ogen gewoon een werklaptop. Dus bedoeld voor werkt.
Dat je daar thuis ook op mag internetten e.d. Prima. Maar laat gebruikers daar geen eigen software e.d op zetten. Zo krijgt je dat mensen eigen rotzooi installeren, KMSpico achtige tools. En zelf zaken gaan aanpassen die bv het werkverkeer niet meer mogelijkmaken.

Genoeg dingen gezien dat door foute handelingen er bv geen goede VPN naar het werk gemaakt kon worden.
Of dat mensen bv gewoon verwachten support op Offce2016 te krijgen terwijl het bedrijf nog 2010 heeft bv.

Mijn advies is dan ook er mee oppassen. En goede afsprakan maken.
Dus niet iedereen local admin geven. En als dat wel gebeurt en er is een probleem gewoon f12-en.

beOnt schreef op zondag 10 april 2016 @ 09:34:
Er zijn volgens mij een paar mogelijkheden
- De gebruiker 24h access geven om thuis software/printers te laten installeren, maar in 24h kan er veel gebeuren. -> hoe beheer je dit zonder na 24h opnieuw te moeten inloggen? Bestaan er helpdeskvriendelijke tools?
- De installatie zelf doen bij de gebruiker remotely
- Bestaat er software die de admin rechten geeft op basis van file screening of op basis van approval?

De ideale situatie zou zijn: persoon maakt een ticket aan bij de helpdesk, de manager & IT-er geeft zijn approval, en de gebruiker kan zijn installatie doen voor enkel dat pakket.

Die software bestaat: RES One Workspace. Hiermee beheer je de werkplek omgeving op een Windows pc. Een van de features is de User Installed Applications optie, waarbij jij als beheerder de gebruiker toestaat bepaalde software zelf te mogen installeren. Andere software kan niet door de gebruiker geïnstalleerd worden. Of je kan natuurlijk een remote desktop sessie starten en dan als admin de software voor de gebruiker installeren, zoals je beschrijft.
De kracht van RES One zit in de zogenaamde "context awareness". Op basis van wie, wat, waar, wanneer bepaald het systeem welke rechten de gebruiker op dat moment heeft en welke applicaties hij wel of niet mag starten. Zo kan je instellen dat de gebruiker op de zaak een financiele applicatie wel mag starten, maar thuis niet.

Optioneel kan je het uitbreiden met de RES One Service Store. Vergelijk het met een App Store: de gebruiker kan applicaties kiezen uit een lijst, vraagt deze aan, de manager geeft approval en de applicatie wordt daarna op het device van de gebruiker geïnstalleerd. De gebruiker heeft geen beheersrechten, dus veilig.

RES One kost wel wat, het is immers een professionele oplossing, maar je kan het beheer van je werkplekken er ontiegelijk eenvoudig en veilig mee maken, waardoor jij als beheerder tijd over houdt voor andere zaken.

beOnt schreef op zondag 10 april 2016 @ 09:34:
- De installatie zelf doen bij de gebruiker remotely

Dus als de gebruiker lekker thuis op de bank zit mag jij je werk gaan doen? En de volgende dag weer fris en fruitig op kantoor verschijnen...

En dat keer 1000. Keer het aantal stukken software wat de verschillende gebruikers willen hebben.

Ik doe dit bij één gebruiker: mijn moeder. Daar staat een laptop onder quarantaine bij mij. Via TeamViewer kan ik mijn ding doen wanneer mams dat nodig acht. Updates kan ze zelf doen, heel belangrijk. Nieuwe software kan ze niet zelf doen, puur uit bescherming voor haar laptop en haar gegevens. Ik heb die laptop al eens gereanimeerd na een grote hoeveelheid shit die er op stond. Doen we niet weer, en dat hoeft ook niet op deze manier.

beOnt schreef op zondag 10 april 2016 @ 09:34:
Aangezien dit geen ideale situatie is zouden we alle administrator rechten willen wegnemen. Volgens de bedrijfspolicy mag de werknemer echter zijn laptop privé gebruiken, en eventueel ook drivers ed. installeren op zijn laptop. En daar wringt het schoentje net.

Zou het niet slimmer zijn om het management zover te krijgen dat ze de policy aanpassen? Privé-gebruik is prima maar waarom moeten werknemers daarvoor software kunnen installeren? Dat schept allerlei (security en compliancy) risico's en (beheer) kosten. Denk ook aan compliance met licenties. Als je medewerker een illegale Photoshop of AutoCAD installeert is dat een probleem voor het bedrijf als je een audit krijgt.

Licenties is een issue ja.

Er zijn volgens mij een paar mogelijkheden
1- De gebruiker 24h access geven om thuis software/printers te laten installeren, maar in 24h kan er veel gebeuren. -> hoe beheer je dit zonder na 24h opnieuw te moeten inloggen? Bestaan er helpdeskvriendelijke tools?
2- De installatie zelf doen bij de gebruiker remotely
3- Bestaat er software die de admin rechten geeft op basis van file screening of op basis van approval?

4. De ideale situatie zou zijn: persoon maakt een ticket aan bij de helpdesk, de manager & IT-er geeft zijn approval, en de gebruiker kan zijn installatie doen voor enkel dat pakket.

1: Geef iemand even adminrechten en ze kunnen, als ze willen, toch een backdoor installeren?
2: zie eerder. Veel plezier zaterdagavond 23u. En met het uitpuzzelen van rare situaties bij de mensen thuis.
3: Zie eerder. AL zou ik ze dan niet adminrechten geven. (Zie punt 1)
4: Dat is de nul-optie. Veiligste en eenvoudiger een eenduidiger beheer. Niet in alle cases werkbaar. En weet dat de gebruiker morgen vraagt het eergisteren te hebben. En omdat die "bureaucratische molen" (soms terecht, soms onterecht) traaaaag is, gaat men het alsnog omzeilen of krijg je anderszins geklaag. Een laptop zonder rechten zou voor mij reden van ontslag nemen zijn

Er zijn legio cases waarom local admin-rechten nodig zijn voor laptops. Bijvoorbeeld ontwikkelaars, mensen die in buitenlanden zonder al te veel bandbreedte komen, etc. Je kunt in Bumfuck, India niet verwachten snel een wijziging te krijgen doorgevoerd als je iets nodig hebt om de klant daar te helpen.

Dus local adminrechten. Maar: dan geen support anders dan overschrijven met een std. image, en geen toegang tot het LAN of anderszins interne data: alleen via Citrix (en e-mail).

Puur voor printers is het ook niet nodig, IMHO.

Hoe dan ook is het een business beslissing waarbij jullie alle consequenties linksom en rechtsom op een rijtje moeten zetten.

[ Voor 3% gewijzigd door F_J_K op 10-04-2016 15:27 ]

beOnt schreef op zondag 10 april 2016 @ 09:34:
De ideale situatie zou zijn: persoon maakt een ticket aan bij de helpdesk, de manager & IT-er geeft zijn approval, en de gebruiker kan zijn installatie doen voor enkel dat pakket.


Hoe zien jullie dit? Suggesties/Ideeën? Ik weet dat er vrij veel op te lossen is via scripting, maar ik vroeg me af of er geen gebruiksvriendelijker tools zijn op basis van bedrijfs-processen of dergelijke.

Citrix heeft "Xenclient" hiervoor...

Een type 1 Hypervisor, die meerdere VM's host. Je kunt dan werknemers twee VM's geven:

• Één managed voor werkzaamheden
• Één unmanaged voor hun prive-zaken

Met toetscombinaties kan een werknemer wisselen tussen beide VM's. De Hypervisor is speciaal ontwikkeld voor dit doel en kent ook wat extra features:

• Powermanagement (bv. bij het closen van je laptoplid)
• Passthrough van videokaarten
• WLAN werkt.
• etc.

De Enterprise versie van de Xenclient kent extra management tooling om remote het VM image te kunnen onderhouden en evt. backuppen.

XenClient bestaat niet meer, dat is nu DesktopPlayer geworden. Hiermee kan je een virtuele desktop binnen je eigen Windows/Mac desktop draaien. Ongeveer zoals XenClient, maar dan sneller en eenvoudiger om te installeren, biedt DesktopPlayer volledige VHD-encryptie met een uitzonderlijke flexibiliteit en productiviteit, zowel on- als offline, en bij gebruik van langzame of haperende verbindingen.

In dat kader zou je ook voor een BYOD omgeving in combinatie met SBC/VDI kunnen kiezen. Je laat de werknemer gewoon een (eigen) laptop/pc/device meenemen waar hij zelf verantwoordelijk voor is. Hij mag daarop installeren wat hij wil. Maar de zakelijke desktop komt via SBC of VDI en is geheel managed en afgeschermd van de eigen BYOD omgeving. Deze manier van werken kom je vaak tegen op bijv. scholen waar de student een eigen laptop heeft en zijn schoolgegevens via een remote desktop kan benaderen.

[ Voor 27% gewijzigd door Microkid op 11-04-2016 11:41 ]

Microkid schreef op maandag 11 april 2016 @ 11:39:
XenClient bestaat niet meer, dat is nu DesktopPlayer geworden.

Thx... da's nieuw voor mij. Laatste keer dat ik er iets mee gedaan heb is een jaartje of twee geleden alweer...

Ik zou ze een laptop geven met een standaard image waar ze alles op mogen en een snelkoppeling naar de VDI of RDS omgeving net wat je gebruikt. Als een gebruiker ze laptop sloopt is het niet schadelijk en gooi je er gewoon een standaard image op in 10 min.

enterprise, 1000 users (is dat niet gewoon een MKB?) en dan allemaal local admin? Volgens mij is dat niet echt een enterprise gedachte en visie
Als enterprise-er zeg ik: laptop voor werk = dicht, managed en verantwoording zakelijk. Taken die adminrechten vereisen zoals dev doen we op dev omgevingen, niet op een productie-werkplek. En privé gebruik van een productiewerkplek is een heel slecht idee, juridisch, security, aansprakelijkheid, privacy allemaal overwegingen ....

LANDesk, LANDesk CSA, MS Applocker, EMET. Maar ja veiligheid is relatief als de admin het allemaal kan uitzetten.

Bockelaar schreef op woensdag 13 april 2016 @ 16:19:
enterprise, 1000 users (is dat niet gewoon een MKB?) en dan allemaal local admin? Volgens mij is dat niet echt een enterprise gedachte en visie
Als enterprise-er zeg ik: laptop voor werk = dicht, managed en verantwoording zakelijk. Taken die adminrechten vereisen zoals dev doen we op dev omgevingen, niet op een productie-werkplek. En privé gebruik van een productiewerkplek is een heel slecht idee, juridisch, security, aansprakelijkheid, privacy allemaal overwegingen ....

Tot 1000 medewerkers wordt normaal als MKB gerekend. Daar zitten ze dus net op het randje. Maar het is natuurlijk maar een arbitraire grens. Een winkelketen met 5.000 medewerkers die spijkerbroeken verkopen zal minder snel als Enterprise gelden dan een bank of een accountantskantoor met 500 medewerkers.

@enterprise discussie, het hangt nogal af van wat je diensten/taken zijn. Soms heb je een enterprise grade omgeving staan voor maar een paar users. In wezen maakt het beheer dan ook niet veel uit of dit nu voor 10 of 10.000 plekken is. Waar ik nu werk, zijn we een multinational ook met kantoren buiten Europa maar tikken nog niet eens de 300 users aan. Maar ik heb ook bij een vervoerder gewerkt met een kleine 3500 man in dienst met nog geen 30 ict werkplekken, alles op 1 locatie.

Opzich is local admin niet echt anders dan het 'bring your own device' principe. Wij leveren laptops (windows en osx) gewoon met een recovery image deze image (+ add-ons) wordt op de achtergrond evt. geupdate. Dit om de laptop door ons of de gebruiker zelf te laten resetten. Verder kunnen ze er alles mee doen wat ze willen (desktops staan wel onder strikte policies). In het netwerk worden ze ook (meer) gescheiden van de rest en dit werkt eigenlijk vrijwel zonder issues. Het einge wat nog wel eens gebeurd is dat iemand zijn laptop recovered maar dat de locale user data nog niet gerepliceerd was naar het netwerk. Dit is overigens wel een van de meldingen voordat de re-image begint maar ja.. vooral niet lezen.

[ Voor 25% gewijzigd door DukeBox op 13-04-2016 16:47 ]

DukeBox schreef op woensdag 13 april 2016 @ 16:43:
@enterprise discussie, het hangt nogal af van wat je diensten/taken zijn. Soms heb je een enterprise grade omgeving staan voor maar een paar users. In wezen maakt het beheer dan ook niet veel uit of dit nu voor 10 of 10.000 plekken is. Waar ik nu werk, zijn we een multinational ook met kantoren buiten Europa maar tikken nog niet eens de 300 users aan. Maar ik heb ook bij een vervoerder gewerkt met een kleine 3500 man in dienst met nog geen 30 ict werkplekken, alles op 1 locatie.

Inderdaad. Of je een bedrijf een enterprise onderneming noemt hangt ook af van de omzet : een bedrijf met 1000 werkplekken met een omzet van bv 10 miljoen op jaarbasis zie ik toch echt minder als enterprise als een bedrijf met 350 medewerkers met een jaaromzet van 100+ miljoen.

Overigens rekenenen veel bedrijven 500+ man al tot een enterprise onderneming, de meningen hierover zijn gewoon verdeeld en dat zal altijd zo blijven.

Question Mark schreef op maandag 11 april 2016 @ 11:43:
[...]

Thx... da's nieuw voor mij. Laatste keer dat ik er iets mee gedaan heb is een jaartje of twee geleden alweer...

En het is nu type-2 hypervisor.

Killah_Priest schreef op woensdag 13 april 2016 @ 19:13:
Overigens rekenenen veel bedrijven 500+ man al tot een enterprise onderneming, de meningen hierover zijn gewoon verdeeld en dat zal altijd zo blijven.

Is per land ook nogal verschillend.. wat wij vaak als MKB zien is in de VS bijv. een klein kantoortje..

Maar terug naar TS, al ideeën hoe je het gaat aanpakken ?

Printer drivers kun je ze laten installeren door in de GPO settings e.e.a. aan te passen (zit op verschillende plekken).

Local admin rechten ontkom je soms niet aan (heel soms!), maar in dat geval een user ook onder user rechten laten werken en dan maar een local admin account aanmaken waar ze het wachtwoord van weten. Onder local admin rechten werken kan echt niet meer, al ruim 10 jaar niet meer.

Question Mark schreef op maandag 11 april 2016 @ 11:31:
[...]
Citrix heeft "Xenclient" hiervoor...
Een type 1 Hypervisor, die meerdere VM's host. Je kunt dan werknemers twee VM's geven:

Xenclient gaat 12 december dit jaar end of life, dus er blijven heel weinig type 1 client side hypervisors over. Het is dus niet zo dat het niet meer bestaat, maar dat gaat niet lang meer duren
Citrix heeft als alternatief de Desktopplayer, die gewoon werkt met XenClient Synchronizer die je ook nodig had voor synchronisatie van XenClient Enterprise. Als je het hebt draaien is het alleen even de Desktopplayer op de laptop (Mac/Windows) installeren, registreren en de VM/PVD naar je toe halen. Er zijn dan nog steeds policies mogelijk op zowel de DesktopPlayer als natuurlijk de VM die er in gedraaid wordt.

Wat ik er van weet is dat Citrix de ontwikkeling van een type-1 hypervisor uiteindelijk toch te zwaar vind en je relatief veel aan ondersteuning moet regelen op de hardware. Dat heb je met een type2-hypervisor niet echt.. OS er op en gaan. Grappig detail: DesktopPlayer is gebaseerd op Oracle VirtualBox.

[ Voor 3% gewijzigd door Venator op 15-04-2016 09:35 ]

Nadenken over een imaging optie? Zodat je terug kunt gaan als het misgaat? Een dual boot optie op elke laptop? Zodat je één omgeving voor privé en de andere voor zakelijk hebt, waarbij je op de zakelijke omgeving de Administrator rechten uitschakelt?

Admin rechten geven aan gebruikers kan echt niet meer anno 2016. Dat is gewoon vragen om ellende. Ik heb eerlijk gezegd nog geen situatie gezien waar admin rechten echt nodig zijn. Als je iets wil testen doe je dat lekker in virtualisatie software zolang het maar gescheiden is van het bestaande systeem en het netwerk..

En BYOD is ook de grootste onzin hype ever. Dat is alleen veilig dat je de werkomgeving en prive omgeving op de device strict gescheiden weet te houden maar dan nog. Als de device voor de zoveelste keer verziekt is door de gebruiker mag jij het weer oplossen natuurlijk en als je er dan een image overheen draait wat al lastig wordt want het is niet jou device mag je ineens rekening houden met allerlei prive gegevens. Kortom begin er niet aan.

Een werk laptop is voor het werk klaar! Dat ze die beperkt prive mogen gebruiken kan maar dan wel met duidelijke afspraken en laat ze er ook voor tekenen als ze die laptop in ontvangst nemen.

Terrestrial schreef op woensdag 20 april 2016 @ 23:27:


En BYOD is ook de grootste onzin hype ever. Dat is alleen veilig dat je de werkomgeving en prive omgeving op de device strict gescheiden weet te houden maar dan nog. Als de device voor de zoveelste keer verziekt is door de gebruiker mag jij het weer oplossen natuurlijk en als je er dan een image overheen draait wat al lastig wordt want het is niet jou device mag je ineens rekening houden met allerlei prive gegevens. Kortom begin er niet aan.

In een tijd waarin prive en werk steeds meer in elkaar op gaan, tijd en plaats onafhankelijk werken, flexibel werken etc kun je niet zeggen dat dit onzin is. Het is ook geen hype. Het is een mogelijkheid voor organisaties die hier bewust mee om gaan. Het zegt wat over de volwassenheid van een organisatie als je kan praten over BYOD en wat hier bij komt kijken. Ik ben het wel met je eens als je zegt dat BYOD voor veel organisaties onhaalbaar is.