Jefferson, 
27 de setembro de 2017, 
Eu comecei a reclamar disto há quase dois anos.
Na semana passada eu comecei a trabalhar com o suporte técnico de mais um sistema comercial e isso serviu para manter a impressão negativa que tenho de todos eles. Eu não tinha tempo nem saco para acompanhar tudo o que eles faziam nas máquinas do cliente mas o que pude ver ou conferir depois que eles terminaram já basta.
- Compartilharam o diretório inteiro do sistema comercial na rede com acesso escrita e leitura para TODOS;
- A aplicação deles foi configurada para rodar com privilégio de administrador no servidor. Pelo menos nas outras máquinas não foi;
- Eu dei acesso remoto via Anydesk em todas as máquinas mas em seguida instalaram o AMMYY e, como o AMMYY tem problemas com isso, desligaram o UAC. No servidor e no caixa. Acho que quem configurou o balcão foi outra pessoa porque não fez isso.
E tudo o que eu posso fazer é ficar contornando as bobagens que eles fazem para tentar garantir alguma segurança para a instalação.
Por que essas coisas me incomodam:
1: Notas fiscais, banco de dados e outros arquivos podem ser apagados por acidente ou maliciosamente por qualquer pessoa que sente na frente de um computador, com qualquer permissão de acesso. Qualquer ransonware meia boca em qualquer máquina pode criptografar o sistema inteiro e pedir resgate. Qualquer file infector rodando em uma máquina pode infectar os executáveis do sistema comercial e assim infectar todas as outras máquinas, etc, etc, etc. Estou acostumado a ver pior. Os “técnicos” de suporte saem compartilhando com permissões de escrita o diretório Arquivos de Programas e até partições inteiras incluindo as de sistema. No Windows XP você ainda flagrava isso só de abrir o explorer mas desde o Windows 7 a Microsoft deixou isso menos óbvio e é preciso executar com regularidade o comando net share para conferir se nenhum compartilhamento novo foi criado. Às vezes você só percebe quando está em outra máquina e nota os compartilhamentos extras aparecendo.
2: Quando uma aplicação precisa de privilégios de administrador ou o usuário vai precisar ser administrador ou vai ter que ter a senha de administrador, o que no final dá no mesmo. O ideal é que todos os usuários trabalhem no menor grau de permissão possível. Isso não impede a ação de ransonwares, mas esse não é o único problema de quem precisa dar manutenção;
3: Hoje, até eu que rodava o Windows 7 com UAC desligado para que ele não me enchesse o saco, acho perigoso.
Eu tive um cliente que o software do estabelecimento (criado por um programador exclusivamente pra ele)também era compartilhado e qualquer micro conectado na rede local tinha acesso irrestrito. Eu acredito que isso é um meio do programador “facilitar” a vida dele, ou seja, ele instala o software nos micros, compartilha e “um abraço” pro cliente. É tipo uma preguiça que eles tem de deixar o mínimo de segurança. Pelo menos nesse meu caso, o cliente não usava internet em nenhum micro (na época) e o programador criou uma rotina de backup do software, no servidor, pra copiar a pasta pra um HD externo três vezes ao dia pelo Cobian Backup. Eu acredito que o melhor para o cliente é quando o programador se comunica com o profissional de TI, para deixar tudo alinhado. No meu caso, o cara me odiava! hehehe
Rapaz, esses “programadores de banco de dados” parecem ter uma mentalidade que é difícil de compatibilizar com a mentalidade de quem faz a manutenção/segurança. É muito fácil entrar em rota de colisão com esse pessoal e para evitar criar uma situação em que alguém sinta vontade de me sabotar eu prefiro manter distância e tentar fazer meu trabalho apesar das besteiras deles.
Mas em empresas rodando Active Directory os usuarios sem permissão não podem nem instalar nada. Aqui na empresa toda vez que precisam instalar algo, tem que me chamar. Simples assim. Pode trazer no pendrive, o que for. Não executa sem permissão de ADM. Acho que já ajuda bastante. Ai quando o “suporte do software” precisa, eu instalo ele faz o que precisa sobre minha supervisão e depois nem adianta pedir. Deleto assim que termina. Abs
Arthur, sei que AD ajuda muito, mas não tenho muita experiência; atualmente uso Windows Server apenas com compartilhamento de arquivos;
Se pudermos trocar informações, agradeço.
Eu posso estar falando bobagem, mas a não ser que você tenha criado uma diretiva de segurança com uma whitelist de executáveis, todo mundo pode instalar softwares como o Chrome, certo? E nesse caso você nem precisa de Active Directory, porque você pode implementar a diretiva em qualquer máquina avulsa. Até onde sei o AD apenas simplifica esse trabalho para um grande número de máquinas.
Você parece estar falando do ponto de vista do profissional de TI que atende UMA empresa. Eu estou falando do ponto de vista de quem atende por contratos de manutenção ou avulso. Aqui se eu bloquear o acesso do suporte do sistema, toda m***a que acontecer vai ser culpa minha. É impressionante como esses “sistemas comerciais” precisam de manutenção constante. Seria de se esperar que o sistema que já roda há sete anos na empresa já tivesse todos os bugs resolvidos, mas toda hora aparece uma novidade que requer a atenção do suporte do sistema. E não estou falando das palhaçadas do sistema tributário brasileiro que são incontornáveis. Estou falando de problemas até de campos em relatórios impressos que “desaparecem”.
E eu não estou disponível em tempo integral nem fisicamente, nem remotamente. Pode levar qualquer coisa de alguns minutos até 24H para que eu possa fazer o atendimento.
Jefferson, eu tenho uma teoria sobre esse problema do software sempre precisar de manutenção. No caso do meu antigo cliente, o programador vendeu uma “parte” do software pra ele, de acordo com o próprio cliente. Então qualquer alteração ou correção, é cobrada por fora e me parece que não é um preço muito justo (de acordo com o cliente). Então eu creio que o interesse do programador é resolver o mínimo de problemas possíveis para que sempre o cliente precise chama-lo e assim ele recebe de novo e de novo pelo serviço ou manutenção no software. Em resumo, o cliente passa dez anos usando o software e estará sempre vinculado ao programador, que continua ganhando dinheiro.
Eu não quis entrar nesse detalhe mas desde que eu comecei a ouvir as reclamações de meus clientes sobre os problemas nos softwares eu tenho razoável certeza de que consertar uma coisa e quebrar outra faz parte do modelo de negócio da maioria dessas empresas.
Eu posso apontar uma possível exceção: um de meus clientes usa um sistema que roda 100% no servidor do programador (é em PHP). O “paradigma” é outro. O cliente tende a enxergar como se estivesse alugando um conjunto de serviços e está menos propenso a achar que se o software não der problema toda semana ele não precisaria pagar todo mês por ele. O programador então se sente menos inclinado a sabotar sua própria criação.
Não que eu esteja recomendando esses sistemas “no computador de outra pessoa”. De jeito nenhum eu recomendo. Eu apenas entendo a diferença.
Jefferson, eu quase citava um sistema comercial que um cliente usa, a diferença é que usam o Teamviewer. E infelizmente o sofrimento é o mesmo; em outro cliente, software de contabilidade, eu tinha deixado pra instalar o sistema em uma sub-pasta (d:\rede\sistema) mas na hora que o suporte começou, o “bendito” moveu pra raiz do D: e compartilhou geral.
Fica pior que isso. Cada “técnico” parece ter sua preferência de software de controle remoto. Eu já cheguei a ter que remover uns quatro ou cinco instalados na mesma máquina.
Idealmente, eu deveria poder determinar o meio de acesso para que seja usado apenas um, reduzindo a superfície de ataque. Mas eu não tenho como controlar esse pessoal.
Jeff, passei por uma neste sábado; normalmente nem iria, mas como a sra da loja é uma pessoa muito agradável, fui no sábado às 14h (horário que iria maratonar a 3a. temp de Dark Matter).
Situação: durante a semana as vendas não saíam pela net, ficando em contingência; foi piorando e ela acionou o suporte do sistema que, mesmo estando uns 600 metros de distância do shopping, só atendem remoto (ammyy ou anydesk). Resultado: bagunçaram o sistema (cuja base é, acredite, em MDB) e disseram que ela precisava chamar um técnico para formatar o micro (e ficar sem vender com cartões até resolver).
Fui, fiz backup, formatei, dei acesso remoto, e o suporte me dispensou; como já estava no shopping, fui ver um filme e fiquei de passar lá na volta só pra conferir. O que estava antes foi embora, deixou outro no lugar dele, e este tinha parado porque não tinha o certificado digital da loja pra instalar no sistema. Na hora do backup, eu vi que estava lá o arquivo .PFX DENTRO DA PASTA DO SISTEMA DELES caramba!!!! E eu que tive que mostrar a ele; instalei o certificado e ele prosseguiu.
Mas o sistema dele insistia em não enxergar o certificado; ele olhava em Opções de Internet, via lá mas nada no sistema. Daí o que o crânio me fala? Que o problema é do certificado, e que eu falasse com a Certificadora (que obviamente não tem plantão fim de semana), e a loja iria ficar sem vender com cartões até resolver na segunda-feira, imagina o prejuízo?!
Enquanto ele ainda estava online acompanhando, entrei no site da certificadora (Fenacon), baixei todas as cadeias de certificados, instalei, e aí sim o sistema dele funcionou.
5 minutos de boa vontade em vez de mais 2 dias sem vendas.
Tá difícil hein, não sei como escolhem na hora de contratar esse pessoal para suporte.
Por causa desse tipo de presepada eu faço uma imagem da instalação com Trueimage depois que o suporte do sistema termina a instalação e de vez em quando depois disso. Assim eu tenho uma razoável chance de resolver até os maiores desastres sem ter que depender deles.
Porque assim entre outras coisas eles podem “atender” dois ou três clientes de uma vez. Se o cara passar um minuto sem mover o mouse para mim é isso que ele está fazendo: me fazendo esperar enquanto atende outro.
Tenho razoável certeza de que essa gente ganha salário mínimo. Você aceitaria bater cartão e tolerar patrão por esse valor?
Não se pode esperar muito do conhecimento técnico e boa vontade de quem aceita.
Por que eles se dariam ao trabalho e custo de contratar alguém realmente capacitado se podem jogar o problema nas contas do cliente e do “outro” suporte técnico?
Outro exemplo de como eles são fraquíssimos.
Em um de meus clientes a instalação do sistema comercial era coisa para horas de máquina parada. Eu terminava toda a instalação básica da máquina deixando faltando apenas instalar o sistema e telefonava para o suporte. Encontrar um técnico desocupado para fazer o serviço já podia levar qualquer coisa entre minutos e horas mas o pior vinha na instalação: o cara tinha que instalar o Chrome para acessar uma conta no 4shared de onde ele baixava os instaladores (e isso porque a empresa deles tem site) e depois começava um complicado processo de instalação que parava o tempo todo (provavelmente porque o técnico estava atendendo outra pessoa).
Depois de ver pela terceira vez um técnico instalar manualmente cada um dos muitos aliases do Borland Database Engine (BDE) de que o sistema precisava eu perdi a paciência. Como é que esses caras não sabem que a configuração é armazenada no arquivo idapi.cfg e é só copiar o arquivo de outra máquina? Eu não espero que um técnico de manutenção saiba imediatamente disso, mas o técnico de suporte de um sistema que requer o BDE deveria saber como funciona o BDE!
Ainda por cima, a Borland obsoletou o BDE em 2000. Nada de significativo mudou em 17 anos!
Aproveitei uma distração de um deles que não apagou os instaladores quando terminou, copiei tudo para o servidor e anotei o procedimento deles. A parte mais difícil que era configurar o BDE eu faço simplesmente instalando-o e copiando um diretório BDE “modelo” por cima depois.
O que antes requeria horas eu passei a fazer sozinho em 10 minutos. Há pelo menos três anos eu não chamo o suporte para corrigir problemas de instalação desse sistema.
Parabéns pelo esforço, é essa linha de pensamento de trabalho que procuro manter.