iT邦幫忙

1

員工自己弄的VM系統有包含在IT監控內嗎

最近去某外商維護發現他們的IT人員很多都在本機自建VM Windows OS

詢問後發現因為該公司IT監控規則太過於嚴謹(禁止安裝程式或使用USB讀寫)
變成很多廠商系統更新都使用隨身碟/硬碟要存取更新Web Server無法使用
故使用VM去虛擬化引導USB以及安裝工作用軟體,想請教下

1.個人化的VM系統假設不連網的話是否無法被監控到?
2.個人化的VM系統是否能連上其他網路裝置(比如說手機分享網路)?

另外想順便問
對於內部同仁及主管要求安裝某軟體時,IT人員的應對是?
(案例:主管及新進員工認為IE瀏覽器很難用,為何不允許安裝Chrome?)

看更多先前的討論...收起先前的討論...
dragonH iT邦大師 1 級 ‧ 2020-02-27 09:50:23 檢舉
可以裝 vm

可是不給裝其他程式

好像哪裡怪怪的XD
用IE開發 太酷惹ㄅ
不能用ie可以用firefox目前最強的瀏覽器
froce iT邦大師 2 級 ‧ 2020-02-27 10:44:42 檢舉
> (案例:主管及新進員工認為IE瀏覽器很難用,為何不允許安裝Chrome?)

我巴不得所有人都來跟我說這句話...
IE本來就很難用,為何不允許安裝chrome。
chrome也可以搭配ADMX在AD管理,不允許的套件不可以裝,要加的設定統一設定...

資安不是禁止就好,找到好用的替代方案,大家都可以接受,才不會有這種鑽漏洞的狀況。
就是系統不好用才會有員工向外尋求軟硬體來輔助,這問題應該公司要解決,如果系統很好用,那還會有人把資料外流,那就是個人誠信的事了,防人如此,何苦..
我也是MIS,對於系統防護不到於到這種連USB連安裝軟體都要防護,但基本的系統防護都一定有做,至於個人誠信,把大家都當君子,會比較好辦事
其實,chrome有對應的權限功能對應表可以用。
很早前就有某家公司處理過。不過目的其實是防插件病毒。倒不是要鎖員工。
補覺鳴詩 iT邦研究生 5 級 ‧ 2020-02-27 14:55:58 檢舉
真的要管也是可以啊
只是該評估一下 是不是因噎廢食?

user 有需要安裝軟體, IT 幫忙評估 幫忙處理不合理嗎?
問: IT 的存在是?
解決 USER 的問題
製造 USER 的問題
2
海綿寶寶
iT邦大神 1 級 ‧ 2020-02-27 10:36:36

1.個人化的VM系統假設不連網的話是否無法被監控到?

2.個人化的VM系統是否能連上其他網路裝置(比如說手機分享網路)?

以 VM 定義的 Guest OS / Host 而言
理論上 Guest 能連上所有 Host 能連的網路裝置
透過直接或是間接(Bridged)的方式

對於內部同仁及主管要求安裝某軟體時,IT人員的應對是?

依據公司規定應對
公司沒規定就隨便裝(但是沒版權的還是不能裝)

2
浩瀚星空
iT邦大師 1 級 ‧ 2020-02-27 10:37:58

1.個人化的VM系統假設不連網的話是否無法被監控到?

比較不容易監控沒錯,畢竟vm化的系統已不受控管。一般最後還可以用網路來處理的。
可是如果不連網的話,的確不容易控管到。

2.個人化的VM系統是否能連上其他網路裝置(比如說手機分享網路)?

其實這跟第一個問題一樣。只要系統自由了。要怎麼處理都行了。

對於內部同仁及主管要求安裝某軟體時,IT人員的應對是?

如果依你這個問題來回答,認真來說並不太好回答。
因為不知道你所謂的IT權利到哪邊。
如果該IT人員有系統的生死大權。
那一般比較正規的,可能會需要讓要安裝軟體的同仁,提交一份中的需求性。
確認安裝無安全及授權問題的情況下,就給與安裝。

其實各家公司不同。得要在安全性及方便性中選擇其中一個項目。
要安全又要方便基本上是不太可能。
IT人員一般來說,權利可以說不大也可以說很大。
畢竟,他是要負責IT安全性的。資料安全發生問題,無論任何理由都是得要他承擔。

可是,如果因為太過安全而造成工作不便利或是很緩慢的情況下。
這樣也是不對的。

0
tyudfg1682
iT邦新手 2 級 ‧ 2020-02-27 14:13:25

1.個人化的VM系統假設不連網的話是否無法被監控到?

監控到是指做到什麼地步? 如果是管控VM當然做不到,但是身為一個系統管理者,

對於你控管的OS有沒有安裝VM服務是可以控制的,而且VM用到的技術都必須經過

主要的OS驅動去支援,這些支援的建立當下都需要管理者權限,

一開始沒有放給USER的話,他們連VM的服務都安裝不起來,

何來擔心個人化的VM無法監控?

2.個人化的VM系統是否能連上其他網路裝置(比如說手機分享網路)?

當然可以

對於內部同仁及主管要求安裝某軟體時,IT人員的應對是?

這個問題每間公司作法都不同,沒有絕對的標準答案,

端看管理者與上頭重視的情節調整,但是幾個重點是一定都會有,

1.使用者想安裝的軟體有沒有購買授權?

2.是大多數使用者都需要的軟體,還是只有該使用者個人工作範圍使用?

3.需不需要IT人員協助安裝?

需要授權就是走ERP流程,請公司去購買,再來就是

1.該軟體是走什麼授權? 產品序號? USB硬體? 雲端授權?

2.怎麼管理這些授權跟保護這些授權不被使用者拿去做私人使用或者外流?

0
vc0528
iT邦新手 5 級 ‧ 2020-02-28 08:29:43
  1. 要看本機有沒有內建無線網卡或者沒有禁用usb,可以插usb無線網卡, 才可以pass through 給vm用.
1
fuchan0310
iT邦新手 4 級 ‧ 2020-02-29 01:59:40

1.個人化的VM系統假設不連網的話是否無法被監控到?

2.個人化的VM系統是否能連上其他網路裝置(比如說手機分享網路)?

Guest的OS,如果要連上網路,必須要靠Host網路去轉送,所以你Host有連上網路了,那麼Guest要上internet就不難了,這也包含手機分享的網路在內

對於內部同仁及主管要求安裝某軟體時,IT人員的應對是?
(案例:主管及新進員工認為IE瀏覽器很難用,為何不允許安裝Chrome?)

基本上在公司內部,甚麼東西能裝,甚麼東西不能裝,IT必須要清楚,包含有沒有版權與來源是否合法,裝了會不會有甚麼後遺症,不是簡單想說裝chrome來解決IE難用問題,在公司可能影響上百部電腦,包含更新也是,更不能出差錯,就可能損失很大,站在IT角度想,比一般人要想的面要很廣!!如果IT人員不允許安裝,那麼就是沒辦法安裝,其實是有他的道理在。

1
humming
iT邦研究生 4 級 ‧ 2020-03-10 11:52:01

最近去某外商維護發現他們的IT人員很多都在本機自建VM Windows OS

詢問後發現因為該公司IT監控規則太過於嚴謹(禁止安裝程式或使用USB讀寫)
變成很多廠商系統更新都使用隨身碟/硬碟要存取更新Web Server無法使用
故使用VM去虛擬化引導USB以及安裝工作用軟體,想請教下

1.個人化的VM系統假設不連網的話是否無法被監控到?
如果他們公司的IT規則很嚴格,怎麼可以自己裝VM,這點比較奇怪,
不過一般VM的確是管不到。

2.個人化的VM系統是否能連上其他網路裝置(比如說手機分享網路)?
只要裝起來,其實就跟一台電腦一樣了,想幹啥都可以。

另外想順便問
對於內部同仁及主管要求安裝某軟體時,IT人員的應對是?
這是IT人員可以決定還是哪個層級可以決定,要先釐清。
另外本案比較奇怪的是第一句,"他們的IT人員很多都在本機自建VM Windows OS"
原因應該出在IT的頭身上吧。

0
cklin
iT邦新手 2 級 ‧ 2020-03-20 11:51:49

分享一下我的公司用戶PC管理經驗

1.個人化的VM系統假設不連網的話是否無法被監控到?
不是,看要不要管理到這麼嚴謹
第一,公司PC是公司的設備資源,同仁只有一般使用者權限,無法安裝軟體。
第二,同仁很高竿,可以找到免安裝的軟體,但是因為VM Hypervisor也是一個處理程序Process,只要觀察常用的VM的Process,將這幾個Process擋掉,User也無法執行

2.個人化的VM系統是否能連上其他網路裝置(比如說手機分享網路)?
一般電腦設定只能使用一個Routing路由(or網路介面),電腦連接公司網路時,無法"同時"使用手機分享網路;
A.如果是切斷公司網路,改接私人網路,則從網路管理下手,是否開放讓同仁可以接私人網路?
A1.如果是PC桌機,管理政策是不開放私人網路,則可直接擋掉網路設定。
A2.如果是NB筆電可以帶回家的,因為網路設定是開放的,只能自由心證,道德勸說。
B.如果同仁對於網路路由設定已經熟到可以設定多重路由,MIS管理則要採用其他管理政策。

對於內部同仁及主管要求安裝某軟體時,IT人員的應對是?
依據公司規定應對,有版權的軟體,只要主管簽核核可就可以安裝。沒版權的打死也不能裝,即使同仁簽切結書,也要內部同仁及主管先提播編列萬一被查獲百倍的罰金預備著,IT人員可以當"吹哨者",有獎金可以賺/images/emoticon/emoticon01.gif

我要發表回答

立即登入回答