Discusion OT entre "los de sistemas" (y el que se quiera sumar :)

[Selan]

en mi laburo esta todo bloqueado , cuand oentre habia libertad a full , se podia navegar tranqui ctrl+alt+supr , todo, dsp como iba pasando el tiempo se agregaban cada ves mas y mas bloqueo , hasta ahora que no puedo usar ni el boton derecho sobre el escritorio ni barra de inicio ni nada . . .
igual echa la ley, echa la trampa . siempre sacamos alguna modificacion en el regedit o algun proxy copado o programas para poder abrir el taskmanager. Y creo ke esta mal bloquear todo , osea ahora nosotros en ves de trabajar tranquilos mientras navegamos o foreamos etc, tenemos ke estar trabajando mas o menos cuidandonos de ke no nos vean navegar y todo el tiempo tocando boludeces en las maquinas.

[Kiuj]

Esas cosas estan bien.

Deshabilitar el acceso al registro y al administrador de tareas son formas de proteger nuestro laburo.

Yo te deshabilito el registro y me quedo mas tranquilo. Porque sino me arriesgo a que metas mano y si haces cagada es mas laburo para mi. Para el administrador de tareas lo mismo.

Yo de hecho restringo el acceso a practicamente todas las funciones del panel de control, al cmd, msconfig, al gpedit.msc y services.msc. El Ctrl+Alt+Supr te habre una ventana que te deja apagar el equipo o bloquearlo, nada mas.

Tampoco pueden instalar nada, porque no tienen privilegios administrativos. Igualmente el MSN, Skype y todo eso si esta permitido y si me lo piden yo se los instalo.

En fin, lo unico que restringo es todo lo que me pueda llegar a dar mas laburo por una posible cagada del user. Se sorprenderian de las cagadas inexplicables que se pueden llegar a mandar los users cuando tienen absoluto control de la PC x.X

Es triste pero es asi, vos a un empleado le dejas solo el privilegio de instalar lo que se le cante y ya cagaste. A la semana vas a ver la PC y tiene el Download Accelerator, 500 barras de google al pedo, un globito en la barra de tareas diciendo "Tu PC va a explotar por un virus, hace click aca para solucionarlo", IE, Firefox, Google Chrome, Opera y hasta el napster por ahi. Despues te llaman al interno y te dicen "Nico, la PC me anda lenta".

... -.-

[Grancaco]

Como empleado, mejor que me dejen browsear en paz por que cuando pueda paso factura.
Sabelo.

[Mad Wizard]

Esas cosas estan bien.

Deshabilitar el acceso al registro y al administrador de tareas son formas de proteger nuestro laburo.

Yo te deshabilito el registro y me quedo mas tranquilo. Porque sino me arriesgo a que metas mano y si haces cagada es mas laburo para mi. Para el administrador de tareas lo mismo.

Yo de hecho restringo el acceso a practicamente todas las funciones del panel de control, al cmd, msconfig, al gpedit.msc y services.msc. El Ctrl+Alt+Supr te habre una ventana que te deja apagar el equipo o bloquearlo, nada mas.

Tampoco pueden instalar nada, porque no tienen privilegios administrativos. Igualmente el MSN, Skype y todo eso si esta permitido y si me lo piden yo se los instalo.

En fin, lo unico que restringo es todo lo que me pueda llegar a dar mas laburo por una posible cagada del user. Se sorprenderian de las cagadas inexplicables que se pueden llegar a mandar los users cuando tienen absoluto control de la PC x.X

Es triste pero es asi, vos a un empleado le dejas solo el privilegio de instalar lo que se le cante y ya cagaste. A la semana vas a ver la PC y tiene el Download Accelerator, 500 barras de google al pedo, un globito en la barra de tareas diciendo "Tu PC va a explotar por un virus, hace click aca para solucionarlo", IE, Firefox, Google Chrome, Opera y hasta el napster por ahi. Despues te llaman al interno y te dicen "Nico, la PC me anda lenta".

... -.-

Coincido plenamente, entiendase que este thread está orientado al uso de internet, por eso lo que había puesto, pero ya que lo mencionaste es verdad, lo peor que se puede hacer en un ámbito laboral es darle permisos de "toqueteo" al usuario, ni hablar de darle administrador, no solo por el hecho de que pueda destruir la instalación de hardware, sino que, como bien decís, el hecho de que el tipo tenga el Kazaa, el Ares, el DAP y mil barras es un riesgo importantisimo de seguridad y lleva inevitablemente al comprometimiento/filtración de datos, por eso en cuanto a lo interno es correctisimo filtrar lo más granularmente posible y definir políticas de grupos acordes al tamaño y sectores que componen la empresa, hasta me animaría a decir que en una PyME de más de 50 users un AD es una necesidad y no una opcionalidad (o Samba en su versión GNU), como tambíen me parece una necesidad vital el bloqueo total de la utilización de Pen Drives, he viso empresas coporate gigantes que patinaron fortunas de guita en equipamiento perimetral de seguridad, ignorando la lan, cuestión? vino un boludo con un pendrive infectado de su casa y GG, te liquida la red desde adentro.

[gatherine]

Sale koolim.com y gg ...

evadefilters.com y browser free

= apuesto a esos 10 minutos de relax en la web.

[MARS]

En mi experiencia hay 3 tipos de usuarios:

- El Inexperto: no necesariamente va a estar todo el tiempo en la web y no laburando, pero cuando se pone a boludear es para mandarse cagadas, te llena de virus la computadora, y después el encargado de mantenerla putea de arriba a abajo porque lo llenan de laburo. Solución: Bloquearle todo.

- El Pajero: Si le das inet esta todo el día chateando o en facebook o youtube. Solución: Bloquearle todo.

- El Moderado: el que esta 10 minutos boludeando y 50 laburando. Problema: es solo con suerte el 5% de la población.

Eso es lo que yo noto en mi experiencia.

PD: yo les bloqueo todo a mis empleados. Si quieren algo en especial y me dan una buena razón para tenerlo, entonces se lo desbloqueo a prueba.

[Kiuj]

hasta me animaría a decir que en una PyME de más de 50 users un AD es una necesidad y no una opcionalidad (o Samba en su versión GNU), como tambíen me parece una necesidad vital el bloqueo total de la utilización de Pen Drives, he viso empresas coporate gigantes que patinaron fortunas de guita en equipamiento perimetral de seguridad, ignorando la lan, cuestión? vino un boludo con un pendrive infectado de su casa y GG, te liquida la red desde adentro.

Ya con mas de 10 usaria AD, con eso te digo todo.

Los pendrives tambien, murieron aca, murio el autorun, murio el usb. Ya me comi todos los Downadup desde el A hasta el E y me costo un huevo sacarlo. Nunca mas.

En cuanto a lo que dice MARS, tengo suerte entonces. De las aprox. 100 estaciones de trabajo que tengo a cargo, solo a uno tuve que aplicarle bloqueos de web. Muchos de los del 5% tengo por aca

[Mad Wizard]

En mi experiencia hay 3 tipos de usuarios:

- El Inexperto: no necesariamente va a estar todo el tiempo en la web y no laburando, pero cuando se pone a boludear es para mandarse cagadas, te llena de virus la computadora, y después el encargado de mantenerla putea de arriba a abajo porque lo llenan de laburo. Solución: Bloquearle todo.

- El Pajero: Si le das inet esta todo el día chateando o en facebook o youtube. Solución: Bloquearle todo.

- El Moderado: el que esta 10 minutos boludeando y 50 laburando. Problema: es solo con suerte el 5% de la población.

Eso es lo que yo noto en mi experiencia.

PD: yo les bloqueo todo a mis empleados. Si quieren algo en especial y me dan una buena razón para tenerlo, entonces se lo desbloqueo a prueba.

El Inexperto/Pajero lo solucionas fácilmente con auditorías sorpresivas a los equipos (cabe aclarar que para que esto funcione tenes que configurar policy de dominio para que no se pueda borrar el historial, ni se pueda instalar otro navegador) y permitis el tráfico libre, bloqueando solo el porno y los warez, ante tu inevitable refutación te contesto de antemano, te da vagancia hacer auditorias o te suma mucho laburo?, y si no las haces, como sabés que tus filtros se aplican correctamente, o que tus usuarios no estan pasando por algun túnel, y demas? Entonces, si vas a hacer la auditoría, no es mas facil auditar que los usuarios estén navegando felices y listo? Ya el solo hecho de la amenaza de la aditoría al pajero lo acomodás, y para el inexperto, tu sector debería ofrecer cursos de orientación en seguridad informática (algo bien básico nada de cosas técnicas) y solos los mismos usuarios van a comprender la importancia de no entrar a cualquier lado, experiencia que de paso también le sirve para sus casas, muchas veces sin darnos cuenta los profesionales IT (o los pungas que roban de esto) somos muy pedantes, arrogantes, sobradores, etc y boludeamos a los usuarios sin darnos cuenta de que cuando nosotros arrancamos tampoco sabíamos un pito y si alguien no les explica tampoco lo van a saber.

Obiamente hay casos incorregibles, mi recomendación, despues de las auditorías, si descubris uno que no la entiende, creas un grupo de AD al que el pones "Black Sheep" y le pones solo lo justo y necesario para laburar durante un mes, creeme que despues de ese turtugio el fulano se va a comportar de manera correcta, hay pocas cosas más desesperantes que los tiempos muertos en la oficina en los que no tenes nada que hacer y tenés que mirar el techo por que tenés todo filtrado.

Ya con mas de 10 usaria AD, con eso te digo todo.

Los pendrives tambien, murieron aca, murio el autorun, murio el usb. Ya me comi todos los Downadup desde el A hasta el E y me costo un huevo sacarlo. Nunca mas.

En cuanto a lo que dice MARS, tengo suerte entonces. De las aprox. 100 estaciones de trabajo que tengo a cargo, solo a uno tuve que aplicarle bloqueos de web. Muchos de los del 5% tengo por aca

En cuanto a lo que decís, yo siempre recomendé como medida básica de seguridad de cualquier red (especialmente en redes corporativas grandes, como de más de 1000 users) que los pendrives estén deshabilitaods usando el soft que mas les guste o inclusive el registry de windows, pero siempre me encontré con las mismas respuestas ya gastadas.

a) acá hay gente que lo usa para laburar
b) al gerente no se lo podemos filtrar, nos rajan a la mierda

todos sabemos que (salvo contadas excepciones) la a) es verso y la b) es una inevitable verdad a la que me referí de otra manera en el primer post.

Así obviamente se dan casos en los que se morfan un virus de un pendrive y todos se miran extrañados con cara de "uhhh que paso como entro este virus".

[Kiuj]

si descubris uno que no la entiende, creas un grupo de AD al que el pones "Black Sheep" y le pones solo lo justo y necesario para laburar durante un mes, creeme que despues de ese turtugio el fulano se va a comportar de manera correcta, hay pocas cosas más desesperantes que los tiempos muertos en la oficina en los que no tenes nada que hacer y tenés que mirar el techo por que tenés todo filtrado.

jaja, yo tengo hecho un GPO asi, se llama "The Hole" al mejor estilo el hoyo de castigo de las prisiones xD

Agregando un factorcito mas al asunto, para seguir supporteando la idea de que bloquear todo no es necesariamente en pos de los mejores intereses de la empresa.

Estamos de acuerdo de que la ganancia de la empresa esta ligada fuertemente a la eficiencia de sus empleados. Uno tenderia a pensar entonces que bloqueando todo para que lo unico que puedan hacer con la PC es laburar, estariamos maximizando la eficiencia en ese aspecto, verdad?.

Pero yo creo que otro factor importantisimo es la felicidad del empleado en el trabajo. Con algo tan simple como dejar usar el MSN, cuanto pierde la empresa realmente en ganancias?. Claro que depende de la moderacion del usuario, pero considerando que suceda como sucede en mi trabajo: la perdida, si es que la hay, es minima. De ultima, toda empresa tiene un sector de sistemas que deberia corroborar el correcto uso de las estaciones. El abuso de los usuarios no es excusa para bloquear, se puede educar en el uso.

Por otro lado, ese empleado esta contento de que su empresa le deje cierta libertad en su trabajo. Va a estar mas contento con su ambito de trabajo, y por lo tanto, lo va a cuidar. Si el empleado cuida su puesto de trabajo tanto fisica como socialmente, esto genera una ganancia en la empresa que yo calculo seria comparable con la perdida (de nuevo, si es que la hay) que se genera al no tener todo bloqueado. Con la diferencia de que ese empleado trabaja en mejores condiciones.

Con respecto a los pendrives, yo ahora los estoy dejando usar, pero solo los pendrives de la empresa, los cuales tengo "inmunizados". Yo avise que si hay que traer algo en un pendrive personal, que tiene que pasar por mi, y si no lo hace y hay consecuencias, no me costaria nada enterarme de donde vino. Por suerte dan bola.

[barbabuenita]

No soy informatico.
Este tema es una arista sobre el uso de tecnologia en el espacio e trabajo (otro que se me viene a la cabeza es el uso de los celulares) me parece que ciertas restricciones que puedan atentar contra el buen desempeño de las herramientas informaticas nunca estan de mas, creo que la gente que realiza administració de redes sabe reconocer que personas pueden hacer cagadas y cuales no, yo en mi caso particular en la pc que manejo me dieron algunos privilegios que permiten bajadas de archivo, instalación y/o actualización de programas y nunca hubo drama con eso, el problema es cuando se van a los extremos de ni siquiera dejarte conectar un pendrive o compartir una impresora. Como asi tambien esa tecnologia que te restrigen usar en tu ambito de laburo, sirve para conectarse con vos, via telefonica o mail, en cualquier momento o lugar en el que te encuentres.