Firemní počítač na soukromé použití

[Tomas-T]

Ono je úplně jedno, zda to přidal živý uživatel nebo AI.
Jediným důvodem bylo natlačit do diskuze odkaz na nějakou online hru, ten zbytek je jen omáška, aby to nebylo hned označené za spam a smazané.
Před pár měsíci jsem zažil totéž na jiném fóru, hodně málo navštěvovaném - když to člověk viděl poprvé, tak se snažil i odpovědět a doptat se podrobnosti (bez reakce), ale když se tam objevil druhý příspěvek v jiném vlákně na jiné téma obsahující odkaz na totožný eshop, už to začalo být jasné.

Takže za mě je to spammer - příspěvek smazat, uživatele zablokovat.

[Reklama]

[snugar_i]

To je klidne mozny.
Hlavne, ze v quote OP pribyl odkaz, kteryzto vsak v OP nebyl, zeano.

Vidíš, jsem slepej, toho jsem si nevšiml :facepalm: A nechápal jsem, co z toho ten bot má, jestli si honí počet příspěvků, než začne spamovat, či co...

[Franta Kučera]

Na oživování starých vláken nevidím nic špatného - když je to relevantní a užitečné. Jde třeba o nadčasové téma nebo o otázku, která před lety neměla řešení a dneska už ho má - odkazy z vyhledávačů vedou pořád do té staré diskuse, tak je fajn, když v ní bude řešení nebo aktuální komentář. Něco jiného je ale automaticky generovaný odpad a spamy - to je jednoznačně zlo a je potřeba to odlišovat.

[𝑾𝑰𝑭𝑻]

To je klidne mozny.
Hlavne, ze v quote OP pribyl odkaz, kteryzto vsak v OP nebyl, zeano.

Tak to je dobrej trik, taky jsem si toho hned nevšiml (z čehož mi vyplývá, že to není primárně pro všímavé čtenáře, ale všímavé vyhledávače).

[martin .]

Medzinarodny korporat: firemna lopata ma plno spyware, local admin sice je, ale GP z AD viac menej vsetko zmeni. USB zakazane, web traffic sa tiez sleduje.

Dlhe roky (15+) som firemnu lopatu nechaval v robote, nevyuzival som ju nanic. Teraz z casu na cas vyuzijem notebook na autodiagnostiku. Nechcel som kvoli tomu kupovat iny notebook. Pouzivam windows to go. MS od toho dal ruky prec ale windows 10 som este tak vedel urobit - tj legalny win10 nainstalovany na USB. Lopata nema zakazany boot z USB device, takze sa to da.

[Reklama]

[𝑾𝑰𝑭𝑻]

Ono je to vícesečné. U nás se teď zhlídli v nasazování CIS benchmarků a já tomu říkám instantní zlo na pochodu. Na jednu stranu to chápu, an druhou stranu se mi podařilo vydyndat si mírnější restrikce, protože když vám přestane chodít ve Windows i iSCSI initiator, protože se někdo rozhodl, že to není bezpečné, tak už prostě vypěníte, o nemožnosti efektivně rozchodit virtualbox kvůli izolaci jádra ani nemluvě. Automatické odhlašování vzdálených přihlášení po nečinnosti je taky něco, co mi krutě pije krev, nedává to žádný smysl a jen to člověka obtěžuje (smysl má nanejvýš automatické zamykání fyzické plochy a i tomu se mi naštěstí podařilo zabránit).
Na firemních notebookách není problém zablokovat bootování z čehokoli jiného než z vnitřního úložiště, to, že to někde nedělají, je buď neschopnost, dobrá vůle, nebo záměr. Ale v těch větších korporátech se šrouby utahují čím dál víc a mně už to přestává bavit v tom dělat, protože když si navzájem hážeme klacky pod nohy a vydáváme to za pozitivum, tak jsem si asi špatně zvolil obor. A pak přijde testovací phishing mail a stejně vám někdo opakovaně vyplní přihlašovací údaje, tak si pak říkáte, že to veškeré zabezpečení je stejně k ničemu, protože pořád je nejslabším článkem lidská blbost. Ale odsíráme to kvůli ní my, co bychom rádi efektivně pracovali, ale nemůžeme, protože každá blbá VPNka odřízne přístup k jiné síti (proto si děláme na každý kravský projekt extra virtuálku), pomalu do těch vzdálených ploch nesmíte protlačit ani clipboard (což je při práci s příkazovou řádkou a skripty fakt mňamka) a úplně nejlepší jsou projekty, kde když zákazník po vás něco chce, tak vy musíte jeho bezpečáka ponížene poprosit o přístup a on vám ho milostivě na hodinu povolí - tak na takových projektech jsem odmítl dělat s tím, že mám svou čest a že ať si to dělá někdo, kdo nakoupil kýbl nervů ve slevě.

[🇺🇦 GPU]

(smysl má nanejvýš automatické zamykání fyzické plochy a i tomu se mi naštěstí podařilo zabránit).

Jo, když třeba člověk potřebuje porovnat návrh nové smlouvy v PDF se starou smlouvou na papíře, a počítač se mu během toho neustále zamyká, protože nehýbe myší, tak je to na prohození oknem, klidně zavřeným. No ale pak stačí stáhnout nějaký exáč z netu, který hýbe myší za uživatele... no, co je bezpečnějí... to pak v kanclu některé počítači svítí odemčené až do rána a nikomu to nevadí.

Na firemních notebookách není problém zablokovat bootování z čehokoli jiného než z vnitřního úložiště, to, že to někde nedělají, je buď neschopnost, dobrá vůle, nebo záměr.

Neschopnost, protože to se musí nastavit někde v BIOSu, a protože se počítače furt mění, existuje mnoho modelů a typů, s různými verzemi, tak to nikdo nedělá. Navíc počítače většinou připravuje nějaký študentík z podpory, který je rád, že to zvládne nabootovat z SCCM, na třetí pokus, s pomocí...

Osobně firemní instalaci OS nepoužívám, maximálně to jednou za půl roku nabootuju ve virtuálu. Když si nebudu na firemní HW moc používat co chci, tak to používat nebudu.

A nervy mám jenom jedny, takže když mi někdo začně při práci házet klacky pod nohy ve jménu cybersecurity, tak jim to hodím na hlavu, a klidně půjdu dělat jinam, klidně za poloviční peníze.

[Vrozkrokkop Kopalsson]

Už jsem pěkných pár let v důchodu, tak to nemusím řešit. Pracovní počítač jsem v posledních letech pro soukromé věci nepoužíval. Vyloženě zakázáno to nebylo, ani jsem si nevšimnul, že by to bylo nějak kontrolované, ale kdysi firemní ajťák obešel počítače s fotoaparátem a fotografoval historii co kdo otevíral a snad byl někdo kvůli tomu popotahovaný (tak od té doby jsem si historii v počítači pro jistotu mazal). Když jsem občas přišel do vývoje co jsem tam předtím pracoval, byli tam dva noví mlamojové, hlavy u sebe a slintali nad stránkami autobazarů, ani jsem jim nestál za to aby překlikli na jinou stránku. Pokud to nevadilo jejich šéfovi, tak mně taky ne. Ale když se po mně chtělo, abych vývoji s něčím pomohl (samozřejmě zadarmo), že tam nestíhají, pomyslel jsem si něco o líbání.
Co se týká služebního mobilu, tak důležitý jsem nebyl abych ho měl. Ale byl jsem svědkem, naše nová šéfka dostala služební mobil pro soukromé hovory a jednou ji přišla pokárat finanční ředitelka, že moc protelefonovala.
Když to shrnu: Ať už je nebo není povoleno používat služební počítače a mobily pro soukromé účely, možná to někdo sleduje a dělá si černé puntíky, tak se tomu raději vyhýbat. V době soukromých smartfounů to snad není takový problém.

[Longin]

Z SSL inspection se dají vytáhnout nějaké soukromé věci? Asi ne, když se nejedná o specifické man-in-middle-attack

a na pochybné stránky z firemního počítače snad málokoho zde napadne tam lézt, tak co se potom řeší, že IT oddělení ví, že koukáte na youtube, reddit atd. Jestli se tam ale počítají nějaké statistiky aka "čas nevěnovaný práci" nebo "nedělá na kompu dokud nepadla", i když plníte tasky v termínu a pak to bonzuje vedení, tak to je blblý no...otázka je, jestli se tenhle trend někdy dostane sem ve větším rozsahu.

[🇺🇦 GPU]

Tak to, že hraje youtube neznamená, že nepracuji. U nás se svého času youtube a další podobné platformy blokovaly, protože to prostě přetěžovalo linku. Lidi to často používají pro přehrávání hudby na pozadí při práci, nikolik na sledování minecraft videí místo práce. Jenže pak lidi začnou lézt na stále pochybnější weby, nosit si obsah z domova na externích discích, připojují k počítači mobily, používají proxy servery, VPN, tor,... a bezpečnost jde velice rychle do kopru.

[brk]

a na pochybné stránky z firemního počítače snad málokoho zde napadne tam lézt

Zažil jsem člověka, který zdůrazňoval, že potřebuje dobře zabezpečit firemní notebook, tablet, telefon, ať to nijak neohrozí firmu, protože z toho všeho pravidelně navštěvuje pornoweby.

[Petr Branik]

Ono je to vícesečné. U nás se teď zhlídli v nasazování CIS benchmarků a já tomu říkám instantní zlo na pochodu. Na jednu stranu to chápu, an druhou stranu se mi podařilo vydyndat si mírnější restrikce, protože když vám přestane chodít ve Windows i iSCSI initiator, protože se někdo rozhodl, že to není bezpečné, tak už prostě vypěníte, o nemožnosti efektivně rozchodit virtualbox kvůli izolaci jádra ani nemluvě. Automatické odhlašování vzdálených přihlášení po nečinnosti je taky něco, co mi krutě pije krev, nedává to žádný smysl a jen to člověka obtěžuje (smysl má nanejvýš automatické zamykání fyzické plochy a i tomu se mi naštěstí podařilo zabránit).
Na firemních notebookách není problém zablokovat bootování z čehokoli jiného než z vnitřního úložiště, to, že to někde nedělají, je buď neschopnost, dobrá vůle, nebo záměr. Ale v těch větších korporátech se šrouby utahují čím dál víc a mně už to přestává bavit v tom dělat, protože když si navzájem hážeme klacky pod nohy a vydáváme to za pozitivum, tak jsem si asi špatně zvolil obor. A pak přijde testovací phishing mail a stejně vám někdo opakovaně vyplní přihlašovací údaje, tak si pak říkáte, že to veškeré zabezpečení je stejně k ničemu, protože pořád je nejslabším článkem lidská blbost. Ale odsíráme to kvůli ní my, co bychom rádi efektivně pracovali, ale nemůžeme, protože každá blbá VPNka odřízne přístup k jiné síti (proto si děláme na každý kravský projekt extra virtuálku), pomalu do těch vzdálených ploch nesmíte protlačit ani clipboard (což je při práci s příkazovou řádkou a skripty fakt mňamka) a úplně nejlepší jsou projekty, kde když zákazník po vás něco chce, tak vy musíte jeho bezpečáka ponížene poprosit o přístup a on vám ho milostivě na hodinu povolí - tak na takových projektech jsem odmítl dělat s tím, že mám svou čest a že ať si to dělá někdo, kdo nakoupil kýbl nervů ve slevě.

On ti nekdo zakazuje jit nekam jinam kde to zabezpeceni maji horsi a v nejhorsim pripade nedostanes mesic vyplatu protoze firma bude napadena ransomware? Nejsi bezpecak, myslis si jak tomu rozumis ale evidentne tomu nerozumis. Pozic kde clovek potrebuje mit na svem desktopu virtualizaci je minimum, v dnesni dobe ti naprosta vetsina firem vyhradi nejaky virtual nekde na serveru protoze je to efektivnejsi z pohledu penez, bezpecnosti i administrace. Iscsi initiator na desktopu? To delate neco hodne spatne na infrastrukture stejne jako virtualbix na desktopu. Ze mate debilni infrastrukturu neznamena ze jsou vsichni bezpecaci idioti. Klidne muzes nesouhlasit a jit o dum dal, firem ktere na zabezpeceni serou je bambilion.

[themanfromearth]

V korporátu, kde pracuji mám uživatelský účet v jedné z nejsilněǰších skupin. Ale nikdy by mě nenapadno na firemní notebook něco instalovat - jednak jsou tam nějaká pravidla a pak nikdy nevíte, kdo se dívá. I když máme notebook paradoxně jako benefit Mám to vyřešeno druhou šifrovanou partition. Když chci dělat něco svého, tak nabootuji svojí partition, systém připojim k veřejné WiFi a pojistim to vpn.

[Marek Staněk]

(smysl má nanejvýš automatické zamykání fyzické plochy a i tomu se mi naštěstí podařilo zabránit).

Jo, když třeba člověk potřebuje porovnat návrh nové smlouvy v PDF se starou smlouvou na papíře, a počítač se mu během toho neustále zamyká, protože nehýbe myší, tak je to na prohození oknem, klidně zavřeným. No ale pak stačí stáhnout nějaký exáč z netu, který hýbe myší za uživatele... no, co je bezpečnějí... to pak v kanclu některé počítači svítí odemčené až do rána a nikomu to nevadí.

Uff, než nějakej takovej pokoutní soft, to je lepší obětovat 5 dolarů a z Alíku koupit podložku, na kterou se myš položí a ono se to pod ní vrtí. Taky existujou USB dongly, co se tváří jako myš, ale to bych asi neriskoval, protože nikdy nevíš, jestli to něco nesbírá a neposílá kdoví kam.

[Marek Staněk]

V korporátu, kde pracuji mám uživatelský účet v jedné z nejsilněǰších skupin. Ale nikdy by mě nenapadno na firemní notebook něco instalovat - jednak jsou tam nějaká pravidla a pak nikdy nevíte, kdo se dívá. I když máme notebook paradoxně jako benefit Mám to vyřešeno druhou šifrovanou partition. Když chci dělat něco svého, tak nabootuji svojí partition, systém připojim k veřejné WiFi a pojistim to vpn.

To ale furt neznamená, že si nemůžeš infikovat EFI ;-)