Может ли мой босс открывать и использовать мой компьютер, когда меня нет?

На моем рабочем месте мой начальник иногда повторно активирует мой компьютер из спящего режима и сбрасывает мой пароль, чтобы войти в мою учетную запись Windows.

Я знаю, что компьютер принадлежит компании, но я привык хранить свои пароли на этом компьютере, и меня беспокоит, что он может с ними сделать.

Причина, которую он использует, чтобы оправдать это, заключается в том, что иногда он хочет знать, есть ли что-нибудь незафиксированное на моем компьютере, чтобы он мог зафиксировать от моего имени.

Комментарии не для расширенного обсуждения; этот разговор был перемещен в чат .
Скорее всего, ваш начальник просматривал ваши личные сообщения электронной почты и другую личную информацию (потому что другие его объяснения не имеют смысла, если он действительно некомпетентен). Считайте, что информация, которую вы там имели, скомпрометирована. Файлы cookie, пароли, ключи и т. д. Предположим, ему удалось их восстановить. Измените их все. И предположим, что он собирается сделать то же самое снова.
Почему бы вам просто автоматически не коммитить все каждые 10 минут (или чаще, если босс того пожелает)? Это может не решить вашу проблему, но, по крайней мере, вашему боссу придется придумать новое оправдание.
Я не знаю, насколько велика ваша компания, но если у вас есть выделенный ИТ-персонал, вы должны спросить их, является ли это законным использованием учетной записи администратора (и должен ли ваш босс вообще ИМЕТЬ доступ к учетной записи администратора). Если он сбрасывает ваш пароль с помощью автономных средств (например, с помощью загрузочного USB-накопителя ntpasswd), это почти наверняка является нарушением ИТ-политики, если ваша компания достаточно велика, чтобы иметь официальную ИТ-политику.
@MaskedMan Еще лучше, создайте ответвление основного репозитория, в котором вы фиксируете каждый раз, когда сохраняете файл, и дайте своему боссу доступ для передачи содержимого из него в основной репозиторий.
Если ему приходится сбрасывать пароль, значит, ваша компания работает неправильно. Должно быть программное обеспечение, которое проверяет использование системы, ваш босс сбрасывает ваш пароль и получает доступ к вашей учетной записи для аудита, просто тратит драгоценное время и может нарушать ИТ-политики для загрузки.
@IllusiveBrain Да, я думал, что под «фиксацией» он имел в виду что-то вроде «push» в Git. Если он использует что-то вроде CVS (нераспределенная VCS, где ветвление является «большим делом»), то автоматическая фиксация будет проблемой, и потребуется что-то вроде упомянутого вами разветвления.
Я не понимаю, как это вообще может быть вопросом. Нет!!!!
Я хочу проголосовать против, потому что ответ, очевидно, нет, но это может быть не очевидно для всех, и другим людям в этой ситуации следует объяснить, почему это плохо и глупо и заставляет меня хотеть свернуться калачиком и плакать, так что +1 вместо этого. (также у меня нет репутации в DV, но тише)
Святое дерьмо, я бы не стал доверять тому, кто использует это как оправдание!!!!!!
Очевидно, что это так нехорошо, что в первый раз, когда вы сообщите об этом, он должен получить серьезное предупреждение, а второй уволить (очевидно, если он НАСТОЯЩИЙ босс, а не просто ваш босс, это немного сложнее). Теперь я бы проверил, не просто ли это незаконно.
Для этого нужен тег страны. Это было бы незаконным в большинстве, если не во всех странах ЕС.
Также... "Совершайте сделки от моего имени". Забудьте обо всех неприятностях, связанных с тем, что он заходит на ваш компьютер... Я не знаю, какой у вас QA, ребята... Но коммиты должны делаться только вами. Что, если он выдвинет что-то, что сломает систему производства, потому что ВЫ не были готовы это протолкнуть? Теперь это ваше имя, и вы будете обвинены в них....
«Если бы он был готов к совершению, я бы его совершил». Приведенное оправдание — вздор, хотя ваш босс может и не знать, что это вздор.
Мелкое решение: каждый день перед уходом из офиса саботируйте свою рабочую копию (добавляйте кучу ошибок компиляции, например #error "This commit was unauthorized"код для C). Если ваш босс попытается зафиксировать вашу работу, он сломает сборку. Теперь на его спине будут все организации по разработке и тестированию, и не только вы будете доказывать, что ему нужно остановиться.

Ответы (10)

Он должен иметь доступ к компьютеру, но не к учетным записям .

Судя по вашему описанию, он конкретно хочет получить доступ к учетным записям, чтобы действовать от вашего имени. Это должно нарушать политики вашего ИТ-отдела по двум причинам.

  1. Его действия будут связаны с вами.
  2. Твои действия восходят к нему. Это мутит воду и должно касаться его, а не вас. Скачивание фильмов нелегально? Ну, мы все знаем, что Боб регулярно пользовался вашим компьютером...
Это более серьезно, чем мелкие опасения по поводу пиратских фильмов. «Я не присваивал эти деньги/украл этот исходный код и продал его/совершил взлом/и т. д., мой босс сделал это, используя мою учетную запись». Таким образом, это должно касаться всех - ОП и босса, поскольку они потенциально виновны в любых злоупотреблениях, совершенных с учетной записью пользователя, и компании, которая не может приписать действия в учетной записи ОП владельцу учетной записи.
«Он должен иметь доступ к компьютеру, но не к учетным записям». Такого подхода придерживаются большинство крупных правительственных учреждений США.
Этот ответ точен, но ОП все еще не может решить свою ситуацию. Я предлагаю добавить предложение явно предоставить боссу учетную запись на машине, которая может получить доступ к папкам разработки и рассказать боссу о команде git --author или о том, что эквивалентно их системе контроля версий, поэтому боссу не нужно входить в систему как OP для достижения своей цели.
@Sumyrda Верно, но только если вы доверяете объяснению его босса: ему нравится непроверенный, сломанный код? Решением будет политика, согласно которой вам нужно проверять любую незавершенную работу в конце дня в ветке, что легко проверяется.
Термин для этого в мире ИТ-безопасности — неотказуемость .
Босс похож на технофоба. @Лукас
@MarkRogers State даже, кажется, следует подходу, согласно которому весь мир должен иметь доступ;)
@Anketam: в Windows нет такой вещи, как безотказность.

Проверьте свою ИТ-политику, в большинстве мест есть правило, что это недопустимо.

Две вещи, о которых стоит подумать:

  1. если бы вы обсуждали жалобу на своего начальника с HR, они могли бы это выяснить.

  2. если ваш босс имеет доступ к вашей машине и что-то сломает, будет казаться, что это сделали вы.

Везде, где я когда-либо работал, такое поведение полностью противоречит политике компании по причинам, изложенным выше. Это открывает перед компанией потенциальные юридические проблемы, если они когда-нибудь решат вас уволить.

+1 за то, что вы заметили, что входящий человек может вызвать проблемы, и это будет выглядеть так, как будто это сделал ОП. Нет ничего плохого в том, что босс входит как АДМИН, а не как пользователь. Как вы сказали, в некоторых местах действуют гораздо более строгие ИТ-политики, где только ИТ-администратор имеет право входить в машины. Лично я чувствую запах крысы.
@RichardU Или босс-параноик.
@ cst1992 причина звучит запутанно, чтобы быть параноидальным «совершением» от имени ОП? Я думаю, что у этого менеджера есть хвост.

Я так понимаю, босс входит как администратор и сбрасывает ваш пароль, чтобы он мог войти в систему как вы. Акт сброса пароля записывается. Учетная запись, которая повторно отправила вам пароль, записывается вместе со временем.

Это просто не имеет смысла. Если он может войти как администратор, то он может просматривать все файлы. Нет смысла входить в систему как вы, если вы не хотите выдавать себя за вас.

Причина, которую он дает,

Он хочет знать, есть ли что-то незафиксированное на моем компьютере, чтобы он мог зафиксировать от моего имени.

Это не разумная цель. Если бы код был готов к фиксации, вы бы его зафиксировали. Если он хочет зафиксировать код, он должен сделать это под своим именем.

Я получаю, возможно, аварийную сборку, но не принимаю, что это должно происходить на регулярной основе.

Это оборудование компании, поэтому в США, вероятно, законно. Никакая законная ИТ-политика не будет принята. Пользователь, не работающий в ИТ, не имеет прав администратора. Разработчики иногда работают в ИТ, и некоторым доверенным разработчикам предоставляются права администратора, но ожидается, что они не будут использовать эти записи для смены паролей и входа в систему как этот человек.

Обычно разработчик имеет права администратора только на свой ящик, а не права администратора на вход в ящики других людей. Это похоже на небольшую компанию, в которой нет настоящего ИТ-отдела, а владелец/начальник имеет права администратора домена, что просто странно.

Другие уже упоминали, почему кто-то вносит код, не зная, почему вы этого не сделали, это глупо и что использование вашей учетной записи с высокой вероятностью противоречит политике компании. В некоторых юрисдикциях незаконно.

Но вы намекнули, что ваша главная забота — это сохраненные пароли. Поместите их в программу менеджера паролей, для доступа к которой требуется «мастер-пароль» (который знаете только вы), например password1 или KeePass (или Firefox). И, если возможно, поместите это приложение и его БД на USB-накопитель.

Есть ли у этих менеджеров паролей возможность забыть главный пароль при переходе в режим гибернации/возобновления? Если нет, то вы определитесь. нужны ваши пароли на флешке.
Я ничего не знаю о password1. KeePass, которым я пользовался четыре года назад, возможно, изменился. Вы запускаете его, вводите мастер-пароль, берете нужный сохраненный пароль, а затем закрываете его. FireFox, вы должны вводить мастер-пароль хотя бы один раз при каждом запуске браузера, прежде чем вы сможете получить доступ к сохраненным.
Если менеджер паролей не вариант, то хотя бы зашифрованный файл. С существующим программным обеспечением вы сможете создать зашифрованный zip-файл или файл Excel.
А если зашифрованный файл, то я бы тоже рекомендовал на флешку. (которую, конечно же, вы берете с собой, когда уходите!)
С LastPass сеанс завершается после X минут простоя. Обычно я держу это на низком уровне, например, 3 минуты или что-то в этом роде. Вы также можете использовать двухфакторную аутентификацию, чтобы предотвратить вход без пароля и аппаратного компонента (например, приложение OTP на вашем телефоне, SMS или что-то вроде Yubikey). Они доступны для учетных записей бесплатного уровня. Вы также должны использовать пароли для своих SSH-ключей, чтобы внесение любых изменений было невозможно без пароля ключа. Это лишь немного неудобно, но знаете, что еще неудобно? Быть обвиненным в растрате вашим боссом.

Как вы указали, компания владеет компьютером. Поскольку они владеют компьютером, ваш менеджер или любой другой человек с авторизацией и правами администратора может войти в ваш компьютер, если они не злоупотребляют доступом таким образом, чтобы поставить под угрозу вашу работу. Эмпирическое правило: не храните личную финансовую информацию или резюме на своем компьютере. Пусть работа остается работой, чтобы не только защитить вашу личную информацию, но и ограничить ущерб, который может быть нанесен, если кто-то, имеющий доступ, попытается совершить злонамеренную деятельность от вашего имени.

В одной из моих предыдущих сред для менеджеров было обычным делом обращаться к компьютерам своих сотрудников, потому что люди хранили файлы проектов и документы по ипотечным кредитам локально на своих машинах; поэтому, когда этот человек был болен, и клиенту нужно было изменить дату закрытия, менеджер должен был получить доступ к компьютеру этого сотрудника, чтобы получить исходный документ. Я знаю архаичную систему, но это всего лишь один случай уважительной причины, по которой менеджеру может потребоваться доступ к компьютеру сотрудников.

существует большая разница между использованием компьютера и использованием вашей индивидуальной учетной записи. Почти каждая компания, имеющая политику для этого, имеет политику, согласно которой вы никогда не входите в учетную запись другого пользователя без его присутствия или без специального доступа, предоставленного ИТ-отделом. В противном случае невозможно доказать, что что-либо, сделанное от чьего-либо имени, действительно было сделано этим человеком.
@Kaz Да, СЕРЬЕЗНОЕ нарушение безопасности. Я знаю нескольких работодателей, которые уволили бы этого менеджера за такой маневр.
Нет проблем с доступом к компьютерам компании для администраторов. НА ИХ СЧЕТ. Это не тот случай здесь.

Это зависит от страны и конкретной ИТ-политики.

В Великобритании по умолчанию это НЕ приемлемо. Ваш начальник будет иметь право контролировать вашу рабочую деятельность, но если вы вошли в свою личную учетную запись электронной почты, ваш начальник не будет иметь права контролировать это.

Однако, чтобы противостоять этому, стандартной практикой является включение в ваш контракт или политику допустимого использования пункта, в котором говорится, что «оборудование компании нельзя использовать в личных целях». Если этот пункт присутствует, то ваш начальник имеет право контролировать все использование рабочего компьютера.

Законы многих стран аналогичны британским, но есть и заметные отличия. Например, в Германии у вас более сильное право на неприкосновенность частной жизни.

Источник: я работал в области информационной безопасности в течение нескольких лет и узнал об этом на различных курсах, которые я посещал (например, SANS). Боюсь, у меня нет под рукой ссылок, но вы без труда сможете их найти.

+1 Я работал в компаниях, где наличие чего-либо личного характера на служебном ПК считалось бы серьезным нарушением. Хотя это было некоторое время назад - до дней BYOD, и на самом деле B'ing YOD и подключение его к сети компании рассматривалось бы как еще более серьезное правонарушение.
@peterG. Одна из проблем, связанных с BYOD, заключается в том, что у компании нет «права на аудит». Некоторые компании заставляют вас подписаться на право аудита перед использованием устройства BYO. Чаще всего они разрешают доступ к удаленному рабочему столу (или аналогичному) только с устройства BYO, поэтому действия, связанные с данными компании, можно проверить на сервере.
Обратите внимание, что ответ JohnHC выше «ваш босс может видеть любые сообщения между вами и HR» делает различие между личным и рабочим несколько менее четким, чем предполагает ваш ответ. Вправе ли ваш непосредственный руководитель следить за ходом рассмотрения вашей жалобы на него? Или, что еще хуже, отвечать на эти электронные письма, используя свою учетную запись/имя?
@ Móż - Это отличный момент, и я боюсь, что тренер SANS не учел его. На практике HR не приемлет электронную почту по деликатным вопросам, но это больше потому, что электронная почта может быть неверно истолкована, а не из-за конфиденциальности.

Простой ответ: не храните свои пароли на своем компьютере и не используйте какое-либо приложение для связки ключей, которое не использует систему пароля для входа в систему.

Как упоминали другие люди, ваш менеджер, вероятно, не соответствует политике ИТ-безопасности. Возможно, стоит тактично сообщить вашей ИТ-поддержке, что ваш пароль неоднократно сбрасывался, и позволить им предпринять какие-либо действия.

Чего-то, чего пока не хватает в других ответах, заключается в том, что в случае незафиксированных изменений их не должен совершать ваш босс, и это не является разумным оправданием. Я имею в виду системы управления версиями разработки программного обеспечения, но это в равной степени применимо к юридическим документам или другой «жизненно важной» работе, которую, возможно, необходимо будет выполнить своевременно: как ваш начальник узнает, что изменения завершены, протестированы, проверены? , готовы и т.д.?

Босс не знает, поэтому коммитит под именем автора, а не под своим :-(

Причина, которую он использует, чтобы оправдать это, заключается в том, что иногда он хочет знать, есть ли что-нибудь незафиксированное на моем компьютере, чтобы он мог зафиксировать от моего имени.

Хотя я сомневаюсь, что это правда, если бы это было так, с этим нужно было бы обращаться по-другому.

Настройте общий диск, на котором находится рабочий контент. Или настройте политику, согласно которой рабочие файлы в вашей учетной записи в специальном каталоге доступны только для чтения другим сотрудникам. так далее

Существует множество способов разрешить доступ к рассматриваемым файлам, которые не делают необходимым каким-либо образом выдавать себя за вас.

Было бы разумно создать такую ​​систему/политику, чтобы можно было получить доступ к рабочим файлам в случае чрезвычайной ситуации, например, когда вы будете недоступны.

Я бы спросил у босса, почему это не вариант.

Для этого есть три уровня.

Уровень 1. Имеет ли мой менеджер доступ к МОЕМУ рабочему компьютеру? Это зависит от. Ваша компания определит, какие права есть у каждого в компании. У вашего менеджера есть это право, если компания говорит, что он имеет право, и он не имеет права, если компания говорит, что он его не имеет. Я бы согласился с тем, что мой менеджер получит доступ к моему компьютеру, скажем, если бы я попал в аварию и важная информация была только на моем компьютере. Если бы это произошло без очень веской причины, я бы очень, очень разозлился, и это было бы нехорошо.

Уровень 2: Что насчет моей конфиденциальности? В зависимости от страны, в которой вы находитесь, личная информация может быть надежно защищена, даже если она находится на компьютере, принадлежащем компании, и не должна быть на этом компьютере. Или он может быть полностью незащищен на вашем рабочем компьютере.

Уровень 3: Юридические аспекты. И здесь у нас большой, большой красный флаг. Генеральный директор вашей компании не имеет никакого права доступа к компьютеру своего бухгалтера. Ваш менеджер не имеет права вносить изменения от вашего имени . Как разработчик программного обеспечения ,код на моем компьютере находится в стадии разработки, и в любой момент времени он может оказаться в состоянии, которое может оказаться между дорогостоящим и фатальным, если оно будет зафиксировано и отправлено клиентам. (Я мог бы написать программу, которая доставляет товары клиентам, отправляет счет клиенту и записывает, что клиент должен деньги компании. Если только две из этих трех частей будут завершены, а мой начальник завершит эту незавершенную работу, это будет фатально. ). Есть много отраслей, где доступ к данным строго контролируется, и то, что делает босс, может привести к уголовному преследованию и огромной ответственности для компании.

"свободные" уровни, вероятно, должны быть "тремя" уровнями. Если вы действительно не имели в виду, что они бесплатны.

Ерунда с нарушением безопасности — это просто нелепая чепуха.

Вы вводите пароль на частном компьютере, следовательно, он может быть или не быть доступен его владельцам. Если есть настроенный домен, он может быть или не быть уже открытым текстом на контроллере домена. Пароль не является вашим секретом, это общий секрет. Общие секреты позволяют устанавливать доверенные и, возможно, зашифрованные каналы. Это не ваша личность!

Это моя компания, я могу также создать учетную запись с одинаковыми именами пользователей и паролями на каждом из моих компьютеров , которые все знают , и кто сказал, что я не имею на это права? Я работал в такой среде, никаких проблем не было. Это не твой звонок .

Помещение чьего-то реального имени в поле реального имени какой-либо доменной учетной записи ничего не меняет, этого недостаточно, чтобы что-то доказать в суде. Нет, даже если ваш босс никогда не входил в систему (что в принципе невозможно исправить), этот айтишник, сытый по горло всякой ерундой, вероятно, имеет права суперпользователя и может делать все, что захочет, и никто никогда не узнает.

Идея о том, что сгенерированные компанией учетные данные, автоматизирующие аутентификацию и предоставление доступа к принадлежащей компании инфраструктуре, а также информация, которой компания охотно поделилась с вами для автоматизации некоторых рабочих процессов так, как считает нужным, каким -то образом дает вам право на что-либо , вопиюще, неопровержимо абсурдна.

Компания может настроить любые процедуры автоматизации и аутентификации, которые ей нужны, и да, ваш босс может делать все, что захочет. Если, конечно, их босс не скажет, что они не могут, тогда вы идете к их боссу.

Конечно, ничто не подразумевает, являются ли эти методы хорошими или плохими в каком-то определенном смысле. Это решать компании, а не вам.

Конечно, опять же, если мы говорим о каком-то мошенничестве, это совсем другой вопрос. Вход в учетную запись электронной почты, предоставленную вашей компанией , может быть приемлемым, но отправка электронного письма вашей жене с вашей подписью в конце — нет.

Обратите внимание, что для этого не обязательно входить в какую-либо из «ваших» учетных записей, но это все равно является нарушением.

Отправка кода, который вы написали в рабочее время на частном компьютере компании, за который вам заплатили, в принадлежащий компании репозиторий и сборочную ферму — это нормально (из любой корпоративной учетной записи, с которой компания хочет, чтобы он был зафиксирован), но добавление вредоносного бэкдор-кода и тогда утверждать , что вы это сделали , не так.

Обратите внимание, что для этого не обязательно входить в какую-либо из «ваших» учетных записей, но это все равно является нарушением.

Видишь, куда я иду?

Вот еще один минус. Да, у айтишников есть сверхспособности, и они могут натворить всяких гадостей, если станут мошенниками; однако этот вопрос касается босса ОП, у которого на самом деле нет веских причин выдавать себя за ОП. Да, возможно (если маловероятно), что это входит в политику компании, но это все равно ужасная политика.
Если это публичная компания (или надеется стать таковой) и она ведет деятельность в Соединенных Штатах, я не могу сопоставить этот ответ с требованиями по снижению рисков Закона Сарбейнса-Оксли. Вам нужно предварить это как ответ, подходящий для частного работодателя с одним владельцем; поскольку ОП не уточнил тип организации, этот ответ является чистой спекуляцией и стоит мне -1.
Нет, не совсем.
Не участвуйте в «войнах редактирования». Это утверждение было на 100% неуместным для ответа (и лучше бы его даже не оставляли в качестве комментария), и его следует удалить. Вы не «владеете» своим ответом. Кроме того, комментарии могут быть удалены в любое время по любой причине и без уведомления, особенно если они представляют собой просто бессмысленную перебранку; если у вас есть с этим проблемы, возможно, этот сайт не для вас. К счастью, есть много других веб-сайтов (и реальных мест) на выбор!
Поскольку учетные записи предположительно являются общими, как организация отслеживает использование персоналом, отличным от пользователя, для которого была создана учетная запись? Таблицу Эксель? Я также собираюсь предположить, что самый безопасный способ избежать неправильного использования такой прекрасной практики на мизинце ругаться ура перед представителем отдела кадров?
@dbanet прекратите откатывать это редактирование. Ответы для ответов, а не для метакомментариев к голосованию.
пароли для входа в любую операционную систему, которую я когда-либо использовал за последние двадцать лет в ИТ, НЕ хранятся в открытом виде. Даже Майкрософт не такой тупой.
Извините за добавление некрокомментария, но этот ответ абсолютно УЖАСЕН по простой неупомянутой причине: учетные записи настроены для безопасности доступа. Я могу не «владеть» учетной записью «Кевина», где я работаю, но это не главное. Аккаунт kevin имеет доступ ко множеству защищаемых активов, которые мне нужны для выполнения моей работы. Разрешение кому -либо еще войти в эту учетную запись дает им доступ к огромному набору вещей, к которым у них, возможно , не должно быть доступа . Если это так, люди больше не могут предоставлять «мне» доступ к чему-либо, если только все , кто использует мою учетную запись, не должны иметь его.
Может ли мой босс открывать и использовать мой компьютер, когда меня нет?
СпросиСетьПолитика конфиденциальности1y, 0v