我在一家拥有大约 1000 多名员工的公司工作。我们目前有从事基于 Web 项目的编程开发人员(大约 50 人)。
最近,出于安全考虑,我们的 IT 和安全部门实施了一项限制,不再允许本地管理员访问机器。整个公司为工作站和服务器运行 Windows 操作系统。我完全同意删除管理员的决定,老实说,我认为这是姗姗来迟(因为公司处理患者数据并要求遵守 HIPAA)。不幸的是,我认为他们的决定太过分了。我假设将为合法需要管理员访问权限来完成其工作的用户(EX 我的编程团队)创建一个子组或 AD 组,例如保留管理员访问权限的技术组。然而情况并非如此,唯一的组为网络和帮助台人员创建了一个特定的管理员组。
主要问题是,作为 Web 开发人员,我们运行的程序需要本地管理员访问权限,不幸的是,如果没有它们以管理员身份运行,我们就无法完成我们的工作。示例程序包括用于 ASP.NET Web 开发的 Visual Studio、用于本地开发的 MAMP、composer 等。我相信这些程序需要管理员访问权限的主要原因是因为它们需要运行和修改本地 IIS、命令行等。
基本上,本地管理员访问权限何时被删除的时间很短。大约 2 天后,开发团队在工作能力方面陷入困境,我和其他团队负责人基本上对 IT 员工大喊大叫以提出解决方案,他们最终承认并找到了一个第三方程序允许管理员创建以管理员身份运行某些程序的能力,即使我们没有本地管理员访问权限。
不幸的是,我们用于本地管理员访问的这个程序存在令人难以置信的错误和不可靠,并且不是来自有信誉的来源,而且似乎没有太多可供选择的替代品。(我不想透露我们使用的程序。)
我的问题是,不允许程序员/开发人员在公司或公司进行本地管理员访问是典型的情况吗?如果这样做是常见的做法,那么开发人员如何以本地管理员的身份运行他们需要的程序?
关于我们的网络环境的更多信息(并不是说它真的与我想添加的问题有关):
- 我们使用 AppBlocker 来阻止不在批准列表中的程序
- 我们使用电子邮件安全拦截器来执行扫描附件并将其转换为 PDF 等操作。
- 我们在所有工作站上至少有 2 个主要的防病毒程序。
- 网络及其服务器非常隔离,用户只能访问他们合法需要访问的某些服务器、文件夹和数据库。