Nou, Arnoud, ik ben dan geen advocaat ofzo, maar als systeembeheerder heb je toch altijd het toegekende recht om ongeacht wat voor software niet (nooit) op het systeem van je baas te installeren!?!

Doel van een systeembeheerder is toch dat de gebruiker het systeem (van de baas) niet aantast?

Ok, vind ik zelf dat wat de gebruiker (niet de baas ) moet kunnen doen wat hij/zij wil, & ik dat in de juiste banen moet leiden...
Zucht...

Het zelf installeren van software en/of verkloten van de systemen zou je voor een groot gedeelte kunnen afvangen met een SteadyState achtige oplossing naast de gebruikelijke rechteninstelingen.

Het is in mijn ogen vrij simpel: je gebruikt de computer, net als andere middelen die je werkgever je aanreikt, om je werk te doen met daarbij ruimte voor privé zaken. Bijvoorbeeld de privé kilometers met een bedrijfswagen en het lezen van privé webmail op de PC van de baas.

Maar vind jij dat je bedrijfsauto een stuk fijner rijdt met een sportuitlaat, dan lijkt het me niet dat je dit zonder overleg en toestemming kan monteren op de auto. Zo is het met software ook.

Arnoud, probleem met deze methode is de email. Bij ons op het bedrijf worden veel mailboxen gedeeld (ivm klant eisen) en zet potentieel een collega dat er illegale software geinstaleerd is.

Wat is je probleem met het destructieve verwijderen? Stel het is bagger, dan moet het toch weg.
Blijkt het later een niet geautoriseerde actie te zijn dan kan alsnog de software (executable) terug gezet worden.

Stel dat het vuze is oid dan staat er nog een aantal dagen software te draaien die weet ik veel wat binnen haalt.
Of het is illegale software. Stel dat er een gestolen bromfiets op het terein staat dan hang je toch ook geen briefje op "He weghalen anders doen wij het, dan bonjoer je het ding toch ook van je terein" (gaat een beetje mank aangezien de warez een copie zijn de bromfiets zou dan in de schrotpers moeten. ;)

Nog makkelijker is het om het op te nemen in de overeenkomst. Bij aangetroffen, niet bedrijfsmatig verkregen, software volgt ontslag.

Mooi vergelijk :)

Overlegt dit uiteraard altijd met jouw manager. Zorg ervoor dat het ICT-management op de hoogte is en akkoord is, voor dat je een dergelijke actie onderneemt. Men kan dan als eerste stap een algemene mailing doen naar iedereen, waarin nogmaals gewezen wordt op het niet mogen installeren van ongeautoriseerde software en dergelijke. Ook zal men een servicedesk op de hoogte moeten stellen als de gebruikers vragen beginnen te stellen.

De medewerkers kunnen dan zelf eerst actie ondernemen. Bij degene die dat dan nalaten, zou men dan de actie kunnen starten om het te verwijderen.

Volgens mij is het alleen al vanuit oogpunt van beveiliging raadzaam om de gebruiker alleen maar gebruikersrechten op het systeem te geven en geen admin rechten waarmee je o.a. software kan installeren. Op deze wijze kan er ook geen malware zomaar applicaties installeren die in de achtergrond meedraaien. Althans zo is het bij ons ingeregeld.

Gewoon AppLocker installeren op de PCs en je bent van dit gezeur af.

Ik denk dat het handiger is om ervoor te zorgen dat users bijna niets meer kunnen installeren door met group policies en aangepaste rechten te werken, dus:
- Geen local admins.
- Hdd zo veel mogelijk dicht zetten.
- Startmenu aanpassen: geen Start->Run
- Geen usb storage devices
- Restricted software list
- Je moet even kijken hoe je het internetdownloaden gaat blokkeren (zal moeilijk worden).
Een mogelijk is om de users die te vaak misbruik maken van internet, deze toegang te ontnemen.
Kijk ook even op de firewall/proxy rules.

Alleen jammer dat bijv. chrome in de userprofile wordt geinstalleerd i.p.v. c:\programfiles. Tegen dit soort applicaties kan je niet veel beginnen.

Bij ons is het beleid dat zodra user meuk heeft geinstalleerd en wij (IT afdeling) vermoeden dat daardoor storingen worden veroorzaakt, mogen wij (vastgelegd in afspraken) de pc innemen en dit er zondermeer afslopen.
Lukt dat niet, krijgt de user de gelegenheid om bedrijfsdata er af te halen (wat op het netwerk hoort maar dat ter zijde) en wordt de pc daarna opnieuw geimaged. Afhankelijk van onze moeite en de mate van "verprutsing" wordt dit intern doorbelast.
Malware maar ook keyloggers en andere software dat een bedrijfsrisico kan worden, wordt zondermeer verwijderd, ook al heeft de user daar een mening over. In het laatste geval mag hij aan de IT tak van de bedrijfsbeveiliging uitleggen wat hij er mee moet.

En als de user de software echt nodig heeft, voorop gesteld dat het geen meuk is maar werkgerelateerd, moet hij een aanvraag doen voor de intake daarvan.

Als je deze regel dan verdertrekt, moet je voor het installeren van een tijdelijke gps (zo'n wegneembaar ding) ook toelating vragen.
De vergelijking gaat volgens mij niet helemaal op : in het ene geval modificieer je bestaande infrastructuur, in het andere voeg je gewoon iets toe.

Een stuk software installeren is nog altijd niet hetzelfde als een stuk software wegkeilen om dan een ander te gaan plaatsen. (firefox installeren != internet explorer wegkrijgen ... (IF only .... :P ))

Overigens heb je ook niet voor alle software admin rechten nodig, er zijn genoeg portable versies van software te vinden, dus geen admin rechten is zeker geen fullproof oplossing.


Overigens lijkt het mij dat mensen waarschuwen de beste oplossing is voor meerdere redenen :

-De persoon in kwestie word op de hoogte gebracht van de situatie en weet wat mag / niet mag, dus hij komt niet de volgende dag binnen, geirriteerd dat hij die software weeral moet gaan installeren zonder de redenen te kennen.

-Sommige software slaagt data op in installatiepaden, en niet in mijn documenten / andere persoonlijke mappen, waarbij mogelijk data verloren gaat bij verwijdering van de software. Vrij ongewilde situatie voor alle partijen.


Persoonlijk staat het geforceerd uninstallen van software me helemaal niet aan.
Een meer geplaatste vraag lijkt me : welke acties of voorwaarden zijn nodig om eventueel dit gedrag wel met persoonlijke informatie te mogen berichten aan managers. Dus na hoeveel tijd, of hoeveel waarschuwingen, of welke voorwaarden dan ook, zou je wel specifiek tegen verantwoordelijke X mogen berichten : Software Y gevonden op PC nr ZZZ of op PC in lokaal XYZ of op PC van ABC

del %userprofile%\chrome\*.exe opnemen in het loginscript.
downloads van .exe en .msi blocken in de proxy-server
chrome.exe toevoegen aan de blocklist van je antivirus

Dat is nog steeds geen echte oplossing van het probleem. User downloadt de installer thuis, installert 'm, kopiëert het mapje en pleurt dat op de werkcomputer; hup, blokkade omzeild.

Of ffplakken in kladblok, opslaan als .bat en daar ga je.

En natuurlijk kun je jouw methode onmogelijk voor alle programma's doen.

Chrome staat overigens in C:\Users\<username>\AppData\Local\Google\Chrome.

Tja, als de ICT afdeling verbiedt dat Chrome wordt gebruikt terwijl de marketing afdeling wordt afgerekend op de layout van een reclame op datzelfde Chrome. Het maakt de medewerker in iedere geval inventief in het omzeilen van aangebrachte beveiliging.

Een security manager

Ja, hij is leuk! Ik denk wel dat er een grijs gebied is. Als je gebruik maakt van een computer dan ontkom je er niet aan dat er zaken worden aangepast. Maar ik denk dat er nog steeds een verschil is tussen software en profielmatige aanpassingen. Chrome is een leuke, die zit in je profiel/gebruikersmap. Hierdoor kun je zonder extra rechten Chrome installeren.

Hoewel ik het niet direct zie kan ik me voorstellen dat dit risico's met zich meebrengt of in ieder geval onwenselijk is. Als meer softwareboeren zo gaan werken is het einde zoek.

Wat nou als blijkt dat je door je GPS een ongeluk hebt gekregen? Je hebt van die clowns die het gevalletje wel erg letterlijk nemen... Of iemand breekt de bedrijfsauto open omdat je de GPS had laten zitten. Ik weet dat auto's anders verzekerd zijn etc... maar wanneer jouw toevoeging niet direct, maar indirect schade veroorzaakt, dan zit de baas nog steeds met de gebakken peren (schijnt lekker te zijn)

Het lijkt mij niet goed dat Systeembeheer af en toe alles wat niet standaard is eraf gooit zonder enige vorm van overleg of communicatie. Zet het dan in de overeenkomst... maar speel geen eigen rechter. Stem je beleid af op je overeenkomst, dus zet in je overeenkomst dat het niet mag en gehandhaafd zal worden en handhaaf dan ook.

Als dit veel gebeurt dan moet je je misschien ook afvragen waarom die behoefte zo groot is. Is het een variant op de behoefte van mensen om het portret van hun kinderen op het bureau te hebben staan of om de monitor met speelgoedbeesten te omranden, de behoefte om een eigen stekje in te richten dus, of zijn er dingen die vreselijk onhandig zijn voor mensen om mee te werken waar ze, als er niet naar de frustraties wordt geluisterd, zelf dan maar hun oplossingen voor gaan verzinnen?

Het eerste punt kan je ondervangen door wel enige ruimte voor een eigen inrichting toe te staan. Ik heb meegemaakt dat een werkomgeving zo dichtgespijkerd was dat je nog niet eens je eigen achtergrondplaatje mocht instellen. Sta mensen een uitlaatklep voor hun nestinstinct toe, het is misschien geen zakelijke behoefte maar wel een echte, mensen werken beter als ze zich op hun gemak voelen op hun werkplek.

Als er frustraties zijn over hoe onhandig de aanwezige hulpmiddelen in gebruik zijn dan is dat een argument om daar iets aan te verbeteren. Als je de deur in mensen hun gezicht dichtslaat dan gaan ze je passeren. Ik heb zelf ooit meegemaakt dat voor het ontwikkelen van webapplicaties zodanig krakkemikkig ontwikkelgereedschap verplicht was gesteld dat bij het opslaan van een source soms de inhoud verminkt raakte, en dat was maar een van de problemen. Langs de officiële weg iets verbeteren (met een teksteditor van een paar tientjes waren we al tevreden) stuitte op een zodanige muur van onwil en traineergedrag bij managers en systeembeheerders dat we een half jaar aan het lobbyen en touwtrekken zijn geweest om het voor elkaar te krijgen. Natuurlijk hadden we zelf in de tussentijd allang gezorgd dat we iets beters tot onze beschikking hadden. We moesten productie leveren tenslotte, wat we vroegen was zinvol, maar we werden domweg niet serieus genomen, vermoedelijk mede omdat de verplichte software van zo'n leverancier was waarvoor niemand die ervoor kiest ooit ontslagen wordt. Voor mij persoonlijk resulteerde dit erin dat ik een lange tijd behoorlijk schijt heb gehad aan de regels die deze mensen oplegden, ik had het helemaal met ze gehad.

Ik snap natuurlijk best waarom er beperkingen worden opgelegd, het beheren van een complexe omgeving is onbegonnen werk als iedereen op eigen houtje dingen gaat veranderen, en de consequenties van een puinhoop kunnen groot zijn. Tegelijkertijd dient die omgeving om anderen in hun werk te faciliteren, en als je dat niet goed doet schiet je je doel voorbij. Als je wil dat je gebruikers jou serieus nemen dan doe je er goed aan om je gebruikers even serieus te nemen. Dat is niet hetzelfde als iedereen altijd zijn zin geven, het gaat om goodwill, om redelijke argumenten, om geven en nemen. Als jij redelijk bent krijg je van de meeste mensen redelijkheid terug. De vraag wat daarin je juridische positie is komt dan niet eens aan de orde.

Hoe dit allemaal werkt in de organisatie van de vraagsteller weet ik natuurlijk niet, maar het feit dat de vraag gesteld wordt maakt wel dat ik me afvraag of het daar wel helemaal goed gaat.