Admin pravice vs. osebne pravice uporabnika

Na koncu sta tu dva vidika:
1.zagotavljanje varnosti
2.omogočanje nemotenega izvajanja delovnih procesov

Pod 1 se moram strinjati z @SeMiNeSanja. Politika varnosti ni postavljena za to da bi nekoga jebala v glavo kot bi si morda kdo mislil, ampak da preprečuje varnostne incidente
Hkrati pa mora biti orodje in znanje upravljanja s tem orodjem na takem nivoju, da (točka 2) omogoča nemoteno izvajanje delovnih procesov.
Ni hudir da bi se načeloma moralo vse dati urediti na tak ali drugačen način.

klemenSLO je 18. sep 2020 ob 14:25 izjavil:

Na koncu sta tu dva vidika:
1.zagotavljanje varnosti
2.omogočanje nemotenega izvajanja delovnih procesov

Pod 1 se moram strinjati z @SeMiNeSanja. Politika varnosti ni postavljena za to da bi nekoga jebala v glavo kot bi si morda kdo mislil, ampak da preprečuje varnostne incidente
Hkrati pa mora biti orodje in znanje upravljanja s tem orodjem na takem nivoju, da (točka 2) omogoča nemoteno izvajanje delovnih procesov.
Ni hudir da bi se načeloma moralo vse dati urediti na tak ali drugačen način.

Seveda se da.

Čarobna beseda pri tem pa je ODGOVORNOST.

Eni morajo odgovarjati za to, da naredijo kar jim je posel,
drugi pa morajo odgovarjati za to, ker počno zadeve, ki jim niso posel.

Ko oboje zbrcas, se čudežno kar na enkrat marsikaj lahko porihta in optimizira.
Dokler pa nihče za nič ne odgovarja, pa naj živi anarhija

Nope, vodja itja je odgovoren, da sledi smernicam vodstva. Niti pod razno ni on tisti, ki odloča.

njegova odgovornost je da vodstvu predstavi tveganja in da je sistem postavi skladno z njihovimi željami. Niti pod razno pa ni on tisti, ki na koncu dneva presoja o konfliktih med 1 in 2.

UganiKdo je 18. sep 2020 ob 15:20 izjavil:

Nope, vodja itja je odgovoren, da sledi smernicam vodstva. Niti pod razno ni on tisti, ki odloča.

njegova odgovornost je da vodstvu predstavi tveganja in da je sistem postavi skladno z njihovimi željami. Niti pod razno pa ni on tisti, ki na koncu dneva presoja o konfliktih med 1 in 2.

Si že slišal kdaj za ISO standard? Ali veš da banki visa in mastercard ne odobrita NIČ, dokler ne dokaže banka da ima zadeve urejene po ISO standardu?

Ne vodja IT-ja ne vodstvo nimata prostih rok če želiš imeti zadeve urejene. Vodja informacijske varnsoti/vodja IT-ja odgovarja nadzornemu odboru. Ne sprejema ekonmskih odločitev firme, kar se tiče varnosti pa je tisti, ki bo povedal kakšna varnostna politika se bo peljala čez omrežje.

UganiKdo je 18. sep 2020 ob 15:20 izjavil:

Nope, vodja itja je odgovoren, da sledi smernicam vodstva. Niti pod razno ni on tisti, ki odloča.

njegova odgovornost je da vodstvu predstavi tveganja in da je sistem postavi skladno z njihovimi željami. Niti pod razno pa ni on tisti, ki na koncu dneva presoja o konfliktih med 1 in 2.

Se nisi bil v resni sluzbi kajne? Normalne firme, tudi vecje, niso taksne kot parlament, kjer elektricar z dvoletno poklicno solo odloca o stvareh, ki jih niti izgovoriti ne zna. Po firmah o stvareh odlocajo ljudje, ki se o teh stvareh razumejo. In glede na to da vecina (no zares vsi) vodstveni delavci nimajo pojma o tehnologiji (recimo da IT tehnologiji) o tem ne odlocajo oni, pac pa vodje ITja. Je pa ponavadi normalno, da vodstvo (direktor, nadzorni svet...) potrdi ta projekt. Ampak potrdi ga, ker mu vodstvo IT-ja rece da je to to.

No hvala bogu nisem nikoli bil v tako "resni" sluzbi, kjer bi predsednik nadzornega sveta, ki komaj zna mail poslat, dolocal varnostno politiko dostopa do omrezja. Zares je trditi, da je to naloga direktorjev oz. nadzornih svetov, ravno tako bolano, kot trditi, da je to, kar dela oz. naj bi delal OP, ok.

sunshine403 je 18. sep 2020 ob 15:56 izjavil:

No hvala bogu nisem nikoli bil v tako "resni" sluzbi, kjer bi predsednik nadzornega sveta, ki komaj zna mail poslat, dolocal varnostno politiko dostopa do omrezja. Zares je trditi, da je to naloga direktorjev oz. nadzornih svetov, ravno tako bolano, kot trditi, da je to, kar dela oz. naj bi delal OP, ok.

Ne mešati pojme NALOGA in ODGOVORNOST !

Če si za nekaj odgovoren, npr. da bo cesta asfaltirana in odprta za promet do datuma X, to še ne pomeni, da je tvoja naloga, da z lopato skačeš po cestišču.
Prej se zgodi, da tisti, ki je odgovoren za odsek cestišča niti videl ne bo od blizu.

Tebi predvsem ni jasno da mešaš hruške in jabolka. Kako smo iz nadzornega sveta prišli na kolegijv vodstva? Malo mešaš pojme? Drži se IT za kar dobivaš dobro plačo.

To, da se ste implementirali ISO standard ni tvoja odločitev. Tvoja naloga in odgovornost je da je standard implementiran in da so stvari skladne z standardom ISO. Da bo to bilo implmentirano je bilo sprejeto krepko nad tvojo glavo.

Tako da sem JAZ zadolžen za varovanje računalniške infrastrukture in bom JAZ povedal kaj se v omrežju lahko dela in kaj ne. JAZ imam 1x letno tedensko revizijo IT področja po ISO standardu in JAZ bom odgovoren, da bo firma zgubila kakšno licenco zaradi neurejene infomacijske varnosti.

Ti boš diktiral stvari točno toliko kot ti jih bo tvoj šef dovolil.

Da smo si na jasnem v resnih firmah je vodenje posameznih področji prepuščeno posameznim oddelkom. In povsem jasno je da day to day odločanje in odgovornost nosi posamezen vodja. Tako v IT kot širše. Kar pa si ti spregledal pa je stavek, k ije ta del debate pravzaprav začel. govorili smo namreč o temu, da imamo konflikt med varnostno politiko in učinkovitostjo delovnega procesa na drugi strani. In tukaj se pač pristojnost IT da odloča konča.

Očitno si eni predstavljajo, da vodja IT hodi generalnega direktorja spraševati, če sme naročiti 200 ali 250GB SSD-je...

UganiKdo je 18. sep 2020 ob 16:09 izjavil:

Tebi predvsem ni jasno da mešaš hruške in jabolka. Kako smo iz nadzornega sveta prišli na kolegijv vodstva? Malo mešaš pojme? Drži se IT za kar dobivaš dobro plačo.

To, da se ste implementirali ISO standard ni tvoja odločitev. Tvoja naloga in odgovornost je da je standard implementiran in da so stvari skladne z standardom ISO. Da bo to bilo implmentirano je bilo sprejeto krepko nad tvojo glavo.

Moja naloga in odogvornost je digitalizacija podjetja. In kar rečem se bo delalo. Trenutno je stanje tako, da se morajo delovni procesi prilagajati varnostni politiki v firmi in ne obratno. Tako da sem jaz med točno 1 in točko 2. Sem v vodstvu podjetja in tudi ko ima upravni odbor ideje ali direktor, kako bodo določeni stvari furali preko gmaila ali ne bodo imeli kriptiranih telefonov, ne pridejo nikamor. :D Ker preprosto rečem: "Ne." Pa se lahko vodstvo na glavo obrne. Me morajo najprej odpustit in zaposlit novega informatika potem pa naj im on štima naprej.

Res se pa strinjam s teboj, da me lahko vsak dan vržejo iz šihta. Ampak dokler sem jaz podpisan pod varnostno politiko, lahko zaradi mene besni direktor, upravni odbor ali snažilka. Dol mi visi. :D

Na koncu sta pa ugotovila tocno nic, ker je 11111 dejansko "del vodstva podjetja". Matr, slabo bereta drug drugega.

Pozdravljeni spet psihatri in policajčki! Upam, da vam vročina ne škodi?

Po nekak uspešno odbitem ransom napadu so nas vrli IT-jevci obdarili še z Sentinelom, saj McAfna pravkar krepanega avtorja nima ustrezne zaščite proti strahu in trpetu #1. Sedaj ni redek pojav 25% stalno zasedena mašina. Naj jim bo, saj sami plačajo elektriko.

Pojavil pa se je nov problem z zaščito proti pisanju na USB ključke. V laboratoriju imamo na USB priključene veliko merilnih aparatov zato se zaščiti zmeša in nonstop skače ven opozorilno okno, ki mi je ze docela nažrlo živce tako, da sem odklonil delo. Po pritožbi na IT in direktorju se v dveh tednih ni zgodilo nič. Še več, dodali so zaščito, ki preprecuje šarjenje po McAfni tudi v varnem načinu.

Če ne bo jutri nič novega bom vtaknil noter zagonski USB in Afni polomil noge - z dovoljenjem šefa!

saj McAfna pravkar krepanega avtorja nima ustrezne zaščite proti strahu in trpetu #1.

Strah in trepet številka ena se v veliki večini primerov dogodi zaradi odpiranja neznanih priponk in "power userjev" brez kančka previdnosti, katerih član si sam.

V laboratoriju imamo na USB priključene veliko merilnih aparatov zato se zaščiti zmeša in nonstop skače ven opozorilno okno, ki mi je ze docela nažrlo živce tako, da sem odklonil delo.

Če so mass storage onemogočili z GPO-jem, kot je po večini stalna praksa, bi morale vse druge USB naprave brez težav delovati, razen če uporabljajo lastno shrambo (beri: se podatki shranjujejo na napravi in do njih dostopaš kot do USB ključa).

Če ne bo jutri nič novega bom vtaknil noter zagonski USB in Afni polomil noge - z dovoljenjem šefa!

Lepo. Odlično, da to deliš na forumu. Že drugič. Komaj čakam, da se eden izmed vaših IT-jevcev oglasi tukaj ter temo pošlje na pravno službo ter HR

Metabond je 29. jun 2021 ob 12:45 izjavil:

Pojavil pa se je nov problem z zaščito proti pisanju na USB ključke. V laboratoriju imamo na USB priključene veliko merilnih aparatov zato se zaščiti zmeša in nonstop skače ven opozorilno okno, ki mi je ze docela nažrlo živce tako, da sem odklonil delo. Po pritožbi na IT in direktorju se v dveh tednih ni zgodilo nič. Še več, dodali so zaščito, ki preprecuje šarjenje po McAfni tudi v varnem načinu.

antivirusa se kot navaden uporabnik nimaš kaj dotikat, zato se vsak poseg blokira in zapoše v loge.
za usb se naredi pa blokada za vse. potem se pa pod nadzorom eno po eno napravo(merilne aparate) priklaplja nazaj in se samo njim dovoli uporabo. ko dobite novo napravo, se pa spet pod nadzorom to priklopi in dovolj vklop.

Bodo rabili še nekaj iteracij, da se naučijo vklopiti enkripcijo diska in onemogočiti boot iz USB-ja.

Hja, potem najboljše, da kar zaklenejo računalnike v šef, saj sem (in bom) odklonil delo, če ne bo delovalo kot mora.

...odpiranja neznanih priponk in "power userjev" brez kančka previdnosti, katerih član si sam

Seveda, ni ga bolj neprevidnega, kar dokazuje točno 30 let uporabe IBM kompatibilnih računalnikov brez AV in 1 primer okužbe. Pred 17imi leti sem fasal hijack IE in kot prvi na svetu objavil kako se ga znebiš: Lastxdoor spyware
Kar dobro za nekoga, ki zna po vašem strokovnem mnenju kvečjemu le C64 prižgat. Lepo, da S-T še vedno hrani te stare poste. Od takrat pa blokada active scriptov in FW.

Če so mass storage onemogočili z GPO-jem

Ampak povejte mi prosim, čemu je namenjena tale blokada, če sem našel službeni(!) "ključek" (ne povem točno kaj), ki ga ne blokira in če oblačno shranjevanje ni onemogočeno? Pa tudi na NAS bi šlo...

Lepo. Odlično, da to deliš na forumu. Že drugič. Komaj čakam, da se eden izmed vaših IT-jevcev oglasi tukaj ter temo pošlje na pravno službo ter HR

Imam pač kujones. Lokalni IT-jevec pa se smeji moji iznajdljivosti, saj gre tud njemu ta sistem na k.....

Sicer pa se pri nas resno razmišlja o lokalni gruči računalnikov, ki ne bodo pod to butasto mednarodno IT nadoblastjo.

Vso srečo pri iskanju nove službe.

Metabond je 30. jun 2021 ob 08:31 izjavil:

Game over! Disk JE kriptiran. Za prenosnike itak vem da so. Nadaljnje DELO ODKLONJENO! Vsi srečni!

Ah, ne smes tako hitro vreci pusko v koruzo. Recimo antivirus ima gotovo okno na ekranu, tece pa pod sistemskimi priviledgi. Poisci ga (FindWindowA), in mu poslji (SendMessageA) WM_KEYDOWN in 0x5B, WM_KEYDOWN in 'e', WM_KEYUP in 0x5B, WM_KEYUP in 'e'. Ce se odpre explorer bo tekel pod sistemskimi/administratorskimi privilegi.

Ce ne rata, pojdi skozi listo servisov in poisci tiste, ki tecejo pod local system account in imajo vklopljene Allow interact with desktop. Potem poisci njihova okna (Spy++ je bil vcasih v visual studiu) in poslji njim zgoraj napisano. Pri svinjariji, ki je dandanes na windowsih je majhna verjetnost, da ne obstaja niti en tak servis, sploh ce imas nalozenega veliko 3rd party softwara.

Preveri ali scheduler servis tece pod sistemskim accountom, ce tece, potem scheduliraj cez eno minuto (z at ali schtasks komando) da ti odpre explorer/cmd.exe

Sicer jih imam se nekaj na zalogi samo niso prakticne za vsakogar.

Sicer se pa malo poigraj po internetu, isci "local priviledge escalation windows verzija". Nekaj bos ze nasel.

V bistvu se niti ne bo treba matrat, prvi zadetek na duckduckgo, na:
https://github.com/swisskyrepo/Payloads...

Pac sistemi so notoricno nezavarovani od znotraj, se openbsd je imel lokalne eskalacije pravic, windows jih ima pa malo morje. Vprasanje je samo koliko se ti da in koliko se da sistemcu zezat.

Preden pa te odpustijo, ne pozabi kaj takega vtaknit v mrezo in pustiti 220 vtic nekje na tleh. Bo ze kaksna snazilka vklopila nazaj.



Bos osrecil ITjevce. Ali pa kaksnega dodatnega raspberry pi zero DNS serverja (nujno nastavljen na isti subnet) na mrezi bojo tudi veseli, sploh, ce se bo vklapljal na random za ne predolgo.

@zmist
Lepa hvala, da se je končno le nekdo postavil v mojo kožo uporabnika, ki mu je PC le vsakdanje osnovno sredstvo za delo. Hvala tudi za predloge, ki jih bom preizkusil. Sam se sicer manj znajdem, saj si tak na pamet znam pomagati le s Sysinternals orodji, prevzemom lastništva in pa kombinacijo Runassystem + Regedit, ampak na tej stopnji zaščite vse to odpove.Vem pa še za eno možno rešitev, ki jo obladam: inštaliram FW na katerem bi lahko blokiral čisto vse procese, ki se mi ne dopadejo. Tako sem si pomagal pri posodobitvah Win10 doma, ko so bile oni čas prevsiljive kot bi bil računalnik last malega mehkega in ne moja.

McAfna ima zaklenjen vmesnik ampak "slučajno" vem kje skrivajo geslo Slaba stran je, da bi bila bilo kakšna sistemska sprememba kmalu povožena in verjetno tudi javljena. Recimo: vedno znova se mi je po brisanju pojavljal printer, ki ga sploh nimamo tukaj. BTW imam admin pravice na vseh računalnikih, ki jih uporabljam, saj drugače res ne gre.

Ni glih neke nevarnosti izgube službe, saj sem s svojim specifičnim znanjem bolj težko zamenljiv - vsaj saj za mojega šefa, ki me tiho podpira v teh lumparijah in ki je jamčil zame pri dodelitvi admin pravic. Stvari pa itak ne pridejo do tistih, ki o zaposlitvah dejansko odločajo, pa četudi sem včeraj dodobra okurcal našega direktorčka, da se je slišalo po celi firmi. Trdil je, da ni njegov problem, če me IT ignorira in da sem si za to sam kriv, ker se jim postavljam po robu. Stvar se je nato le začela odvijati in skupaj s slovenskim IT dečkotom, s katerim se BTW zelo dobro razumeva, na daljavo precej hitro locirala problem. Čeprav je globalni IT trdil, da je to SAMO in LE naš problem ker je z njihove strani itak 100% vse OK, je šlo enostavno za nekompatibilnost med Dell-om, ki je forsiran z njihove strani in McAfno! Krivda je torej DOCELA IN SAMO na strani mednarodnih IT "vseznalcev", ki se imajo najmanj za nedotakljivo božanstvo. K sreči je vsaj oprema na moji mizi izjemoma še vedno HP.

@Vanadium
Res bo nekaj takšnega treba ampak še bolj na široko, vsaj za vse PC-je vezane na testiranja.

Še enkrat hvala obema za moralno podporo!

No, končno so se sedaj zbudili tudi hekerji dobri po srcu in ne samo oni, ki delijo psihiatrične ocene in policajske grožnje brez vsakršne podlage. Sem prebral naš pravilnik v angleščini in ni nič konkretnega napisanega. Sploh pa ni nobeden nič podpisal in četudi bi, bi prvo minuto padlo na sodišču, ker ni v materinem jeziku.

In potem lahko nastaviš firewall, prestrezaš promet (RockPiE ima tudi Wifi)

Dejansko tako narediš hardwerski FW na Linux-u?

Metabond je 1. jul 2021 ob 12:51 izjavil:

No, končno so se sedaj zbudili tudi hekerji dobri po srcu in ne samo oni, ki delijo psihiatrične ocene in policajske grožnje brez vsakršne podlage. Sem prebral naš pravilnik v angleščini in ni nič konkretnega napisanega. Sploh pa ni nobeden nič podpisal in četudi bi, bi prvo minuto padlo na sodišču, ker ni v materinem jeziku.

In potem lahko nastaviš firewall, prestrezaš promet (RockPiE ima tudi Wifi)

Dejansko tako narediš hardwerski FW na Linux-u?

"okurcal našega direktorčka, da se je slišalo po celi firmi" Oprosti, ampak takemu človeku vsekakor ne nameravam pomagati zaobiti varnostne protokole.

Ne vem če so hekerji ravno dobri po srcu, če pomagajo ustvarjati luknje v sistemu.

Vanadium je 4. jul 2021 ob 18:13 izjavil:

No jaz bom samo tako rekel, dejansko ko imaš tako osebo v firmi katera je "ne nadomestljiva" pa po možnosti to še reče sam direktor katerga je dotična oseba skurcala. Potem je na čas da se na višjem nivoju odloči za dvojno kadrovsko ukrepanje in sicer direktorja odpustiti, ker tolerira tako obnašanje in dotično osebo, ki je ne nadomestljiva (pa brez zamere, nič slabega ne mislim ampak sem to videl, ko so naredili kadrovsko čistko od vrha do vodij oddelkov pa firma nič slabše ne dela od takrat naprej, celo bolje...). Dejansko kaj se sploh siliš, ne moreš narest, kar ti naročijo, ker ti ne omogočajo pogojev za delo, obvezno to pisno pošli preko maila v vednost vsem odgovornim osebam, da v slučaju raznega sodnega spora imaš dokaz in začni:
- v luft gledat 8 ur,
- najdi si svoj hobi in začni to med šihtom delat,
- prinesi si svoj privat laptop pa za časa službe piši svoje aplikacije za android in apple market pa služi,

obstaja toliko načinov kako lahko koristno izkoristiš plačani delovni čas, ko ne moreš delat svoje delo zaradi okornosti sistem...

Se deloma strinjam. Napiši mail vsem vpletenim in se ukvarjaj z drugimi stvarmi.

Spodnje 3 točke pomenijo krišitev delovne pogodbe.

Zadnje novice:

Bedaki so me odrezali od VPN-ja tako, da ne morem delati od doma. HI-HI! Grem pa na služben pir!

Metabond je 5. jul 2021 ob 10:59 izjavil:

Boste že videli, kako bo! Sploh pa, če že imaš zasigurano prihodnost in se ti pred ničemer in nobenim papkom ne tresejo gate!

Sploh ne dvomim, da si sposoben in nenadomestljiv kader. Attitude pa te je pripeljal tam kjer si zdaj. Kot že rečeno tvoj odnos do problema je izredno slab in posledično je več težav kot rešitev.

Upam samo da boš delal nekje v mejah legalnega in ne boš imel drugih težav, kakor s kakšnimi tupimi direktorčki.

Metabond je 5. jul 2021 ob 12:31 izjavil:

Zadnje novice:

Bedaki so me odrezali od VPN-ja tako, da ne morem delati od doma. HI-HI! Grem pa na služben pir!

čakam tvoj update čez kak mesec dni, ki bo verjetno v smislu ‘bedaki so me odrezali plače, mi vzeli ključ od pisarne in na dom po pošti poslali moje privat lončnice in slike družine’