In hoeverre moet een werkgever mijn laptop instellen?

Als een IT-er wil meekijken op je laptop die in zijn beheer is hoeft hij er geen fysieke toegang toe, dus in die zin zou je je niet meer of minder zorgen hoeven te maken over je privacy.

Als je jaarlijks heel veel laptops inricht kun je met InTune of een unattend installatie heel veel automatiseren inderdaad, maar een bedrijf met 10 personen is het wellicht sneller om die paar laptops per jaar die je moet inrichten even snel "met de hand" in te richten.

Kan, ja.
In een klein bedrijf wil je dat allemaal niet automatiseren (althans ik zou dat niet willen) dan is 2x jaar (10pers, 5jr afschrijving) voor een nieuwe laptop even met de hand langs. Wat mooier is, is dat die bijna klaar gemaakt wordt voor je. Dat jij langs je IT-manager moet, moet jij even inloggen op de applicaties en dan is die klaar en ingesteld voor je.
Maar in principe kun je er wel vanuit gaan dat de IT afdeling toegang heeft of kan hebben tot je bedrijfsdata. In een integere setting gebeurt dit enkel ter goeder trouw. Als je hierover twijfelt moet je misschien dit punt aanhankelijk maken.

NB. bij een groot bedrijf wordt zo'n laptop volledig geautomatiseerd ingespoeld (provisioned) door de werkgever en ben je geen admin op je eigen laptop. Monitoring software kan dan ook geïnstalleerd zijn, maar dat wordt enkel gedaan als er goede reden voor is én het afgedicht is in een contract.

Werk- en privézaken gewoon gescheiden houden of denk ik nou te simpel?
Dus geen privézaken op de bedrijfslaptop doen en geen bedirjfszaken op de privélaptop.

Gekkenhuis schreef op vrijdag 14 oktober 2022 @ 11:08:
Werk- en privézaken gewoon gescheiden houden of denk ik nou te simpel?
Dus geen privézaken op de bedrijfslaptop doen en geen bedirjfszaken op de privélaptop.

ik moet heel eerlijk zeggen....

Als microsoft inderdaad een dienst biedt die zegt ... met dit zakelijke account heb je ook recht op een afgescheiden deel voor privé - dan moet ik heel eerlijk zeggen... geef dan ook gewoon een onafhankelijke licentie uit.... met dus... een eigen activatie-link een onafhankelijk password etc. in geval dat je het zakelijke account dan inzichtelijk moet maken voor wekgevers of andere... dan blijft je prive account gewoon prive...

anders klinkt het toch een beetje als een product-flaw

Het is eigenlijk heel simpel. Je laptop van de zaak niet privé gebruiken.
Ik werk zelf in een organisatie die +- 70 personen betreft en in principe, kan ik gewoon overal bij als IT Beheerder. Denk aan finance van andere afdelingen etcetera.

Echter, handelen IT afdelingen op basis van eer en geweten en is een stukje integerheid wel van toepassing in de branche van IT juist omdat we overal bij kunnen als IT'er zijnde. Er is eigenlijk geen echte scheiding, en die is ook niet echt te bedenken. Behalve dan dat er overal zelfs voor de "opper-itér" met uitbreiding van rechten wordt gewerkt die je eerst moet aanvragen.

Desalniettemin, een mailbox kan overgenomen worden vanuit Exchange, een delegatie kan ingesteld worden om jouw mailbox te kunnen inzien. Je hebt nu eenmaal een admin die overal bij kan.

Ik zou mezelf niet al te veel zorgen maken als ik jou was, ik ben zelf van de stempel als je je er druk om maakt heb je ook wat te verbergen als het om je zakelijke hardware gaat. Maar dat is wie ik ben overigens.

Hann1BaL schreef op vrijdag 14 oktober 2022 @ 11:13:
[...]

Heel veel security tools doen aan monitoring en dat hoeft niet in een contract worden afgedicht. Als het specifieke doel is om medewerkers in de gaten te houden wel, maar als tools bijv zaken blokkeren en activiteiten monitoren die kunnen duiden op een beveiligingsissue, dan betekent dat ook dat ze andere activiteiten kunnen zien. Het is niet heel erg zwart-wit.

TS heeft het over achterdocht, dus dan bedoel ik ook monitoring van medewerkers en hun handelingen niet of ze een goede latency hebben en of de VPN kuren heeft.

[verwijderd]

[ Voor 97% gewijzigd door Mar.tin op 07-02-2023 15:37 ]

Vincm schreef op vrijdag 14 oktober 2022 @ 11:02:
Zo kan de IT-manager nu dus (tijdelijk) ook in mijn 'afgeschermde' OneDrive account (de privé Onedrive documenten map die je krijgt bij een zakelijk account, niet mijn particuliere privé Onedrive) waarvan altijd werd gezegd dat die heel privé is en dat zij er niet bij kunnen.

Zoiets bestaat niet. De Ondedrive die je krijgt bij een zakelijk account is Onedrive for Business wat in feite neer komt op een sharepoint map. De administrator van een tenant kan daar altijd bij, met wat moeite.

Ik ben misschien achterdochtig, maar op deze manier kunnen er ook monitoring-tools worden ingesteld waar ik niet van af weet.

Yup. Dat kan. En als je je baas hiervan verdenkt dan had je daar niet in dienst moeten gaan.

Kom op zeg. Als je je werkgever niet vertrouwd, waarom werk je daar dan? En waarom denk je dat ze monitoring tools op deze manier zouden installeren en niet op een andere manier?

Concreet is het antwoord: Als je je hier druk om maakt dan zit je bij de verkeerde baas én ben je bij lange na niet achterdochtig genoeg. Teams, Outlook, Sharepoint is allemaal cloud spul waar ze veel meer op kunnen monitoren dan op je laptop.....

Het is vaak andersom juist, zeker bij grote(re) bedrijven. Laptops gaan niet de deur uit zonder dat ze geimaged zijn en een set security tools geïnstalleerd zijn. Wat hierboven gezegd wordt, als je zoveel belangrijke privé shit in een account hebt zitten dat misschien niet willen gebruiken voor een bedrijfslaptop? Het is - tot op zekere hoogte - nl. prima toegestaan dat je werkgever die laptop monitort, het is immers hun eigendom.

Vincm schreef op vrijdag 14 oktober 2022 @ 11:36:
Als iedereen (door de IT manager) verteld wordt dat iedereen een map heeft waar hij/de organisatie niet bij kan (daarvan wist ik al dat iets te kort door de bocht is) en als mijn laptop soms rare dingen laat zien, ga ik twijfelen of het wel allemaal wel zo integer is als er gezegd is.

Als het staat op een apparaat wat bezit is van je bedrijf, of op / bij een dienst afgenomen door je bedrijf dan kan er iemand van je bedrijf bij. Punt. Wat je IT manager ook zegt.

En een command prompt die bij het opstarten even zichtbaar is kan best een loginscript zijn die even iets uitvoert. Hoeft zeker niet "privacy-schendend" te zijn maar kan dat wel zijn.

Die cmd als je je laptop start is waarschijnlijk een of ander scriptje om een obscure netwerk drive te mounten of iets anders zoals dat.

Vincm schreef op vrijdag 14 oktober 2022 @ 11:36:
Bedankt voor jullie antwoorden

Wil even voorop stellen dat ik geen privé zaken doe of bewaar op de werk-laptop, behalve hooguit een keertje inloggen op mijn privé email (ook alleen via een web client) om die even te kunnen checken als ik mijn privé laptop niet mee heb.

Ik heb ook geen reden om te geloven dat mijn werkgever iets actief in de gaten houdt, maar vertrouwen gaat twee kanten op. Als iedereen (door de IT manager) verteld wordt dat iedereen een map heeft waar hij/de organisatie niet bij kan (daarvan wist ik al dat iets te kort door de bocht is) en als mijn laptop soms rare dingen laat zien, ga ik twijfelen of het wel allemaal wel zo integer is als er gezegd is.

Als je twijfelt over de integriteit van je collega's in een team van 10, dan zou ik (als ik jou was) z.s.m. een andere baan zoeken. Verder is het (zeker in MKB) zo dat de IT beheerder toegang heeft tot alles, of in ieder geval heel makkelijk toegang kan krijgen.

Vincm schreef op vrijdag 14 oktober 2022 @ 11:02:

Om een nieuwe laptop in te stellen ter vervanging van mijn huidige, moest het wachtwoord van mijn Microsoft365 gereset worden naar het initiele wachtwoord wat zij ooit voor mij hebben bepaald.

Hier lezen we allemaal overheen. Hoezo is er ergens een wachtwoord opgeschreven om naar terug te vallen? Die vraag zou ik wel stellen security les 1 ongeveer.

Hoewel je eigenlijk het ww sowieso niet nodig zou moeten hebben, kan ik dat in deze kleine omgeving nog wel voorstellen. Alleen dan gebruik je een ww generator voor het nieuwe tijdelijke wachtwoord en sla je die verder niet op

Vincm schreef op vrijdag 14 oktober 2022 @ 11:36:
Bedankt voor jullie antwoorden

Wil even voorop stellen dat ik geen privé zaken doe of bewaar op de werk-laptop, behalve hooguit een keertje inloggen op mijn privé email (ook alleen via een web client) om die even te kunnen checken als ik mijn privé laptop niet mee heb.

Ik heb ook geen reden om te geloven dat mijn werkgever iets actief in de gaten houdt, maar vertrouwen gaat twee kanten op. Als iedereen (door de IT manager) verteld wordt dat iedereen een map heeft waar hij/de organisatie niet bij kan (daarvan wist ik al dat iets te kort door de bocht is) en als mijn laptop soms rare dingen laat zien, ga ik twijfelen of het wel allemaal wel zo integer is als er gezegd is.

Die CMD prompts die je ziet zijn helemaal niet zo raar hoor, kan gewoon een geforceerde update/groepsbeleid etc zijn. Soms laat die dat niet zo transparant zien als je zou willen..

Dat zie je wel vaker. Het kan ook de nieuwste "HoujeMedewerkersindegaten.exe" zijn, maargoed.. bij een bedrijf met 10? I doubt it.

Of dit idd:

True schreef op vrijdag 14 oktober 2022 @ 11:43:
Die cmd als je je laptop start is waarschijnlijk een of ander scriptje om een obscure netwerk drive te mounten of iets anders zoals dat.

[ Voor 13% gewijzigd door Grvy op 14-10-2022 19:18 ]

Hann1BaL schreef op vrijdag 14 oktober 2022 @ 19:09:
[...]


Hier lezen we allemaal overheen. Hoezo is er ergens een wachtwoord opgeschreven om naar terug te vallen? Die vraag zou ik wel stellen security les 1 ongeveer.

Hoewel je eigenlijk het ww sowieso niet nodig zou moeten hebben, kan ik dat in deze kleine omgeving nog wel voorstellen. Alleen dan gebruik je een ww generator voor het nieuwe tijdelijke wachtwoord en sla je die verder niet op

Mwoa, daar kan ik nog wel een kronkel voor bedenken. Waarschijnlijk zijn de laptops aangemeld binnen de Endpoint Manager via een AAD koppeling op het account van de gebruiker, om te voorkomen dat de devices op naam van de IT manager enrolled zijn. Als de eindgebruiker zelf namelijk de eigenaar is volgens Endpoint Manager maak je het gebruik van een corporate MS Store wat makkelijker.
Dan kan volgens mij echter de IT manager nog altijd inloggen met zijn of haar eigen admin account en zaken regelen, en via de Endpoint Manager dingen pushen, dus het resetten van het wachtwoord naar een standaard ww (zodat de IT manager echt maar 1 wachtwoord hoeft te onthouden voor alle systemen die voorbij komen voor onderhoud) lijkt mij inderdaad zeer overbodig. Ik kan me wel voorstellen dat een bedrijf van een dergelijk klein formaat er niet direct een RMM oplossing op na houdt, en dat de IT manager dus wat meer hands-on moet zijn, maar tenzij je met Citrix oplossingen moet gaan goochelen e.d. en alles compleet afgeconfigureerd wil afleveren terwijl je dan in systemen komt waar je zelfs als admin niks te zoeken hebt slaat deze werkwijze nergens op.

Willekeurig flitsende CMDs, ach, dat kan vanalles zijn. Mounten van een drive zodat AFAS met Teams kan praten, het resetten van de printer zodat jouw printer van thuis geen issues oplevert als je weer op de zaak komt printen, automatisch legen van cache, de mogelijkheden zijn eindeloos. Voor hetzelfde geldt dwingt het jouw bureaublad achtergrond naar de company-standard, omdat je IT manager het ooit zo heeft ingesteld voordat Endpoint Manager dat fatsoenlijk kon. Ik heb ooit PS scripts zitten schrijven om de opstartpagina van systemen in te stellen, dat kan ondertussen goed via de Endpoint Manager zelf, maar ja, werkende legacy die je niet dwars zit kun je ook gewoon laten staan (en mijn lazy-admin principe weerhoudt me ervan om 40 scripts op te ruimen).

Vincm schreef op vrijdag 14 oktober 2022 @ 11:36:
Ik heb ook geen reden om te geloven dat mijn werkgever iets actief in de gaten houdt, maar vertrouwen gaat twee kanten op. Als iedereen (door de IT manager) verteld wordt dat iedereen een map heeft waar hij/de organisatie niet bij kan (daarvan wist ik al dat iets te kort door de bocht is) en als mijn laptop soms rare dingen laat zien, ga ik twijfelen of het wel allemaal wel zo integer is als er gezegd is.

Ik opper even een niet technische oplossing... Ga het gesprek eens aan met die IT Manager? Informeer eens naar de reden waarom men kennelijk je credentials nodig heeft voor het opnieuw inspoelen van die laptop.

Kan best zijn dat het antwoord is dat hij alvast wat zaken voor je wil installeren of klaarzetten...

Hann1BaL schreef op vrijdag 14 oktober 2022 @ 19:09:
[...]


Hier lezen we allemaal overheen. Hoezo is er ergens een wachtwoord opgeschreven om naar terug te vallen? Die vraag zou ik wel stellen security les 1 ongeveer.

Hoewel je eigenlijk het ww sowieso niet nodig zou moeten hebben, kan ik dat in deze kleine omgeving nog wel voorstellen. Alleen dan gebruik je een ww generator voor het nieuwe tijdelijke wachtwoord en sla je die verder niet op

Ik denk eerder dat hij bedoeld dat ze, om de laptop opnieuw in te spoelen, zijn Business Office365 account ook gereset is, om het account op de nieuwe laptop verder te kunnen inrichten zonder zijn tussenkomst. Daar zal een standaard ww voor zijn gebruikt en die moet dan gereset worden zodra de laptop uitgeleverd wordt. Er wordt nergens gezegd dat het wachtwoord opgeschreven is en bewaard is.

Maw, wat @Koen88 zegt, dus..