Frage:
Kann mein Chef meinen Computer öffnen und benutzen, wenn ich nicht anwesend bin?
Lucas
2016-10-06 17:49:41 UTC
view on stackexchange narkive permalink

An meinem Arbeitsplatz reaktiviert mein Chef manchmal meinen Computer aus dem Ruhezustand und setzt mein Kennwort zurück, um in mein Windows-Konto zu gelangen.

Ich weiß, dass der Computer zur Firma gehört, aber ich bin es gewohnt, meine Passwörter auf diesem Computer zu speichern, und ich mache mir Sorgen darüber, was er damit machen kann.

Der Grund, warum er dies rechtfertigt, ist, dass er manchmal wissen möchte, ob auf meinem Computer etwas nicht festgeschrieben ist, damit er sich in meinem Namen festlegen kann.

Kommentare sind nicht für eine ausführliche Diskussion gedacht.Diese Konversation wurde [in den Chat verschoben] (http://chat.stackexchange.com/rooms/46442/discussion-on-question-by-lucas-can-my-boss-open-and-use-my-computer-wenn-im-nein).
Höchstwahrscheinlich hat Ihr Chef Ihre privaten E-Mail-Nachrichten und andere persönliche Informationen überprüft (weil seine andere Erklärung nur dann Sinn macht, wenn er wirklich inkompetent ist).Betrachten Sie die Informationen, die Sie dort kompromittiert hatten.Die Cookies, die Passwörter, Schlüssel usw. Angenommen, er konnte sie wiederherstellen.Ändere sie alle.Und nehmen wir an, dass er das Gleiche noch einmal machen wird.
Warum legen Sie nicht einfach alle 10 Minuten automatisch alles fest (oder häufiger, wenn der Chef dies wünscht)?Es kann Ihr Problem nicht lösen, aber zumindest muss Ihr Chef über eine neue Ausrede nachdenken.
Ich weiß nicht, wie groß Ihr Unternehmen ist, aber wenn Sie engagierte IT-Mitarbeiter haben, sollten Sie diese fragen, ob dies eine legitime Verwendung des Administratorkontos ist (und ob Ihr Chef überhaupt Zugriff auf das Administratorkonto haben sollte).Wenn er Ihr Passwort offline zurücksetzt (z. B. über ntpasswd boot USB), stellt dies mit ziemlicher Sicherheit einen Verstoß gegen die IT-Richtlinien dar, vorausgesetzt, Ihr Unternehmen ist groß genug, um über eine formelle IT-Richtlinie zu verfügen.
@MaskedMan Besser noch, erstellen Sie eine Verzweigung des Haupt-Repositorys, in der Sie beim Speichern der Datei einen Commit ausführen, und geben Sie Ihrem Chef Zugriff, um Inhalte daraus in das Haupt-Repository zu übertragen.
Wenn er das Passwort zurücksetzen muss, macht Ihr Unternehmen die Dinge nicht richtig.Es sollte eine Software geben, die die Verwendung des Systems überwacht. Ihr Chef, der Ihr Kennwort zurücksetzt und auf Ihr Konto zugreift, um zu prüfen, verschwendet einfach wertvolle Zeit und verstößt möglicherweise gegen die IT-Richtlinien beim Booten.
@IllusiveBrain Ja, mit "Commit" dachte ich, er meinte so etwas wie den "Push" in Git.Wenn er so etwas wie ein CVS verwendet (nicht verteiltes VCS, bei dem die Verzweigung eine "große Sache" ist), wäre das automatische Festschreiben ein Problem, und so etwas wie das von Ihnen erwähnte Gabeln wäre notwendig.
Ich verstehe nicht, wie das überhaupt eine Frage sein könnte.**Nein!!!!**
Ich möchte abstimmen, weil die Antwort offensichtlich nein ist, aber es ist möglicherweise nicht für alle offensichtlich, und anderen Menschen in dieser Situation sollte gesagt werden, warum es schlecht und dumm ist und mich dazu bringt, mich zu einem kleinen Ball zusammenzurollen und zu weinenstattdessen +1.(auch ich habe nicht den rep auf DV aber shush)
Heiliger Mist, ich würde niemandem vertrauen, der das als Ausrede benutzt !!!!!!
Es ist offensichtlich nicht in Ordnung, es sollte ihm eine starke Warnung geben, wenn Sie es zum ersten Mal melden, und die zweite warnen (offensichtlich, wenn er DER Chef ist, anstatt nur Ihr Chef, der etwas komplizierter ist). Jetzt würde ich prüfen, ob es nicht nur so isteinfach illegal.
Dies benötigt ein Länder-Tag.Es wäre in den meisten, wenn nicht in der gesamten EU illegal.
Auch ... 'Commit in meinem Namen'.Vergessen Sie die Mühe, dass er auf Ihren Computer geht ... Ich weiß nicht, welche Art von Qualitätssicherung Sie haben ... Aber Commits sollten nur von Ihnen gemacht werden.Was ist, wenn er etwas drückt, das das Produktsystem zerstört, weil SIE nicht bereit waren, es zu drücken?Es ist jetzt in deinem Namen und du wirst für sie verantwortlich gemacht ...
"Wenn es bereit wäre zu begehen, hätte ich es begangen."Die Entschuldigung ist Quatsch, obwohl Ihr Chef möglicherweise nicht weiß, dass es Quatsch ist.
Kleine Lösung: Sabotieren Sie jeden Tag Ihre Arbeitskopie, bevor Sie das Büro verlassen (fügen Sie eine Reihe von Kompilierungsfehlern hinzu, z. B. einen Fehler "#error". Dieses Commit wurde für C-Code nicht autorisiert ").Wenn Ihr Chef versucht, Ihre Arbeit zu erledigen, wird er den Build brechen.Jetzt hat er die gesamte Entwicklungs- und Testorganisation auf dem Rücken und Sie argumentieren nicht nur, dass er aufhören muss.
Zehn antworten:
#1
+166
jimm101
2016-10-06 18:28:21 UTC
view on stackexchange narkive permalink

Er sollte Zugriff auf den Computer haben, nicht jedoch auf die Konten .

Nach Ihrer Beschreibung möchte er ausdrücklich, dass der Zugriff auf die Konten in Ihrem Namen erfolgt. Dies sollte aus zwei Gründen gegen die Richtlinien Ihrer IT-Abteilung verstoßen.

  1. Seine Handlungen gehen auf Sie zurück.
  2. Ihre Handlungen gehen auf ihn zurück. Dies trübt das Wasser und sollte ihn betreffen, nicht Sie. Filme illegal herunterladen? Wir alle wissen, dass Bob Ihren Computer regelmäßig benutzt hat ...
  3. ol>
Es ist ernster als kleine Bedenken wegen Raubkopien."Ich habe dieses Geld nicht unterschlagen / diesen Quellcode gestohlen und verkauft / diesen Verbrechen begangen / etc., Mein Chef hat es getan, indem er mein Konto benutzt hat".Daher sollte es alle betreffen - das OP und der Chef, die beide möglicherweise für etwaige Verstöße gegen das Benutzerkonto verantwortlich sind, und das Unternehmen, das dem Kontoinhaber keine Aktionen auf dem OP-Konto zuordnen kann.
"Er sollte Zugang zum Computer haben, aber nicht zu den Konten." Die meisten großen US-Regierungsbehörden verfolgen diesen Ansatz.
Diese Antwort ist genau richtig, aber OP kann seine Situation immer noch nicht lösen.Ich schlage vor, einen Vorschlag hinzuzufügen, um Boss explizit ein Konto auf dem Computer zu geben, das auf die Entwicklungsordner zugreifen und Boss über den Befehl git --author oder das Äquivalent seines Versionskontrollsystems informieren kann, damit Boss sich nicht als OP anmelden mussum sein Ziel zu erreichen.
@Sumyrda Stimmt, aber nur, wenn Sie der Erklärung seines Chefs Glaubwürdigkeit verleihen: Mag er ungetesteten, kaputten Code?Die Lösung wäre eine Richtlinie, die Sie benötigen, um laufende Arbeiten am Ende des Tages in einer Filiale einzuchecken, die leicht zu überprüfen ist.
Der Begriff dafür in der IT-Sicherheitswelt lautet [Nicht-Zurückweisung] (https://en.wikipedia.org/wiki/Non-repudiation).
Boss scheint ein Technophob zu [email protected]
Der @MarkRogers-Staat scheint sogar dem Ansatz zu folgen, dass die ganze Welt Zugang haben sollte;)
@Anketam: Keine Nicht-Zurückweisung unter Windows.
#2
+70
JohnHC
2016-10-06 18:00:24 UTC
view on stackexchange narkive permalink

Überprüfen Sie Ihre IT-Richtlinien. Die meisten Orte haben die Regel, dass dies niemals in Ordnung ist.

Zwei Dinge, über die Sie nachdenken sollten:

  1. Wenn Sie eine Beschwerde über Ihren Chef mit der Personalabteilung besprechen, können diese dies herausfinden.

  2. Wenn Ihr Chef Zugriff auf Ihre Maschine hat und etwas kaputt macht, haben Sie es anscheinend getan.

    ol>

    An jedem Ort, an dem ich jemals gearbeitet habe, verstößt dieses Verhalten aus den oben genannten Gründen vollständig gegen die Unternehmensrichtlinien. Es öffnet das Unternehmen für potenzielle rechtliche Probleme, falls es jemals beschließen sollte, Sie zu entlassen.

+1, um darauf hinzuweisen, dass die Person, die hineingeht, Probleme verursachen kann und es so aussieht, als ob das OP es getan hätte.Es ist nichts Falsches daran, dass der Chef als ADMIN eintritt, aber nicht als Benutzer.Wie Sie sagten, gibt es an einigen Stellen IT-Richtlinien, die viel restriktiver sind, wenn nur ein IT-Administrator berechtigt ist, auf die Computer zuzugreifen.Persönlich rieche ich eine Ratte.
@RichardU Oder ein paranoider Chef.
@cst1992 klingt der Grund durcheinander, paranoid "Commit" im Namen des OP zu sein?Ich denke, dieser Manager hat einen Schwanz.
#3
+36
paparazzo
2016-10-06 19:31:46 UTC
view on stackexchange narkive permalink

Ich nehme an, der Chef kommt als Administrator herein und setzt Ihr Passwort zurück, damit er sich als Sie anmelden kann. Das Zurücksetzen eines Passworts wird aufgezeichnet. Das Konto, das Ihr Passwort erneut sendet, wird zusammen mit der Uhrzeit aufgezeichnet.

Dies macht einfach keinen Sinn. Wenn er als Administrator eintreten kann, kann er alle Dateien anzeigen. Es gibt keinen Zweck, sich als Sie anzumelden, es sei denn, Sie möchten sich als Sie ausgeben.

Der Grund, den er angibt, ist

. Er möchte wissen, ob in meinem Dokument etwas nicht festgelegt ist Computer, damit er in meinem Namen festschreiben kann.

Das ist kein vernünftiger Zweck. Wenn der Code zum Festschreiben bereit wäre, hätten Sie ihn festgeschrieben. Wenn er den Code festschreiben möchte, sollte er dies unter seinem Namen tun.

Ich bekomme möglicherweise einen Notfall-Build, aber wenn ich dies nicht akzeptiere, sollte dies regelmäßig geschehen.

Es ist Firmenausrüstung, also in den USA wahrscheinlich legal. Es würde keine legitime IT-Richtlinie verabschieden. Ein Benutzer, der nicht in der IT ist, um über Administratorrechte zu verfügen, ist nicht üblich. Entwickler befinden sich manchmal in der IT und einige vertrauenswürdige Entwickler erhalten Administratorrechte. Es wird jedoch erwartet, dass sie diese Schreibvorgänge nicht verwenden, um Kennwörter zu ändern und sich als diese Person anzumelden.

Normalerweise hat ein Entwickler nur Administratorrechte für seine eigene Box, nicht für Administratorrechte, um sich in die Boxen anderer Personen einzuloggen.Dies klingt wie ein kleines Unternehmen, in dem es keine echte IT-Abteilung gibt und der Eigentümer / Chef über Administratorrechte für Domänen verfügt, was nur bizarr ist.
#4
+28
WGroleau
2016-10-06 21:12:52 UTC
view on stackexchange narkive permalink

Andere haben bereits erwähnt, warum jemand, der Code festlegt, ohne zu wissen, warum Sie dies nicht getan haben, dumm ist und dass die Verwendung Ihres Kontos mit hoher Wahrscheinlichkeit gegen die Unternehmensrichtlinien verstößt. In einigen Ländern illegal.

Sie haben jedoch angedeutet, dass Ihr Hauptanliegen das Speichern von Passwörtern ist. Fügen Sie sie in ein Passwort-Manager-Programm ein, für das ein "Master-Passwort" (das nur Sie kennen) erforderlich ist, z. B. Passwort1 oder KeePass (oder Firefox). Und wenn möglich, stecken Sie diese App und ihre Datenbank auf einen USB-Stick.

Haben diese passwd-Manager die Möglichkeit, das Master-PW im Ruhezustand / Lebenslauf zu vergessen?Wenn nicht, def.Benötigen Sie Ihre Passwörter auf einem USB-Stick.
Ich weiß nichts über Passwort1.KeePass, den ich vor vier Jahren verwendet habe, hat sich möglicherweise geändert.Sie starten es, geben das Hauptkennwort ein, greifen auf das gewünschte gespeicherte Kennwort zu und schließen es.In FireFox müssen Sie das Hauptkennwort mindestens einmal bei jedem Browserstart eingeben, bevor Sie zu den gespeicherten gelangen können.
Wenn ein Passwort-Manager keine Option ist, dann mindestens eine verschlüsselte Datei.Mit vorhandener Software sollten Sie in der Lage sein, eine verschlüsselte Zip- oder Excel-Datei zu erstellen.
Und wenn eine verschlüsselte Datei, würde ich auch empfehlen, dass auf einem USB-Stick sein.(Was du natürlich mitnimmst, wenn du gehst!)
Mit LastPass habe ich die Sitzung nach X Minuten Leerlaufzeit abgemeldet.Normalerweise halte ich das niedrig, wie 3 Minuten oder so.Sie können auch die Zwei-Faktor-Authentifizierung verwenden, um die Anmeldung ohne Kennwort und Hardwarekomponente zu verhindern (z. B. OTP-App auf Ihrem Telefon, SMS oder ähnlichem wie Yubikey).Diese stehen kostenlosen Konten zur Verfügung.Sie sollten auch Kennwörter für Ihre SSH-Schlüssel verwenden, damit das Übertragen von Änderungen ohne das Schlüsselkennwort nicht möglich ist.Es ist nur wenig unpraktisch, aber wissen Sie, was unpraktischer ist?Von Ihrem Chef wegen Unterschlagung gerahmt zu werden.
#5
+7
Alex
2016-10-06 17:58:20 UTC
view on stackexchange narkive permalink

Wie Sie bereits betont haben, besitzt das Unternehmen den Computer. Da sie den Computer besitzen, kann sich Ihr Manager oder eine Person mit Berechtigungs- und Administratorrechten bei Ihrem Computer anmelden, solange sie den Zugriff nicht so missbraucht, dass Ihr Job gefährdet wird. Als Faustregel gilt, dass Sie Ihre persönlichen Finanzinformationen oder Lebensläufe nicht auf Ihrem Computer speichern dürfen. Lassen Sie Arbeit Arbeit sein, um nicht nur Ihre persönlichen Daten zu schützen, sondern um den Schaden zu begrenzen, der entstehen kann, wenn jemand mit Zugriff böswillige Aktivitäten unter Ihrem Namen versucht hat.

In einer meiner früheren Umgebungen war es für Manager üblich, auf die Computer ihrer Mitarbeiter zuzugreifen, da die Mitarbeiter Projektdateien und Kundenhypothekendokumente lokal auf ihrem Computer aufbewahrten. Wenn diese Person krank war und der Kunde sein Abschlussdatum ändern musste, musste ein Manager auf den Computer des Mitarbeiters zugreifen, um das Originaldokument zu erhalten. Ich kenne ein archaisches System, aber das ist nur ein legitimer Grund, warum ein Manager auf den Computer eines Mitarbeiters zugreifen müsste.

Es gibt einen großen Unterschied zwischen der Verwendung des Computers und der Verwendung Ihres individuellen Kontos.Fast jedes Unternehmen mit einer entsprechenden Richtlinie verfügt über eine Richtlinie, nach der Sie sich niemals ohne dessen Anwesenheit oder ohne spezifischen Zugriff durch die IT-Abteilung bei einem anderen Benutzerkonto anmelden.Andernfalls kann nicht nachgewiesen werden, dass etwas, das auf Rechnung eines anderen getan wurde, tatsächlich von dieser Person getan wurde.
@Kaz Yep, MAJOR Sicherheitsverletzung.Ich kenne mehrere Arbeitgeber, die diesen Manager sofort für dieses Manöver marschieren würden
Administratoren können problemlos auf die Computer des Unternehmens zugreifen.Auf ihrem Konto.Dies ist hier nicht der Fall.
#6
+7
paj28
2016-10-08 04:09:35 UTC
view on stackexchange narkive permalink

Dies hängt vom Land und den geltenden spezifischen IT-Richtlinien ab.

In Großbritannien ist dies standardmäßig NICHT akzeptabel. Ihr Chef wäre berechtigt, Ihre Arbeitsaktivitäten zu überwachen. Wenn Sie sich jedoch in Ihrem persönlichen E-Mail-Konto angemeldet hätten, wäre Ihr Chef nicht berechtigt, dies zu überwachen.

Um dem entgegenzuwirken, ist dies jedoch Standard Nehmen Sie eine Klausel in Ihren Vertrag oder eine Richtlinie zur akzeptablen Nutzung auf, die besagt, dass "Unternehmensausrüstung nicht für den persönlichen Gebrauch verwendet werden kann". Wenn diese Klausel vorhanden ist, ist Ihr Chef berechtigt, die gesamte Nutzung eines Arbeitscomputers zu überwachen.

Viele Länder haben ähnliche Gesetze wie Großbritannien, es gibt jedoch bemerkenswerte Unterschiede. In Deutschland haben Sie beispielsweise ein stärkeres Recht auf Privatsphäre.

Quelle: Ich habe einige Jahre in der Infosec gearbeitet und dies in verschiedenen Kursen gelernt, die ich besucht habe (z. B. SANS). Ich fürchte, ich habe nicht sofort Links zur Hand, aber Sie sollten sie leicht genug finden können.

+1 Ich habe in Unternehmen gearbeitet, in denen persönliche Handlungen auf dem PC des Unternehmens als schwerwiegende Straftat angesehen werden.Obwohl dies vor einiger Zeit war - vor den Tagen von BYOD, und tatsächlich wäre B'ing YOD und das Einstecken in das Unternehmensnetzwerk als noch schwerwiegenderes Vergehen angesehen worden.
@peterG - Eines der Probleme bei BYOD ist, dass das Unternehmen kein "Prüfungsrecht" hat.Bei einigen Unternehmen unterschreiben Sie ein Prüfungsrecht, bevor Sie ein BYO-Gerät verwenden.In der Regel erlauben sie nur den Remotedesktopzugriff (oder einen ähnlichen Zugriff) von einem BYO-Gerät aus, sodass Aktionen in Bezug auf Unternehmensdaten auf dem Server überwacht werden können.
Beachten Sie, dass die JohnHC-Antwort oben "Ihr Chef kann alle Nachrichten zwischen Ihnen und der Personalabteilung sehen" die persönliche / berufliche Unterscheidung etwas weniger klar macht, als Ihre Antwort vorschlägt.Ist Ihr direkter Vorgesetzter berechtigt, den Fortschritt Ihrer Beschwerde über ihn zu überwachen?Oder schlimmer noch, antworten Sie auf diese E-Mails mit Ihrem Konto / Namen?
@Móż - Das ist ein ausgezeichneter Punkt, und ich fürchte, der SANS-Trainer hatte nicht darüber nachgedacht.In der Praxis hat die Personalabteilung eine Abneigung gegen E-Mails wegen sensibler Probleme. Dies liegt jedoch eher daran, dass E-Mails falsch interpretiert werden können als an der Vertraulichkeit.
#7
+1
I'm not paid to think
2016-10-08 20:44:16 UTC
view on stackexchange narkive permalink

Der Grund, warum er dies rechtfertigt, ist, dass er manchmal wissen möchte, ob auf meinem Computer etwas nicht festgeschrieben ist, damit er in meinem Namen festschreiben kann.

Während Ich bezweifle, dass dies zutrifft, wenn dies anders gehandhabt werden sollte.

Richten Sie ein freigegebenes Laufwerk ein, auf dem sich der arbeitsbezogene Inhalt befindet. Oder richten Sie eine Richtlinie ein, nach der die arbeitsbezogenen Dateien in Ihrem Konto in einem speziellen Verzeichnis für andere Mitarbeiter schreibgeschützt sind. usw.

Es gibt viele Möglichkeiten, den Zugriff auf die betreffenden Dateien zuzulassen, die es nicht erforderlich machen, sich in irgendeiner Weise als Sie auszugeben.

Möglicherweise Es ist sinnvoll, ein solches System / eine solche Richtlinie zu erstellen, damit im Notfall auf arbeitsbezogene Dateien zugegriffen werden kann, beispielsweise wenn Sie nicht verfügbar sind.

Ich würde den Chef fragen, warum dies keine Option ist.

#8
+1
koan
2016-10-09 01:17:54 UTC
view on stackexchange narkive permalink

Die einfache Antwort lautet: Speichern Sie Ihre Passwörter nicht auf Ihrem Computer und verwenden Sie keine Schlüsselbundanwendung, die das Anmeldekennwortsystem nicht verwendet.

Wie andere bereits erwähnt haben, ist dies wahrscheinlich Ihr Manager Nicht konform mit der IT-Sicherheitsrichtlinie. Es kann sinnvoll sein, Ihrem IT-Support taktvoll gegenüber zu erwähnen, dass Ihr Kennwort mehrfach zurückgesetzt wurde, und diese Maßnahmen ergreifen zu lassen.

Bei den anderen Antworten fehlt bisher etwas, das bei nicht festgeschriebenen Änderungen der Fall ist Es sollte nicht Ihr Chef sein, der sie begeht, und das ist keine vernünftige Entschuldigung. Ich denke in Bezug auf Versionsverwaltungssysteme für die Softwareentwicklung, aber dies gilt auch für rechtliche Dokumente oder andere "wichtige" Arbeiten, die möglicherweise rechtzeitig ausgeführt werden müssen: Woher weiß Ihr Chef, dass die Änderungen vollständig, getestet und verifiziert sind? , bereit, etc?

Der Chef weiß es nicht, deshalb verpflichtet er sich unter dem Namen des Plakats und nicht unter seinem eigenen :-(
#9
  0
gnasher729
2016-10-09 00:20:28 UTC
view on stackexchange narkive permalink

Hierfür gibt es drei Ebenen.

Stufe 1: Hat mein Manager das Recht, auf MEINEN Arbeitscomputer zuzugreifen? Das hängt davon ab. Ihr Unternehmen hat definiert, welche Rechte jemand im Unternehmen hat. Ihr Manager hat dieses Recht, wenn das Unternehmen sagt, dass er das Recht hat, und er hat nicht das Recht, wenn das Unternehmen sagt, dass er es nicht tut. Ich würde meinem Manager zustimmen, der auf meinen Computer zugreift. Sagen wir, wenn ich einen Unfall hatte und wichtige Informationen nur auf meinem Computer vorhanden waren. Wenn es ohne einen sehr guten Grund passieren würde, wäre ich sehr, sehr wütend und das wäre keine gute Sache.

Stufe 2: Was ist mit meiner Privatsphäre? Je nachdem, in welchem ​​Land Sie sich befinden, sind private Informationen möglicherweise stark geschützt, selbst wenn sie sich auf einem Computer des Unternehmens befinden und sich nicht auf diesem Computer befinden sollten. Oder es ist auf Ihrem Arbeitscomputer völlig ungeschützt.

Stufe 3: Legalitäten. Und hier haben wir eine große, große, rote Fahne. Der CEO Ihres Unternehmens hat keinerlei Recht, auf den Computer seines Buchhalters zuzugreifen. Ihr Manager hat keinerlei Recht, Änderungen unter Ihrem Namen vorzunehmen. Als Softwareentwickler befindet sich der nicht festgeschriebene Code auf meinem Computer in der Entwicklung und kann sich zu jedem Zeitpunkt in einem Zustand befinden, der zwischen kostspielig und schwerwiegend sein kann, wenn er festgeschrieben und an Kunden versendet wird. (Ich könnte Software schreiben, die Waren an Kunden versendet, eine Rechnung an den Kunden sendet und aufzeichnet, dass der Kunde dem Unternehmen Geld schuldet. Wenn nur zwei dieser drei Teile fertig sind und mein Chef diese unvollendete Arbeit begeht, wäre das fatal ). Es gibt viele Branchen, in denen der Zugriff auf Daten streng kontrolliert wird und das, was der Chef hier tut, strafrechtliche Anklagen und eine enorme Haftung für das Unternehmen verursachen kann.

"freie" Ebenen sollten wahrscheinlich "drei" Ebenen sein.Es sei denn, Sie meinten wirklich, dass sie kostenlos sind.
#10
-23
dbanet
2016-10-06 22:56:22 UTC
view on stackexchange narkive permalink

Der Unsinn bei Sicherheitsverletzungen ist genau das, lächerlicher Unsinn.

Sie geben ein Passwort auf einem privaten Computer ein, daher kann es seinen Besitzern zur Verfügung stehen oder nicht. Wenn eine Domäne eingerichtet ist, befindet sie sich möglicherweise bereits im Klartext auf dem Domänencontroller. Das Passwort ist nicht Ihr Geheimnis, sondern ein gemeinsames Geheimnis. Gemeinsame Geheimnisse ermöglichen die Einrichtung vertrauenswürdiger und möglicherweise verschlüsselter Kanäle. Das ist nicht Ihre Identität!

Es ist meine Firma. Ich kann auch auf jedem meiner Computer ein Konto mit identischen Benutzernamen und Passwörtern einrichten , das jeder kennt , und wer soll sagen, dass es nicht in meinem Recht liegt, dies zu tun? Ich habe in einer solchen Umgebung gearbeitet, es gab keinerlei Probleme. Es ist nicht Ihr Anruf .

Wenn Sie den richtigen Namen einer Person in das Feld für den richtigen Namen eines Domain-Kontos einfügen, ändert sich nichts. Es reicht bei weitem nicht aus, um vor Gericht etwas zu beweisen. Nein, selbst wenn sich Ihr Chef noch nie angemeldet hat (was im Grunde genommen verbesserungsfähig ist), hat dieser IT-Typ, der genug von dummen Dingen hat, wahrscheinlich Superuser-Rechte und kann tun, was er will, und niemand wird es jemals erfahren.

Die Idee, dass vom Unternehmen generierte Anmeldeinformationen die Authentifizierung und Bereitstellung des Zugriffs auf die firmeneigene Infrastruktur und Informationen automatisieren, die das Unternehmen bereitwillig mit Ihnen geteilt hat, um einige Arbeitsprozesse zu automatisieren Die Art und Weise, wie das Unternehmen es für richtig hält, berechtigt Sie zu allem , ist offensichtlich und unwiderlegbar absurd.

Das Unternehmen kann die gewünschten Automatisierungs- und Authentifizierungsverfahren einrichten und ja, Ihr Chef kann tun, was er will. Wenn ihr Chef natürlich nicht sagt, dass sie es nicht können, dann gehen Sie zu ihrem Chef.


Sicherlich impliziert nichts, ob es sich um gute oder schlechte Praktiken in einem bestimmten Sinne handelt. Das muss das Unternehmen entscheiden, nicht Sie.

Wenn wir wieder von Betrug sprechen, ist das sicherlich ein ganz anderes Problem. Die Anmeldung bei Ihrem vom Unternehmen bereitgestellten E-Mail-Konto ist möglicherweise in Ordnung, das Senden einer E-Mail an Ihre Frau mit Ihrer Unterschrift am Ende jedoch nicht.

Bitte beachten Sie Es ist nicht erforderlich, sich bei einem "Ihrer" Konten anzumelden, um dies zu tun. Dies stellt jedoch immer noch ein Fehlverhalten dar.

Festschreiben des Codes, den Sie in den Arbeitszeiten auf dem privaten Computer des Unternehmens geschrieben haben, für den Sie bezahlt wurden Das firmeneigene Repository und die Build-Farm sind A-OK (von welchem ​​Unternehmenskonto das Unternehmen es auch festschreiben möchte), aber das Hinzufügen von bösartigem Backdoor-Code und die Behauptung, Sie haben es getan , ist nicht.

Bitte beachten Sie, dass es nicht erforderlich ist, sich bei "Ihrem" Konto anzumelden, um dies zu tun. Dies stellt jedoch immer noch ein Fehlverhalten dar.

Sehen Sie, wohin ich hier gehe?

Hier ist eine weitere Ablehnung.Ja, IT-Leute haben Superkräfte und könnten alle möglichen bösen Dinge tun, wenn sie Schurken werden.Bei dieser Frage geht es jedoch um den Chef des OP, für den es wirklich * überhaupt keinen guten Grund * gibt, sich als OP auszugeben.Ja, es ist möglich (wenn auch unwahrscheinlich), dass dies innerhalb der Unternehmensrichtlinien liegt, aber es ist immer noch eine schreckliche Richtlinie.
Wenn dies ein börsennotiertes Unternehmen ist (oder sein wird) und in den USA tätig ist, kann ich diese Antwort nicht mit den Risikominderungsanforderungen des Sarbanes-Oxley Act in Einklang bringen.Sie müssen dies als Antwort vorwegnehmen, die für einen privaten Arbeitgeber mit einem einzigen Eigentümer geeignet ist.Da das OP die Art der Organisation nicht geklärt hat, ist diese Antwort reine Spekulation und meine -1 wert.
Nein nicht wirklich.
Beteilige dich nicht an "Edit Wars".Diese Aussage war zu 100% für eine Antwort unangemessen (und sollte am besten nicht einmal als Kommentar hinterlassen werden), und sollte entfernt werden.Sie "besitzen" Ihre Antwort nicht.Darüber hinaus können Kommentare jederzeit aus irgendeinem Grund und ohne Benachrichtigung gelöscht werden, insbesondere wenn es sich nur um sinnlose Streitereien handelt.Wenn Sie ein Problem damit haben, ist dies möglicherweise nicht die richtige Website für Sie.Glücklicherweise gibt es viele andere Websites (und Orte im wirklichen Leben) zur Auswahl!
Da die Konten angeblich gemeinsam genutzt werden, wie überwacht die Organisation die Nutzung durch andere Mitarbeiter als den Benutzer, für den das Konto erstellt wurde?Excel Tabelle?Ich gehe auch davon aus, dass dies der sicherste Weg ist, um den Missbrauch solch liebenswürdiger Praktiken bei kleinen Fingern zu vermeiden, die Huzzah vor dem Personalreferenten schwören.
@dbanet beendet das Zurücksetzen dieser Bearbeitung.Antworten sind für Antworten, nicht für Metakommentare zur Abstimmung.
Melden Sie Kennwörter für jedes Betriebssystem an, das ich in den letzten zwanzig Jahren in I.T.werden NICHT im Klartext gespeichert.Nicht einmal Microsoft ist so dumm.
Entschuldigung für den Nekro-Kommentar hinzufügen, aber diese Antwort ist aus einem einfachen Grund, der nicht erwähnt wird, absolut SCHRECKLICH: Konten werden für die Zugriffssicherheit eingerichtet.Ich kann das 'Kevin'-Konto, in dem ich arbeite, nicht "besitzen", aber das ist nicht der Punkt.Das 'Kevin'-Konto hat Zugriff auf die Menge an Sicherheiten, die ich für meine Arbeit benötige.Wenn sich * jemand * in dieses Konto einloggt, erhält er Zugriff auf eine Vielzahl von Dingen, auf die er möglicherweise * keinen Zugriff haben sollte *.Wenn dies der Fall ist, können Personen "mir" keinen Zugriff mehr auf irgendetwas gewähren, es sei denn, * jeder *, der mein Konto verwendet, sollte es haben.


Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
Loading...