Copyright © 1998-2024 CDR server s.r.o.
Všechna práva vyhrazena.
ISSN 1804-5405.
Copyright © 1998-2024 CDR server s.r.o.
Všechna práva vyhrazena.
ISSN 1804-5405.
Je smutne sledovat jak IT odvetvi zparchantelo a vesele parchantni dal. Ryba smrdi od hlavy aneb s korporacemi v cele ke svetlym zitrkum lidstva.
to už si snad dělají (_;_)
>:-/
srouby je treba utahovat aneb my sami nejlepe vime, co je pro Vas to nejlepsi! :-D
Taky dotaz laika, takze nekamenovat prosim :-)
Aky je dovod vlastne vypinat Defender, ked iny antivir nechcem ?
No třeba zpomalování systému na pozadí a když je uživatel dostatečně kompetentní a ví kam "leze" antivir ani není potřeba. Ps: jsem jej neměl několik let a dobrý :)
OK, ja ho totiz pouzivam v podstate od zaciatku Windows 10 a jediny iny antivir som mal McAfee pribundlovany k nejakej apke.
Ten McAfee som pouzival rok, kym nevyprsala licencia a potom som ho odinstaloval a vratil sa mi Defender.
A zrazu po roku som mal pocit, ze som si kupil novy PC ako sa to zrychlilo a odvtedy nechcem iny antivir a staci mi Defender a nemam pocit zeby to brzdilo.
Tak zrovna McAfee je největší sračka na světě, to se nedivím, že se ti "akceleroval" PC poté, cos ho vyprášil ven. :-)
Ale třeba takový Avast/AVG už se k téhle metě taky kvapem blíží.
BTW Defender je poměrně nenáročný, ale i on má své limity, zejména při práci s velkými soubory, tam je lag dost znatelný.
tak on tam byl už myslím že od windows vista, ale neměl ikonu takže nebyl vidět. Mi taky nikdy nevadil, proto jsem neměl potřebu ho vypnout. Kdyby jste měl bitdefender, tak by jste teprve viděl rozdíl. Mám ho ve služebním notebooku, a jak běží scan tak je i5 nepoužitelná na dvě hodiny. A protože se drží zásad, nemohu to vypnout a zapíná se každý týden
Defender je dobrý kompromis pro laiky - brzdí únosně a trochu i chrání. Já pokládám za lepší ho vypnout nebo nahradit kvalitnějším produktem, ale to už je třeba trochu o tom něco vědět aby ti ta změna byla k užitku. Takže v pohodě, klidně si ho nech dál.
Ale znalejší uživatel může mít pc bezpečnější i rychlejší bez defenderu.
W10 funguje tak že keď nemaš nainštalovany iny antivir, tak ti automaticky zapne defender, aspoň mne to tak robi. Odinstaloval som AVG a hned my vybehla hlaška že nemam antivir a treba to riešiť, a riešilo sa to automatickym zapnutim defendra.
Rozhodne nejde o to kam lezie, Ide o to, že nie je adminom (vďka čomu je GNU/Linux bezpečnejší, lebo používateľ nie je adminom štandradne)- Viem aký je voči odobratriu admin práv odpor pri používateľoch MS Windows aj v korporáte, ale to je potrebné zmeniť..
Most Windows security flaws mitigated by 'removing admin rights'
Almost nine-out-of-ten vulnerabilities targeting Windows last year could have been prevented by removing accounts with administrative rights.
February 4, 2016
The report, released on Thursday by security firm Avecto said a total of 85 percent of critical flaws affecting the operating system could've been stopped at the gate, and prevented from spreading deep into system files.
The report said that removing admin rights could've mitigated more than 99 percent of flaws affecting Internet Explorer, which had a critical-rated flaw almost every month; and mitigated 82 percent of all vulnerabilities affecting Office.
https://www.zdnet.com/article/most-windows-flaws-mitigated-by-removing-a...
Removing User Admin Rights Mitigates 94% of All Critical Microsoft Vulnerabilities
By Catalin Cimpanu
February 24, 2017
Just by preventing access to admin accounts, a system administrator could safeguard all the computers under his watch and prevent attackers from exploiting 94% of all the critical vulnerabilities Microsoft patched during the past year.
Even more interesting is that the Avecto 2016 report highlights that if sysadmins had forced users to utilize a low-privileged account instead of an admin-level profile, they would have mitigated 100% of all critical Internet Explorer and Microsoft Edge browser vulnerabilities patched during the past year.
The simple conclusion of the Avecto report is that most companies and users would be able to avoid malware infections and network compromises if they'd only follow the example of Linux users and avoid using admin accounts as their primary profiles.
https://www.bleepingcomputer.com/news/microsoft/removing-user-admin-righ...
Já mám takovou zásadu:
Bezpečnost je prima věc.
Ale DOSTUPNOST je mnohem lepší.
tak potom je pre Vás iný zo série Unix/Unix like OS s názvom macOS
https://www.levenez.com/unix/
Tam pravidlo o odobrantom práve admina platí tiež
Řekl bych, že odpor některých uživatelů pramení z prasácky napsaných aplikací, které bez admina ani prostě pořádně spustit nejdou...
takých už je málo. Hlavne si chcú inštalovať zakázané a nelegálne aplikácie, čo im IKT oddelenie firmy nedovolí
No, mě w10, nijak neupravené a i s právy admina nedovolovaly instalovat některé úplně běžné aplikace, některé apky měly problém s tím, že se sice spustily, ale neměly právo zápisu, použití vlastních složek byl/je stále boj.
Prasecký a mizerně ovladatelný systém přístupových práv. Když s tím bazmekem chci pracovat, víceméně mi nebývá nc jiného, než rezignovat, pracovat jako admin a i tak to zlobí. Bezpečnost je fajn, ale když mi to znemožní práci, tak holt musí jít ta bezpečnost do ...
Rád bych si instaloval linux, ale nemůžu.
Chyba není ve Woknech (i když uznávám, že za podivuhodnou implementaci UAC by měl někdo dostat po perkách), chyba je mezi židlí a klávesnicí. A z toho plyne, že tobě Linux nepomůže.
No jasně, třeba KMSpico.
Jakýkoliv jiný, než povolený aplikace neřeším, to je samozřejmě v pořádku.
Ano, podobný argument byl u nás taky, uživatelé svými zásahy rozbíjí systém a proto to neustále nefunguje, takže jim práva sebereme. Skutečnost byla taková, že systém neustále nefungoval i nadále, protože uživatelé za to ve skutečnosti vůbec nemohli, pouze se výrazně zpomalilo řešení čehokoli. Takže to co by si dřív uživatel zprovoznil sám, tak zabralo dvacet emailů a čtrnáct dní času, kdy bylo nejdřív potřeba překonat odpor administrátora, který tvrdil, že to vyřešit nejde, a následně mu krok po kroku popsat co má udělat a donutit ho k tomu. To že věci často nefungují a víceméně se s tím nedá nic dělat se stalo součástí firemní kultury, uživatelé zcela rezignovali na pokusy zvyšovat efektivitu své práce s počítačem a všem je všechno tak nějak jedno. Ale šéf je spokojený, protože teď má pocit absolutní moci.
Řekl bych že to co lidem vadí není práce pod neadmin účtem ale snaha it oddělení, namísto jen zajištění podpory a servisu, určovat co uživatel smí či nesmí na svém zařízení dělat. Oni si tím výrazně usnadní práci a zvednou bezpečnost. Nicméně, z pohledu toho člověka co na tom počítači dělá, nemají co rozhodovat o tom jaké aplikace a jak používá (a hrát si na šéfy), mají mu zajistit servis. Klidně budu pracobat na neadmin účtu ale v momentě kdy chci nainstalovat aplikaci tak chci znát admin heslo a instalaci provést, nikoli se hádat s "adminem" co můžu a co ne...
Osobně jsem to zatím vždy řešil tak že používám soukromé vybavení kde mi do toho nemá co kdo kecat.
Admin je zodpovědný za bezpečnost a funkčnost sítě a pokud se jedná o firemní PC/NB, tak i za to, že veškeré softy na nich nainstalované jsou řádně licencované. Takže fakt nemůže nechat každého Frantu instalovat co se mu zamane. Pokud jsou to větší firmy, tak to nemá z vlastní hlavy a řídí se bezpečnostní politikou, která je schválená vedením.
To nic nemění na tom že za to co mám na počítači si zodpovídám já a ne admin a tohle je jenom způsob jak si zjednodušit práci. A to že někdo člověka označuje "za každého frantu" je přesně to co na tom mnohé uživatele štve..
> za to co mám na počítači si zodpovídám já a ne admin
To nie je pravda, aspoň na Slovensku,
za legálnosť všetkého SW vo firme zodpovedá konateľ (česky jednatel) firmy a to dokonca aj trestne..
Což je opět, přeneseně, to samé, tj ne admin... a majitel firmy tu zodpovědnost může požadovat pak dále po svých zaměstatnancích tedy i po mně.
V korporátech je třeba vedení ukradené co lidi používají, kdo by takové malichernosti řešil. Mají ředitele nějakého provozního oddělení a to má pravomoce říkat co a jak. Do toho pak občas promluví třeba nějaké auditorské firmy, které nařídí něco používat/nepoužívat a věřte že za neautorizovaně nainstalovaný SW se tu a tam rozdávají výpovědi. Pokud chce člověk něco, má store aplikací které si může nechat instalovat - automaticky - nebo když jde o něco nestadardního, tak musí žádat a musí to projít schvalovacím procesem až se to schválí, tak to někdo vzdáleně na ten počítač nainstaluje.
Jasně oni všichni dělají v korporátech že...
Jo, privatizace výhod, socializace průserů. Čili ty si chceš užívat s nezabezpečeným systémem, ale bude to vina IT, když tvé PC bude nefunkční, nebo tebou dotažený malware zašifruje data na síťových discích anebo firmu zažalují za nelegální SW.
Jo, tak přesně takto to chodí ve firmách, kde IT nefunguje a nikdy fungovat nebude. Měl by sis uvědomit, že počítač ti firma dodala jako pracovní nástroj, ne k tvé zábavě nebo k tomu, abys ty určoval, co si tam nainstaluješ za "pracovní" nástroje.
Jak píše Tombomino nahoře, dnešní IT je extrémně zparchantělé, ale to co jsi tady napsal ty, je zparchantělost úplně stejná, jen z opačného konce.
"Čili ty si chceš užívat s nezabezpečeným systémem"
Nic takového jsem nikde nepsal.... pracuješ s normálním účtem jen máš možnost když je potřeba použít admin heslo.
Ty si riadne vymletý. "ale snaha it oddělení, namísto jen zajištění podpory a servisu, určovat co uživatel smí či nesmí na svém zařízení dělat"
Za prvé, užívateľ vo firme nepracuje na SVOJOM zariadení. Je to majetok firmy. Za druhé, v rámci bezpečnostnej politiky užívateľ nesmie inštalovať, čo sa mu zachce. Dokonca ani z jeho pohľadu freeware nie je dovolené (nie vždy) používať vo firmách. To len opensource, ale toto bežný užívateľ nerozlišuje.
Za tretie dať užívateľovi práva admina je cesta do pekla. To by admini nič iné nerobili, len opravovali počítače. Počítače v sieti sú spravované doménovou politikou a majú nainštalované len tie aplikácie, ktoré sú zakúpené , alebo povolené (opensource, ale zase nie akýkoľvek).
Počítač vo firme je pracovný nástroj, vlastní ho zamestnávateľ a užívateľ nemá právo kecať, čo tam má byť nainštalované, alebo akým spôsobom sa používa. Ak sa mu nepáčia pravidlá, môže dať výpoveď.
Púšťať súkromné počítače do siete je tiež nebezpečné. Možno len vtedy, ak nebude mať prístup k firemným prostriedkom (PC, servery, tlačiarne, ...) a získa iba prístup na internet (napríklad nainštalované AP a zamestnanci môžu ísť mobilmi, NB na internet, ale do firemnej siete prístup nemajú).
Čo sa týka pravidiel, tak tie si firmy necucajú z prsta. Existujú rôzne doporučenia a pravidlá, ktoré vychádzajú z ISO noriem, bezpečnostných požiadaviek a podobne. K nám napríklad prišiel ekonomický a bezpečnostný audit a museli sme nedostatky odstrániť. Jedným z nich bolo nastavenie vynútenia zmeny hesla po 3 mesiacoch. Nepopulárne u zamestnancov, ale keď chcete splniť požadované štandardy (a audit sa nerobí pre srandu králikov), tak to proste musíte riešiť. A nejaké súkromné požiadavky môžu byť IT ukradnuté.
Poviem vám príklad. V rámci infozákona môže prísť ktokoľvek do našej organizácie a na PC si vyhľadať určité informácie. Ten PC je tak osekaný (W10), že ani v menu nič nie je a na ploche ikona na spustenie aplikácie a hľadanie informácií. Nespustíte nič iné, na disk sa nedostanete, odhlásiť do logovacej obrazovky nejde, proste taký kiosk. Viete si predstaviť, že tam cudziemu človeku dovolíte robiť relatívne všetko, čo vám bežne operačný systém dovolí? Aj toto je len o bezpečnosti.
Neboli uživatel je takto nesvéprávný jedinec ne? Uživatel ví lépe, podle mých zkušeností, než admin co potřebuje k práci. Bavíme se o tom co uživatelé nesnášejí na práci bez práv admina.
"To by admini nič iné nerobili, len opravovali počítače."
A o tom to je, museli by dělat spoustu práce navíc....
Vím o místech, kde tohle funguje naprosto v pohodě a kupodivu se žádné peklo nekoná. Například většina vysokoškolských sítí. Pokud mám něco tak problematického že se bojím úniku dat a podobně, tak holt mám tyto počítače ve "zvláštním režimu", ideálně na vlastním okruhu mimo internet, ale jakmile chci po lidech trochu kreativní práci ty počítače se používají třeba jako NB i u nich doma atd. tak tohle bude vždy omezovat.
Jistě že uživatel ví lépe a proto má postupy jak o něco specifického požádat, zajde třeba za nadřízeným a sdělí mu požadavek, pokud on není kompetentní to rozhodnout, pošle to dál, až se dojde ke kompetentní osobě, zeptá se proč to chce a bude žádat vysvětlení proč právě tohle a ne to co už je a buď to dovolí nebo ne.
Když ti to nevyhovuje, tady máš papír, napiš výpověď a támhle jsou dveře
A oprava počítače... uživatel co nepracuje stojí klidně 10-15-20 tisíc denně + práci toho člověka co to opravuje a těm nejde o práci navíc, ti ji mají nad hlavu, firmu by to stálo najmout více lidí, už když se dělaly migrace z W7 na W10, tak to zabralo půl dne kdy člověk neměl počítač a na tu práci se najímala externí firma protože interní oddělení nemá kapacity běhe třeba roku převést tisíce počítačů s co nejmenším časovým výpadkem uživatele, nehledě na logistický problém kdy IT support sedí v Ostravě a uživatelé jsou po celé republice
Přesně tak, pěkná ironie.
Môžete byť svojprávny, ale zamestnávateľ určuje pravidlá. Takže bežný zamestnanec bude robiť s tým, čo mu dodá. Vy si viete predstaviť, že máte ako zamestnávateľ konštrukčnú kanceláriu, tam vám sedí 50 technikov a každý si bude chcieť vybrať v akom CAD programe bude kresliť? Veď už len rozdiel medzi rôznymi verziami AutoCADu robí problémy s výmenou výkresov. A to máte od Bentley Systems - MicroStation, Dassault Systemes - Solidworks, Autodesk - AutoCAD, Parametric Technology Corporation - Creo, ďalšie, ktoré nie sú len CAD, ale aj CAM, CAE, ako napríklad Dassault Systemes - CATIA a kopec ďalších - Rhino (platený), FreeCAD, OpenSCAD a mnoho ďalších.
Viete si predstaviť, že niektorí budú chcieť niečo iné ako jeden používaný? Jeden si povie, že chce robiť v CATIA, ale po roku dá výpoveď. Licencia je 10 tisíc dolárov. Takže firma spláchne ten výdaj, lebo niekto si povedal, že chce kresliť v inom programe.
A čo systémová podpora? Kto bude riešiť problémy, keď niečo nebude fungovať ako má? Máte x rôznych programov a Windows 10, ktorý sa mení ako MS pískne. Zrazu vám niečo nebude fungovať. Projektant stojí, lebo mu nejde jeho program. Ak máte iba jeden program, riešite problém iba raz.
A čo v rozhlase, jeden redaktor si bude strihať zvuk vo WaveLab, druhý v SoundForge, tretí v Adobe Audition, štvrtý v Audacity, ... Ste vy vôbec normálny? Kto im zabezpečí podporu v prípade problémov? To majú najať dvojnásobne adminov?
S prepáčením vy ste debil.
Ano dovedu znám takové a na rozdíl od těch "korporátů" se v nich pracuje lidem daleko lépe...
"S prepáčením vy ste debil."
Argument jak noha, zřejmně na úrovni pisatele...
-
když už někoho hodláš označovat za "debila", tak se mu předtím neomlouvej. Buď si za tím stojíš, nebo ne. A pokud ne, tak to nepouštěj do kláves!
"Neboli uživatel je takto nesvéprávný jedinec ne? Uživatel ví lépe, podle mých zkušeností, než admin co potřebuje k práci. Bavíme se o tom co uživatelé nesnášejí na práci bez práv admina."
Žiaľ nežijeme v ideálnm svete. Väčšina bezpečnostných incidentov sa stane buď omylom obsluhy alebo schválne a to z rôznych dovodov. Jednoducho najnebezpečnejší nepriateľ nie je hacker, ale vlastní zamestnanci, ktorí z nejakého dôvodu spravia chybu, alebo naozaj majú zámer a chcú škodiť. Žiaľ… Z tohto pohľadu je zrejmé, že je nutné dať len také oprávnenia aké sú nevyhnutne nutné na činnosť a ich ich použitie logovať, kontrolovať a systematicky vyhodnocovať. Ak teda chceme brať IT security vážne.
To máš ako u fízlov, čo dali lustrovať osoby pre mafiu. Ak by to systém nelogoval, nikdy by sa neprišlo nato, že to niekto masívne zneužíva.
To jsi si ale vážně nepomohl, protože kdo hlídá toho fízla/admina? Ano souhlasím každému je nutné dát taková práva která potřebuje a za která si zodpovídá, nedám každému admin práva na server či na důležitý hw obecně, ale jen na jeho vlastní počítač a v takové míře v jaké je schopen je použít.
"nemají co rozhodovat o tom jaké aplikace a jak používá (a hrát si na šéfy), mají mu zajistit servis"
ROFL, si fakt poriadne mimo a o skutočnom svete nemáš tušenie. Dať nejakej sekretárke alebo manažérovi admin prístup k systému, tak si to môžeš rovno hodiť, pretože nemáš šancu ustrážiť bezpečnosť a spoľahlivosť celej siete. O tomto si dovolí čo i len uvažovať len skutočný diletant.
Jediný opravdu bezpečný zpúsob práce s počítačem je nepoužívat počítač. Takže podle vaší logiky rovnou zrušíme počítače?
Keď sa niekedy dostaneš do firmy, kde je bezpečnosť dôležitá, pochopíš, že na to existujú presné postupy a smernice, cez ktoré jednoducho nejde vlak. Je na to ISO norma a ak chce mať firma certifikát, ktorý je dôležitý pri jej zakázkach, tak jednoducho tie normy dodržiavať musí. Naštuduj si problematiku ISO 27001, naštuduj si ako fungujú externé audity a potom sa môžeme baviť o tom, čo je bezpečný spôsob používania počítača a čo nie je. Vždy sa dá spraviť výnimka, ale musí to mať setsakramentský dôvod, nie že niekto mimo IT odelenie túži mať administrátorské oprávnenia.
Predstav si, že máš osobnú zodpovednosť za bezpečnosť a funkčnosť IT infraštruktúry vo firme, kde sú stovky zamestnancov rôznej povahy a s rôznou mierou vychcanosti/zodpovednosti a výsledky tvojej práce sa priamo ukazujú v tvojej peňaženke. Predstav si, že firma má väčšinu zákaziek založených na tom, že spĺňa určité bezpečnostné normy a musí mať na to certifikát. Predstav si, že firma funguje na spracovávaní rozsiahlych dát povedzme veľmi osobného a citlivého charakteru, kde ak sa stane bezpečnostný incident, je to tak obrovský prúser, že ak by sa stal – a ty by si niečo nanedbal – firmu by to to s pravdepodobnosťou hraničiacou s istotou položilo na kolená a viac by si v odbore neškrtla. Takže – ak si osobne zodpovedný za chod všetkých procesov a externý audítor (špecialista na bezpečnosť, nie nejaký v IT nevzdelaný manazér, ale fakt skutočný odborník) pravidelne kontroluje, či to všetko dodržiavaš, aj to, či máš na všetko záznam a každý krok máš podložený, potom by som chcel vidieť, ako by si sa pozeral na názor zamestnancov, že IT admin "nemá čo obmedzovať ich admin práva, nemá sa čo starať do toho čo si inštalujú do PC a má pre nich fungovať ako SERVIS a PODPORA". Predstav si, že podobných mudrlantov máš vysoké percento a ťažko ich vyhodíš, lebo sú to povedzme dobrí špecialisti vo svojom odbore, no majú tendenciu sa srať do IT, aj keď mu nerozumejú, alebo IT rozumejú do určitej miery a majú skreslené predstavy o zvyšku, alebo mu nerozumejú vôbec, ale sú presvedčení, že mu rozumejú. :-) Ver mi, že takí sú najhorší.
Ak by si sa v takejto situácii pozeral na názor, že "riešenie bezpečnosti systémom anarchia je OK a nech si každý na svojom pracovnom PC robí to, čo uzná za vhodné", tak aj keby sa nič vážne nestalo, po prvom audite by si bol tak pojebaný na koberčeku u dozornej rady a spoločníkov firmy, že by si bol rád, že máš "len" natrhnutú riť. V skutočnosti by si rovno letel na dlažbu a dostal padáka ako nekompetentný idiot.
Jo a pak si přešteme jak vydírají špitál protože někdo spustil ransomware....
Dokud budou podobní jedinci problém bezpečnosti řešit jen tím že z uživatelů udělají nemyslící hovada do té doby se to nezlepší. Na prvním místě je potřeba lidi naučit jak se s počítačem chovat a ne jim ořezat co to jde z pozice síly. It admin jim má poradit a pomoct a ne určovat co potřebují a co ne k práci ostatně už to to zaznělo stačí že budu dotyčného dostatečně sněkolika dalšími bombardovat oprávněnými požadavky a ono ho to obvykle celkem rychle přejde...
jestliže někde funguje mamutí korporát s pár adminy pro tisíc lidí i chápu že by to jinak nestíhali ale to nic nemění na tom, že to není ideální pro práci uživatelů, kteří dělají i jiné věci nž píší tabulky v excelu, či dopisy ve wordu, ani omylem.
"Dokud budou podobní jedinci problém bezpečnosti řešit jen tím že z uživatelů udělají nemyslící hovada do té doby se to nezlepší."
Lenže niektorí useri aj keď sú super špecialisti vo svojom odbore, čo sa týka IT a bezpečnosti, tak naozaj nemysliace hovadá SÚ! Tak to proste je. Nič v zlom, ja zas neviem veci, ktoré ovládajú oni a som tupý v rôznnych iných odboroch a nehodlám sa ich ani učiť. Ak ale pracujem s takom tíme, s radosťou delegujem práva a rozhodovanie na luľí, ktorí sú v tom doma. Pretože mi príde dosť uletené aby som rozhodoval ja o niečom, čomu nerozumiem. Takto to v živote jednoducho je a nič s tým nepsravíš. V tíme nemôžeš mať len samé talenty na IT a majiteľ nevyhodí niekoho len preto, že nerozumie IT bezpečnosti, pretože jeho odborná práca na PC je o úplne inom ako o HW a SW veciach.
"Na prvním místě je potřeba lidi naučit jak se s počítačem chovat a ne jim ořezat co to jde z pozice síly."
V tom sa vcelku zhodneme, vyškolenie userov je základ, no ak im neorežeš práva ako píšeš – z pozície "sily", tak nemáš kontrolu. V IT je dobrým zvykom všetko zakázať, zabetónovať a následne povoliť len to, čo ne nevyhnutne nutné pre fungovanie. Vždy tam budú nejaké kompromisy medzi konfortom a bezpečnosťou, ale robiť to systémom, že BFU dáš práva, ktoré nepotrebujú, to je fakt zlý vtip.
"It admin jim má poradit a pomoct a ne určovat co potřebují a co ne k práci "
Čo potrebujú k práci admin predsa neurčuje. Na to je tam niekto iný, ak si vedenie nastaví, že vybraní zamestnanci budú mať softvér X, Y a Z a k nemu príslušné práva A, B, a C, je to predsa úplne OK. Len potom to už nie je na zodpovednosti správcu, resp. daný user má aj niektoré kompetencie správcu, ale tým pádom má aj zodpovednosť.
Jednoducho nemôžeš oddeliť práva od zodpovednosti.
"Lenže niektorí useri "
ano na základě niektorých userů se budeme ke všem chovat jako k jako k zaostalým?
"ale tým pádom má aj zodpovednosť"
a říkám já snad celou dobu něco jiného??
Na začátku totiž byla otázka co lidi štve a na reakci že lidi štve snaha omezit je na jejich počítači tak že sami nemohou ani povolit update někdo začal zovšeobecňovat to ze sekretářek a super korporátu na všechny a plést si práva admina s prací pod amin účtem!
Pozri, je to jednoduché. Buď máš anarchiu alebo určité pravidlá, zodpovednosti a systém kontroly.
Ak máš viacero ľudí s najvyššími oprávneniami, nemusí existovať možnosť presne určiť zodpovednosť za konkrétny krok a vyvodiť dôsledky v prípade ak sa niečo poserie. Jednoducho existujú politiky a normy, kde toto spraviť z princípu nejde a pri audite by si mal s tým problém. Chápeme sa?
Jasně, ale tohle přece nejde vztáhnout na všechny. A já osobně bych zrovna v takovém typu zamestnání dělat nechtěl. Už se mi stalo že jsem týden nemohl nic dělat protože admin řešil důležitější věci a mně odmítal dát přístup k něčemu co by se zařídilo za 30minut...
Nie, ale niekedy je to nevyhnutnosť a nič s tým nespravíš. Potom je to celé o tom, aby IT oddelenie fungovalo dosť rýchlo na to, aby bezpečnosť neobmedzovala funkčnosť a chod firmy. Riešiť problém porušením bezpečnosti by možno bolo pre nich na vyhadzov, týždenný sklz pri riešení problému je možno len na zrušené prémie. Teba to brať aj z tej druhej strany. Možno je to neschopnosť, možno preťaženosť, možno zle nastavené bezpečnostné politiky vo firme.
ale ty přece nutně nemusíš poručovat žádnou bezpečnost..
To záleží na tom ako to majú nastavené. Fakt to môže byť tak, že ak ti dá admin prístup a vyslovene to spraviť nesmie, je to na vyhadzov.
Jenže ty furt mluvíš o konkrétním případu "korporátu" kde jeden přehazuje zodpovědnost na jiné, tohle neplatí všeobecně.
Evidentne to nechápeš. Žiadne prehadzovanie zodpovednosti, ale presne stanovené podmienky a aj presne stanovená zodpovednosť. To platí aj o podnikaní v malom, medzi obchodnými partnermi, medzi majiteľom a konateľmi atď. Tam kde nemáš stanovené pravidlá hry, skôr či neskôr nastanú problémy, boj o právomoci, rozpad firmy.
Prehadzovanie zodpovednosti nastane presne v takom prípade, o akom tu snívaš ty – teda vtedy, ak má PC viac adminov a nastane nejaký prúser ;-) Vtedy neni toho, kto by bol za to zodpovedný.
Nechápeš to ty proč by měly u menší firmy nastat problémy s pravomocemi. Zodpovědnost má vždy ten co daný problém řeší. Nainstaluješ si co nemáš zodpovíš si to. Pokud nemáš dost znalostí pak tu máš admina.
Mimochodom, tie isté bezpečnostné politiky, ktoré riešia administráciu a prístupy, riešia na rovnakých princípoch aj to, koľko tvrvá vyriešenie tvojej požiadavky na odstránnenie chyby/problému a koľko firma stratila keď si bol týždeň neschopný plnohodnotne pracovať. Má to rovnaké pravidlá, logy, výstupy a merateľné parametre, ktoré vedeniu vyčíslia spôsobené škody a musí si vedieť zrátať, že musí prijať nejaké efektívne opatrenia, aby týmto škodám predišiel. Bezpečnosť sa neberie len z pohľadu IT, ale z podľadu dopadu na všetky aktíva firmy, pričom jedným z nich je riešenie výpadkov výroby/práce, resp. rýchle riešenie porúch. Čiže aj strikne nastavený systém pravidiel vie byť dosť užitočný a efektívny. Len to treba vedieť.
Klasika mašinérie korporátu ve skutečnosti pak z velké části neřeší ani tak bezpečnost jako hledají způsoby jak ze sebe shodit zodpovědnost...
Ak by to fungovalo tak ak popisujem – podľa teba štýlom "mašinéria korporát" – tak by ten tvoj prestoj niekto musel riešiť a admin by sa za to musel zodpovedať. Takto ťa len odpálkoval, že nemá čas. Sám si vyber, čo je lepšie.
Lepšie je když admin nemusí řešit každou blbost.
Jednoduchý příklad výjimky. Zrovna mému účtu IT raději přiřadila administrátorská práva, než aby za mnou museli běhat kvůli každému updatu jednoho ze 7 softwarů, který používám. Bez updatu se taky může stát, že nebudu pracovat vůbec a to se zaměstnavateli nevyplatí. A IT většinou nemá čas za mnou hned letět. A tak jsem ředitelce vysvětlil, že mi nevadí když budu čekat na IT a serfovat na webu místo práce. A tak to dopadlo? Já jsem slíbil, že budu hodnej: "nebudu otevírat přílohy mailů z adres, které neznám, nebo nesmysly. Nebudu instalovat nepracovní věci atd. A kupodivu už 5 let fungujeme bez problémů, konfliktů, ...
"nebudu otevírat přílohy mailů z adres, které neznám"
Pekná fráza, pre mňa dosť úsmevná. Dosť ľudí netuší, že email odosielateľa je veľmi ľahko podvrhnuteľný a bez znalostí emailových hlavičiek a schopnosti ich analýzy – alebo bez nástrojov ako GPG – nemajú veľkú šancu overiť, či odosielateľ je skutočný alebo podvrhnutý. Ak by niekto veľmi chcel a poznal by napríklad mená a emailové adresy ľudí z IT oddelenia, vedel by poslať v ich mene nejaký pekný keyloger alebo ransomware aj s pokynom na inštaláciu, a user by si ho s najvyššou pravdepodobnosťou aj pekne krásne sám nainštaloval :-) Otázka je len to, či sa to niekomu oplatí robiť alebo nie. Ak ťa na to vaši IT zaškolili a nakonfigurovali do systému potrebné nástroje, môže to fungovať vcelku OK, no z mojich skúseností viem, že zaškolenie sa často nedeje a ani nástroje na toto sa často nepoužívajú. Kto by už len chcel písať dalšie heslo k súkromnému kľúču :-D v poštovom programe? :-D A jasné, aj napriek tomu to funguje, možno dlhé roky, ale vždy len do prvého prúseru. A možno nikoho nezaujíma tvoje PC, pretože na ňom nie je prístup k účtom do banky alebo do databáz s citlivými údajmi. A možno je, len o tom ešte nikto zlý nevie. Zatiaľ. :-) Niekedy je dobré mať nejaký honeypot. Až sledovaním logov na honeypote si často IT oddelenie a aj vedenie uvedomí, aké je to celé krehké.
U nás napríklad aj sekretárka vie, že pokiaľ email nie je digitálne podpísaný musí ho brať ako nedoveryhodný, niečo ako korešpondenčný lístok v poštovej schránke na verejnom mieste.
Ďalšia vec je, že ak user pracuje pod admin účtom, je to pekná dierka do systému - ono často prílohu netreba ani otvoriť, stačí email len zobraziť a útočníkovi potom stačí len poslať správny súbor a využiť existujúcu nezaplátovanú zraniteľnosť. A ak si v session s admin oprávneniami, má to vážnejšie dopady.
Proč si pořád pletete admin práva s prací pod admin účtom??
Stejně tak jeden člověk jasně vysvětluje práci někoho kdo rozhodně není sekretářka se znalostí "sem klikni" a vy argumentujete spoustou neznalých lidí a databázami s citlivými údaji. Pokud mám potřebu řešit banku tak je to něco jiného než třeba skupina inženýrů v konstrukci či sekretářka ne?
Pretože to vidím často v praxi. Frantík si naištaluje sám PC s oknami a účtovníctvom a absolútne nerieši či ten účet s ktorým ho Windows pri inštalovaní otravoval otázkou: "Kto bude používať tento počítač?" má slúžiť na bežnú prácu. Frantík vytvoril účet, to že je to admin účet ho ani netrkne. Taká je žiaľ prax. A podobne je to často aj vo firmách, kde je IT anarchia. Normálne používajú admin účet na bežnú prácu. Naštastie od určitej verzie sú aj tie blbé widle defaultne nastavené tak, že internertový browser nespúšťajú v kontexte správcu. A tam už je to o znalostiach a o vyškolení – keď na nejakom webe vyskočí niečo čo si admin práva vypýta, či ten Frantík len tupo odlikne "povoliť", alebo sa nad tým aj zamyslí.
Ve firmách kde je it "anarchie" počítač frantům stejně instaluje onen admin a síť si zabezpečí tak, aby mu až zas tak moc nevadilo když si jednou za uherský rok někdo zaplevelí svůj počítač.
Ak je na tom počítači len porno, tak nie, nevadilo. Myslel som, že sa bavíme o firme s nejakými dátami, ktoré majú cenu.
Dáte ktoré mají skutečnou cenu nejsou na jednom počítači a dotyčný na tom samém počítači nemá co mít "porno".
Iste :-) a preto môžu tie dáta uniknúť na net, veď sa nič, nedeje, my máme zálohy :-D Asi nemá zmysel s tebou viesť debatu.
Ne proto nemají data u kterých se bojím úniku na net na takovém počítači ze kterého je to možné co dělat...
Ak je tam prístup na akékoľvek sieťové služby v LAN, tak sú tam aj tie data ;-) Ak v tom PC fakt nie je nič dôležité (čo fakt pochybujem), aj tak je to diera, pretože z neho môžu bežať útoky na ostatné zariadenia v sieti a hlavne na servery, často v kontexte prihláseného usera.
Nikoliv. Mám odělenou část kde jsou důležitá data a pak část mimo ni. Útoky z ní jsou naprosto na stejné úrovni jako ze sítě mimo...
Takže máš PC na ktorom nie sú žiadne dôležité dáta ani pripojenie k sieti a žiadnym službám, a bavíme sa to o jeho zabezpečení? :-D
Ne takže mám část s důležitými daty oddělenou od běžné sítě to je vše...
Napriklad potrebuješ hacknuť nejaku hru, cheaty proste nie všetko je na PC robene legalne, antivirusove programi na to reaguju nežiaduco a potrebuješ ich na chvilku vypnuť a keď sa nedaju vypnuť je problem.
na to si můžeš udělat výjimku, nastavení tam je.
nicméně principiálně odebrat nemožnost (trvale) vypnout Defendera je prostě velký špatný.
Spatne to byt muze, ale mas mit vzdycky moznost volby. Nemit volbu je spatne at uz si osobne myslime co chceme.
Špatně je, když počítač ovládá uživatele a ne uživatel počítač.
Někdy musím vyzkoušet, co se stane, když se ten defender "prostě smaže" (třeba z jiného OS).
Ani nie ze zmaze ale zmeni na ine exe-cko - proste trapna konzolovka, co nespravi nic. Kedysi som vo Win XP mal problem s nadbytocnym keyboard barom - tak som ho nahradil nejaky windowsackym execkom, co nerobilo nic, lebo potrebovalo argumenty... uz si nepamatam presne ale bol pokoj.
O to by se asi "postaraly" automatické aktualizace :-(.
Beztak to kontroluji podle tech regklicu ktere ostatni antiviry vytvari ci jmen sluzeb ktere ty antiviry spousti.
Driv nebo pozdeji si nekdo da tu praci vysledovat jake jsou to klice ci jmena sluzeb a udela "fejkove".
Dokud se uzivatele nebudou masove ozyvat/"hlasovat penezenkou", zmena postoje Microsoftu jen tak nebude.
Tem co to vadi a MS Windows pouzivaji, budete na to regaovat, nebo zase sklopite hlavu? :)
MS W10 používám a nijak mi to nevadí, Defender je v pohodě, rozhodně lepší, než bullshity jako MacAffee.
Řekl bych, že je otázkou času, než EK donutí Microsoft implementovat povinnou obrazovkou výběru na antiviry. Jako to bylo s prohlížeči.
A bude i na MAC a Linux a ostatní OS aby to bylo spravedlivé?
Na GNU/Linux máte na vsetko 2-3 alternatívy od rôznych dodávateľov
macOS má toto aspoň na časť
dual post
Bude.
Pred casom som zachytil spravu, ze MS chysta defender aj pre Mac.
MS Defender pre Linux už je :))
Microsoft releases Defender ATP for Linux
Yes, you read that headline correctly, Microsoft has just released a security program for Linux.
By Steven J. Vaughan-Nichols for Linux and Open Source | June 24, 2020
https://www.zdnet.com/article/microsoft-releases-defender-atp-for-linux/
aj som ho chcel vo virtualboxe skusit ale neslo to. na ostry OS od ms ani visual studio
Vsak ja psal, ze pokud to uzivateli Windows 10 vadi ma se ozvat a ne brecet na jinych strankach.
Pokud ti to vyhovuje, je jasne ze se neozves. ;)
Sklopil jsem hlavu, už když jsem si ty W10 nainstaloval. Teď už to bude jen horší... jinak ten Defender je asi to poslední, co mi vadí.
Já myslím, že v nastavení zásad to půjde vypnout i nadále (gpedit.msc - https://abload.de/img/defendergpeditqojya.png)
W10 Build 19041.450, Ver. 2004
Potvrzuju - defender mam vypnuty.
teraz uz len zostava zistit, ktory register tato policy meni, asi tento https://gpsearch.azurewebsites.net#2630
To je hezká stránka, děkuji, neznal jsem :)
Vypnout ano, podle toho, co jsem četl jinde to ale má být tak, že nastavení sice v gpedit zůstane, ale systém ho bude ignorovat. Zda je to pravda nevím, defender nepoužívám.
Tak pak zbývá jen Defender odinstalovat. To je sice ještě víc user-hostile než krz gpedit, ale taky to pude (snad - u Adobe flashe to do verze tuším 1903 šlo, pak už ne). Blbý na tom je, když člověk potřebuje ten Defender vypnout jen na chvíli, to jsou pak nějaké hrátky s dismem dost naprd (nehledě na pravděpodobnou nutnost restartu OS).
Já Defender nainstalovaný mám, a to kvůli VPNce do práce, jejíž politika nepřipouští funkčnost na PC bez antiviru. Defender mu stačí. Jinak je mi taky ukradenej, jako každej antivir.
Veselé je, že když je zapnutá "ochrana proti falšování", tak i vypnutí defendera přes gpedit je ignorováno a vesele si běží rezidentní ochrana i po restartu :-(
Předpokládám, že to někdo rychle vyřeší "dummy antivirem" - v systému se to bude hlásit jako antivir a přitom to nebude dělat nic (jen způsobí vypnutí Defenderu).
Vsadím boty, že ten bude v defenderu blokovaný jako malware, hacking tool nebo PuP.
Dlouho nebyl žádný hate na MS, tak vytvoříme článek o 9 vétách o absolutně nevýznamném odstranění jednoho nastavení z registrů? :-D ... A neříkám, že MS dělá všechno dobře. Ale tohle je prostě bulvár.
Ty jsi dobre kolecko..na MS zadny hate vytvaret nemusis. To prijde v urcitem okamziku samo, kdyz pouzivas jejich produkty a znas jejich marketing 20 let :D
stale sa da vypnut, staci deaktivovat tamper protection v security centre, nasledne ten kluc v registroch zacne fungovat a defender sa vypne
Jinými slovy, kdo potřebuje, tak si ho vypne. BFU ne a o to asi jde. Ti, co tady kvůli tomu hejtují, jsou jen BFU, co si budeme povídat...
:D :D :D
Jinak já už x let nic jinýho než Defendra nepoužívám. Prostě stačí.
Máš bezesporu pravdu, že technicky a prakticky to není žádný velký problém - defender jen čas od času maže některá data a programy, které se mu nelíbí. :-)
Nicméně, systematicky a hlavně právně to už tak růžově nevidím. MS jednoduše zakázal něco, co by technicky mělo náležet správci počítače. A je zcela jedno, jestli je uživatel BFU nebo skiller. Tady prostě chybí opt-out. Můžeme to nazvat salámovou metodou, nebo postupným vařením žáby, jde stále o totéž, udělat z Windows jednu homogenní skupinku, kterou půjde lépe kontrolovat. Jednou je to nemožnost zvolit aktualizace podle svého uvážení, teď zase antivir. Jindy ti MS nacpe silou Windows Update své ovladače, o kterých se algoritmus domnívá, že jsou lepší než ty, které tam máš teď - ale já si koupil licenci na desktopový OS, ne jednorázovou službu SaaS. A takových "problémků" jsou W10 plné. Spousta lidí už rezignovalo a berou to tak, že W10 si žijí vlastním životem, a co platilo včera, nemusí platit dnes.
Taky odstranili podporu vytváření oddílů ReFS ve Windows 10 PRO (zůstala jen ve verzi Enterprise a Pro Workstation). Prostě se rozhodli, že vypnou fíčuru, kvůli které si někteří zákazníci verzi PRO koupili. Měnit avizované vlastnosti zakoupeného produktu je docela hnus, ale co očekávat od OS, který je v nekonečném stavu "paid alpha pre-release"
Nepamatuji se, že by ReFS někdy byl v Pro. Vždycky jen ve Workstation a Enterprise. Možná v insiderské verzi? Ostatně na domácím nebo kancelářském pecku stejně nemá smysl, tenhle databázový filesystém vám sežere dost výkonu, aniž by vám poskytl hmatatelné výhody.
To je blbý, že ve W10 LTSC žádnýho defendera nemám, jen windows firewall :)
Tak tahle věta mě opravdu hodně pobavila "V současnosti prý už je detekce cizího antivirového řešení v OS Windows 10 natolik pokročilá a spolehlivá, že není potřeba Defender vypínat ručně, protože se vždy správně vypne sám." Ve windowsnic jako pokročilé a spolehlivé opravdu není a je to vidět na jejich aktualizacích.
esteze uz vyse 9 rokov windows nepouzivam. uz by som bol komplet sedivy
To je ale důsledek masového rozšíření počítačů, spadají dnes do consumer sektoru spolu s televizí, pračkou atd. - většina uživatelů nižších edic Win (do Pro včetně) jsou opravdu pouhými uživateli. A vzhledem k spektru využití - platební terminál, spousta citlivých osobních a firemních dokumentů a pod., jsou podobné postupy očekávávané.
Pro corporate jsou jiné edice napříč všemi OS.
Sorry za nercomancii tématu, ale tohle je docela sranda:
https://www.bleepingcomputer.com/news/microsoft/microsoft-defender-can-i...
Pro psaní komentářů se, prosím, přihlaste nebo registrujte.