這裡是來自一家對安全性感興趣的軟件公司的數據點。我知道這在類似的組織中很常見。

有很多網絡。它們在物理上是分開的並且是氣密的，並運行不同的顏色編碼的網絡電纜。

每位員工都有一台“管理”機器，該機器可以連接到Internet（通過代理）以進行電子郵件等。所有用戶都被嚴格鎖定，並且具有嚴格的設備和訪問控制。

除此之外，每個開發人員都有一台“工程”機器。這具有完全的管理員訪問權限，並且用戶可以執行任何喜歡的操作。但是，它僅連接到工程網絡（沒有通往Internet的路由）。

在大多數軟件開發環境中，這可能被認為是極端的，但是在對安全性和開發人員自由度有衝突要求的組織中，

要回答您的問題，是的，允許開發人員進行管理員訪問是很常見的，但這並不總是意味著管理員可以訪問可能導致信息安全問題的計算機。

根據我的經驗，開發人員通常在自己的計算機上擁有管理員訪問權限。對於他們不在他們自己的計算機上具有管理員訪問權限，這也是常見的。但是，在後一種情況下，通常會進行一些調適，這樣他們就可以完成工作而不會產生太多摩擦。

一種非常常見的解決方案是訪問工作站上的管理程序（無論是Windows附帶的某些版本的VMWare還是Hyper-V），以及訪問所需的特定權限。根據需要^{（ Hyper-V / VMWare） sup>在該虛擬機管理程序中創建和銷毀VM，包括創建對來賓OS具有管理權限的VM 。通常，即使其中一些VM並非一直運行，它們中的一些也可以長期使用，這幾乎不是一個問題，需要從頭準備整個VM只是為了對需要管理員的操作進行快速測試}

系統管理程序可能已配置或未配置為允許對其VM進行Internet訪問；我已經看過兩種方式，儘管我個人非常贊成應該 訪問互聯網……至少對於我最有經驗的開發類型而言。但是，如果允許，則可以並且至少應將Internet訪問配置為強制VM進入與公司網絡其餘部分分開的專用VLAN。我不確定是否可以直接通過Hyper-V或VMWare強制實施，但是您可以在許多網絡交換機的端口上使用802.1x，以防止未經授權的機器（包括開發者的VM）訪問某些VLAN。然後，您可以向開發人員提供一些有關如何在VM中設置vlan標籤並讓他們知道在其交換機端口上將允許哪些vlan標籤的教程。我還看到，通過培訓只是作為一項政策法令，而不是通過技術措施來實施此認證，也許偶爾進行友好的審核以鼓勵合規並確保開發人員知道它的重要性。

當然，這與向開發人員提供足夠強大的計算機以一次運行多個VM的時間恰好相符。

我為一家相當大的投資管理公司（約6000名員工）工作，開發人員是我們批准用於本地管理員訪問的小組之一。我們告訴他們不要安裝任何軟件，因為這是由本地桌面/軟件合規性處理的。

我們還有一個Developers AD Group，它允許成員更改其計算機上的執行策略而無需本地管理員。

根據我的經驗，允許和禁止本地管理員訪問很常見，就像後者的骯髒解決方法一樣普遍。 -因此，您應該問自己：

本地管理員權限對您的網絡造成的威脅越嚴重？

答案應該是：無-應按每個用戶限制對網絡中資源的訪問，這與該用戶在其計算機上具有本地root，admin或masterOfTheUniverse訪問權限這一事實完全無關。如果用戶有權炸毀您的網絡，則本地病毒甚至不需要管理員訪問權限，它可以使用用戶帳戶炸毀您的網絡。 -而且，如果用戶帳戶無法訪問您網絡上的某些內容，則本地管理員權限不會對此進行任何更改。

您應該信任您的開發人員以負責任的態度處理自己的計算機，並在其中使用合理的安全配置。您公司的本地管理員權限僅應對以下方面構成危險：本地計算機。因此，您放棄本地管理員接受的唯一風險是，開發人員破壞了自己的機器（他已經可以喝杯咖啡了）。

附錄：使您的開發人員可以在需要時使用本地管理員權限。這並不意味著他們應該一直使用不安全的管理員帳戶登錄，但是您應該相信他們可以在需要時明智地使用它-無需每次都獲得許可。

為什麼開發人員應該具有本地管理員權限

您的開發人員是您委託您設計企業核心業務的人員。當今大多數公司都非常依賴於他們的軟件，因此開發人員是塑造公司非常重要部分的重要資源。

首先，提高生產率是有好處的，因為開發人員只需在本地計算機上配置，安裝和測試所需的一切即可。他可能需要某些軟件，輔助工具或不同尋常的配置來嘗試其軟件的某些方面（例如，在較舊版本的OS或較舊的驅動程序/ SDK上運行其軟件）。

第二個是向開發人員展示您如何看待他們（最大的好處）。您向他們展示了您對他們自己的計算機的信任-您將開發人員像負責任的IT精明人員一樣對待，他們可以在沒有保姆的情況下管理自己的計算機。 （在許多沒有開發人員本地管理員的公司中，他們將不得不為他們所需的每個安裝/配置要求技術支持或安全性。而且在許多情況下，這些技術支持人員對軟件的了解要比您的高級首席開發人員少。 ，但是他們仍然必須乞求他們只需要完成工作的事情，這可能會非常令人沮喪。

在我的職業生涯中，公司規模較小（少於100人），我們始終擁有本地管理員權限。我們要么擁有由IT維護但擁有權利的真實台式機，要么被允許擁有完全由我們自己管理的各種虛擬機。

如果我們沒有本地管理員訪問權限，我們會嘗試各種不良的“解決方案”，就像您的情況一樣，這會導致安全性降低。這是其中一種情況，限制實際上導致了其意圖的相反。

在大型組織的相當小的部門中（部門中〜100，整個組織中約3500），我們在中間解決方案中選擇了 ：

• sysadmins有2個帳戶，一個（用於本地計算機的非管理員帳戶）用於非管理任務（郵件，文檔版本等），以及一個具有AD管理員權限的帳戶，該權限本應僅用於AD管理
• 所有其他用戶只有一個非管理員帳戶
• 開發人員（還有一些 power用戶）被提供了具有本地計算機管理員特權的本地帳戶。

拒絕管理員對開發人員的權限將導致生產力下降，這對任何組織來說都是直接的代價。

授予本地帳戶主帳戶或輔助帳戶管理員權限的選擇應取決於管理員操作的頻率：

• 如果每天多次，我建議使用主要帳戶。
• 如果每周少於一次，我將使用次要帳戶。

如果您介於兩者之間，請選擇自己的語言。

根據我為大型組織工作的經驗，開發人員除了擁有特定於開發的資源以外，對其他任何事物都擁有完全權利是絕對不常見的。 ，所以...

聽起來您的組織是時候開發一些更成熟的開發實踐了。

公平地說，這種變化不是運營團隊的責任應該使開發團隊感到驚訝，就像您的情況一樣。

安全性和開發人員的生產力不必為您的公司彼此反對。您可以通過在無法訪問核心業務網絡上的資源的網絡上執行開發活動來完全避免這種衝突。

無論如何您都不會針對生產資產進行開發，對嗎？

如果您是，則不應該-這樣做會給您的資產帶來重大風險，尤其是資產的可用性。

更好的做法是擁有可複制的整個開發環境設置功能和數據集的關鍵部分（不公開有關公司中真實個人的私人信息）。這種複制的環境使分離相當簡單。您的開發人員需要在此開發環境中完全控制機器。他們不需要完全控制開發環境之外的資產。

有多種方法可以實現單獨的開發環境：

• 完全獨立的硬件（工作站，服務器，網絡設備等）是否已連接到互聯網
• 虛擬化環境（包括虛擬網絡）；託管在您的硬件上或通過雲服務提供商託管，並且可以連接或不連接互聯網
• 上述兩種方法的組合

您還可以為在開發環境內外進行的任何共享實現某種橋接（如果尚未使用某種服務）。

開發環境應該像大多數網絡一樣受到保護。不要只是在沒有考慮訪問控製或基本安全措施的情況下就將所有代碼和開發資產投入在線。

我還看到一些地方將這一步驟進一步發展，並將所有代碼都寫在了一起。然後將其構建/部署到另一個完全獨立的環境中進行集成測試。

首先，您需要了解“什麼是常見的”或“典型的”無關緊要，因為：這種​​情況通常是可怕的處理。

如果需要一個人（無論是承包商還是僱員）的本地管理員訪問權限，則這是安全的義務。

團隊/人員-負責該特定領域的人-尋找解決方案。有多種解決方案：創建隔離的VLAN，虛擬機和其他虛擬機在此命名。

僅僅聽到“我們在計算機上也擁有管理員權限”，就詢問其他組織的設置沒有任何意義。您不會找到與您完全相同的基礎架構。唯一重要的是，安全團隊/人員計劃一個安全的解決方案，然後由該特定組織中的IT部門實施該解決方案。

如果已實施的解決方案無法正常工作，因此仍然使您無法工作，請再次與安全團隊/人員聯繫。如果這不起作用，請將其提交給您的老闆或承包商。

您現在正在做的是燒錢，而沒有其他任何事情。如果該遊戲的其他參與者現在還沒有弄清楚，那就不好了。但是，如果您這樣做，那就很好。

我已經看到了兩種可行的方法。

1. 使開發人員可以對自己的計算機進行管理員訪問。這是最簡單，最常見的方法。通常，這是最佳選擇
2. 在組織中創建一個團隊，其整個工作就是確保開發人員可以在沒有管理員訪問權限的情況下工作。該團隊通常為3-4人。您會發現，隨著使用容器和/或虛擬機，開發人員的硬件需求將急劇增加，因此為所有開發人員購買新硬件的預算會有所增加。當您推出產品時，請先從一組早期採用者開始，然後逐漸將所有開發人員轉移到沒有管理員權限的計算機上。這個過程至少需要六個月。
ol>

如果您執行公司現在的工作，那麼開發人員將忍受一個月左右的時間，然後開始尋找新工作。

這從根本上取決於上下文，尤其是取決於您的威脅模型。

在某些組織中，通常讓開發人員完全控制其開發工作站，以使他們能夠安裝自己的工作站

在某些組織中，所有開發工作都必須在封閉的環境中進行，以防止將電子設備帶入或帶出。

大多數組織都介於這兩者之間兩個極端。開發環境的鎖定程度越高，開發人員的生產力就越低，失去最佳人才的可能性就越大。您的組織需要評估受損的開發人員工作站的可能性和影響，以及他們願意降低開發人員的生產率以減輕這種風險的程度。

您實際遇到的問題是有能力的IT部門正在嘗試實施一個卑鄙的規則。您確實只有一個選擇，可以為開發人員提供有效的管理員訪問權限。

我不斷看到相同的建議一遍又一遍地反復出現，這歸結為開發人員具有管理員但沒有Internet的另一台計算機。如果您想擁有瑞士奶酪的安全性，那就去吧。典型的開發人員計算機上安裝的軟件列表通常比屏幕長。其中許多服務器只有一個選項可以檢查更新-互聯網。您無法通過WSU修補它們，因為WSU不知道它們的存在。

這是爭論所不了解的地方：違反開發人員的個人帳戶並不是一個起點。這是大獎。沒有理由從那裡去做管理員。違反者有能力修改代碼庫以插入後門。在開發人員的盒子上獲得管理員並不是那麼有趣。

當您要拒絕管理員時，您要防禦什麼？有人在訪問代碼庫嗎？不，有人用它作為出發點嗎？如果您的生產局域網不受開發人員的保護，那麼您在做錯什麼。開發人員安裝他們不應該安裝的東西？否。開發人員擁有一個編譯器，並運行該編譯器輸出的代碼。

我聽說過很多關於該政策的故事，即開發人員沒有管理員權限，但是IT實踐卻在開發人員推翻的同時另闢looking徑。安全政策。我聽說過更多的IT信息甚至找不到。我聽說有些開發人員的經理告訴開發人員繞過安全檢查。

組織遲早會發現，組織學會只授予開發人員管理員。大部分可能最終沒有真正知道的人這樣做。

將開發人員本地管理員放在一個連接到互聯網和本地域的盒子上，並準備好應對可能帶來的後果，這是更明智的選擇。保護生產。應當以高特權級別訪問生產的人員減少了，因此鎖定更加容易，而主管組織也學會了這樣做。

但是突然之間像這樣帶走管理員幾乎總是會導致管理員的損失。更重要的開發者。您不想那樣。

由於您想談論Windows站點，因此有一個軼事比大多數人的數據要重要。 Microsoft提供給其開發人員本地管理員。 Windows的製造商得出的結論是，沒有給予開發人員管理員不值得的好處是不足的。因此，您應該執行相同的操作。

我在一家真正相信安全性（或他們認為如此）的公司工作了一段時間。

他們偶爾會組織一次社交活動，例如打保齡球。加入是免費的，但是您必須將名稱添加到放置在共享文件夾中的Excel文件的列表中。該文件夾專用於社交活動。

那麼，您想打保齡球嗎？您想將姓名添加到該列表中嗎？ Ohhhhhhhhhh，親愛的……並不是說他們可以讓所有人編輯該文件，對嗎？您必須要求適當的權限。

這是過程：

• 打開公司的站點
• 查找包含準備好一些模塊的模塊的部分填寫
• 查找並下載名為“發布表”的文檔 ​​li>
• 打印該文件
• 根據您的要求填寫並簽名
• 交給秘書
• 秘書將在第二天早上將所有這些請求交給經理
• 經理遲早會簽收
>
• 秘書會將其帶回給您
• 此時您可以對其進行掃描
• 打開IT部門用來處理票證的站點
• 創建（再次）描述您需要的票證，並附上掃描的版本表。別忘了設置緊急程度，從一小時到兩週。
• 最終，IT部門會（希望如此）

需要3-4天才能完成。在某些情況下，需要幾個星期。真的有效嗎？嘿，您要求訪問某個文件夾但忘了提及該子文件夾？哈！您已經贏得了另一回合！你猜怎麼著？由於他們正在執行某些質量檢查流程，因此他們正在很多不同文件夾中組織文檔。 新同事來後，他可以輕鬆地花費幾週來獲取他所需的所有權限。

現在。

• 您認為經理們不願意檢查他們在簽名什麼嗎？當然不是。他們認識了發行表，就是這樣。
• 您認為秘書正在檢查更多嗎？也許他們嘗試過，但是他們真的能理解給我特定計算機上特定文件夾的讀/寫權限的含義嗎？肯定不是。
• 您認為IT部門對緊急性給予了該死的看法嗎？當然不是。

那麼，這種方法導致了什麼？那就是說，如果您想竊取公司曾經製造的一切，則只需帶入USB驅動器並將其連接到PC。無法訪問該“ Confidential_Documents”文件夾？索要它，他們會簽名。如果緊急的話？ “嗨，我需要那個文檔，但我無法訪問它，您能給我您的密碼嗎？”

因此，這種“安全模型”非常緩慢，笨拙且令人沮喪，並且它根本沒有保護他們的財產，但至少沒有人能輕易地與保齡球比賽的參與者（強制性的xkcd）混為一談。

請不要就是那個公司。正如其他人所說：不要問它是否普遍（只是），而只是問它是否有意義。答案是：不，不是，除非您的公司喜歡燒錢。

是，不是-我們的高級開發人員確實擁有一個單獨的管理員帳戶，該帳戶可讓他們在需要時進行提升並安裝應用程序/更新。但是，不允許他們使用該帳戶登錄計算機。他們的管理員帳戶還允許他們對常規開發計算機的管理員訪問權限，以提供比通過IT團隊更快的支持。

這全部與應用程序白名單/黑名單，強大的密碼策略，可移動設備禁止，網關代理，DLP策略，嚴格的AV規則等結合在一起。他們的機器經過例行審核，IT團隊的知名度很高。

我個人希望開發人員沒有本地管理員訪問權限。我們可以調查需要UAC的應用程序（查找所需的文件夾，regkey等）並緩解UAC提示，但這需要時間和研究，並且並非所有公司都擁有這樣做的資源。因此，我們會一半地與他們會面，並期望雙向信任。我們還使用多種公司產品來強制執行多種規則，因此可以減輕一些負擔。

我們通過使用虛擬機解決了此問題。

每個開發人員都有一個普通用戶帳戶，沒有任何管理員權限。該用戶帳戶中有一個虛擬機，沒有任何互聯網訪問權限。開發人員可以在虛擬機內部以管理員權限運行他的應用程序。

這樣，我們就可以將互聯網訪問權限和重要數據與管理員權限的使用分開，同時仍然獲得在必需的程序中運行必要程序的方式。封閉的環境。

我和您的軟件開發人員同舟共濟。我們公司最近從具有管理員訪問權限的工作站訪問了無管理員權限的虛擬機。這嚴重地影響了我們的工作流程，以至於我發現自己什麼也沒做，只能為IT部門閱讀文章，以管理員身份運行某些事情。

管理層想出的一件事是兩個虛擬機方法。

我們的一個虛擬機是具有電子郵件，Web Access和Microsoft Suite的基本業務計算機。這滿足了通信的需要。

另一個虛擬機具有本地管理員權限，但與互聯網完全斷開。這樣，我們無法在該計算機上下載任何內容。 （儘管我們仍然可以從另一個下載它並複制下載內容。）我們仍然可以訪問內部站點，並將Visual Studio使用的幾項內容（包括Nuget，Symbols等）列入白名單。

這種方法使IT部門對其安全性感到滿意，同時還給了我們管理員訪問權限。

唯一的缺點是我們不能僅在一台計算機上使用雙監視器，因為我們需要將每台計算機都放在自己的監視器上，但是我們通常只使用一個屏幕進行代碼瀏覽，而另一個屏幕用於網絡瀏覽無論如何。

簡短答案：是的，通常具有對選定組（例如開發人員或IT管理員）的本地管理員訪問權限。基本上，使用admin可以輕鬆完成日常工作，而普通上班族每個月最多只需要一次，而且通常要少得多。

長期回答：這取決於...

對於一般用戶而言，您無需進行全面的風險分析即可了解管理員訪問權限有很多潛在的問題發生的風險，而抵消這些風險的好處卻很小。

但是，對於開發人員（和其他一些團體）來說，絕對有必要進行風險分析，並且根據事實，情況，風險承受能力和公司的威脅狀況對問題做出適當的決定。要求。指向“最佳實踐”並做一個空白的“一刀切”的做法是典型的解決方案，通常是由負責信息安全的人員缺乏時間和/或知識來計算數字並得出結論的一個基於事實的風險處理決策。

並不一定意味著它們是錯誤的。全面的分析很可能會得出相同的結論。您可能需要進行適當的風險分析，將您的專家知識添加到等式的緩解成本中，將當前措施的生產率損失和其他影響數字化。這需要權衡信息安全人員確定的風險。

還有其他相關的措施。我有時推薦的一種典型解決方案（我是專業的信息安全架構師，所以經常被問到這些問題）是將開發人員網絡與普通辦公網絡分開，以包含較高風險的區域。充分加固開發人員計算機，並堅持使用本地防火牆和最新的病毒防護，您可以很好地應對典型的攻擊情況。如果您的公司有一些外部風險，您還可以為開發人員增加額外的意識培訓，這樣他們就不會輕易成為針對性攻擊的犧牲品。

我親自監督了這兩種類型的開發人員環境，並且只需付出一點點努力就可以使它們都能正常工作。僅僅以一種既定的工作方式來解決問題就很糟糕，而您所參加的反彈是可以預料的。但是完成的工作已經完成，不專注於此並展望未來可能很聰明。

隔離網絡

您應該具有相對隔離的環境，用於開發，測試，生產和業務。

正確的隔離可以防止未經授權的更改，限制惡意軟件的傳播，並阻止數據洩露。

發生在哪裡？

開發

開發網絡是進行編碼的地方。如果開發人員想要測試代碼段或運行某些程序而無需打包代碼以部署到測試/產品中，則開發人員應具有管理權限。專用的協作工具或其他特定於開發人員的應用是合理的。開發人員可能具有管理員權限，但是常規的系統管理員應正在部署應用程序。

部署應反映管理員將在內部應用程序生產中維護的內容。它們應該是外部應用程序的客戶就緒軟件包（包括安裝嚮導和數字簽名，儘管使用單獨的簽名進行測試以防止意外發布）。

開發人員經常需要係統日誌和調試訪問權限，而這些是他們應具有管理員權限的唯一原因。除非絕對必要，否則他們不應參與安裝，配置和測試。

生產

生產網絡是您為客戶和合作夥伴提供服務的地方。由於應該存在一個正式的部署過程，因此沒有理由將其連接到您的開發/測試網絡。

為最大程度地降低Internet傳播的惡意軟件和意外更改的風險，請使用開發/測試/業務的帳戶網絡應盡可能不具有生產權限，這意味著在實踐中偶爾會出現爭執，從而限制了權限。

理想情況下，此網絡將是完全隔離的，但實際上在生產服務器必須與銷售，計費，計劃，netops和項目管理系統交互的世界中，這是不可能的。盡可能接近理想；

業務

這是企業的主要通信網絡。

電子郵件，Web瀏覽和合作夥伴連接都帶來了大量風險。您的開發，測試和生產網絡應盡可能地與這些風險隔離。

詳細信息，詳細信息，詳細信息

您的組織可能會過大。與處理靈活，安全的網絡體系結構必不可少的大量細節相比，始終擺錘要容易得多。 ，如果：

1. 有單獨的非特權帳戶可以訪問互聯網
2. 在每種環境中都使用唯一帳戶
3. 之間存在限制性防火牆規則/ ACL環境
4. 已採用標準安全措施，例如防火牆，Web代理，IDS / IPS等
ol>

您的開發人員將需要四個帳戶：

• 無特權的dev帳戶可以訪問Internet上的資源（如果他們不想從業務網絡來回跳跳，這很麻煩）
• 特權的dev帳戶來配置工作站和測試代碼
• 用於調試應用程序的特權測試帳戶
• 用於電子郵件，Web，Intranet的非特權業務帳戶

如果您讓開發人員進行一些驗證或質量檢查工作，他們在測試環境中，它們也需要沒有特權的帳戶。

開發人員應該沒有訪問生產網絡的權限，也沒有對業務網絡的管理權限。如果暫時無法實現，則應分離這些角色，否則應建立嚴格的變更控制流程。

儘管MS-Windows NT自其誕生以來就是一個多用戶系統系統，但以這種方式操作起來並不容易，並且開發人員（包括Micosoft的）仍然傾向於忽略特權分離的想法。這種訪問控制的文獻資料很少，在培訓中往往沒有表現出來，通常很難通過UI進行訪問，難以審核，缺乏用於分隔的模式/工具...。

，即使是在Unix / Linux系統上，我也看到許多開發人員未能同時為真實用戶和服務使用特權分離。但是，在任何平台上，在實現者分隔特權的方式上設置障礙都比賦予他們全部（本地）管理員特權更不利於安全性。

另一方面，儘管我對在MS-Windows上進行開發知之甚少，但我確實感到驚訝，運行Visual Studio需要本地管理員權限。而且，如果您需要管理員訪問權限的唯一原因是停止/啟動服務或重新配置它們，那麼我對您沒有太多同情-可以向指定用戶提供此功能，而無需向他們提供本地服務管理員。 IIS7的一大變化是委派的管理員功能。它總是很容易委派Apache，MySQL和PHP的重新配置。

在刪除本地管理員訪問權限的時間很短

就像問題一樣，安全團隊渴望達到他們無法交付的能力水平（根據我的經驗，這很常見）。在沒有進行適當的影響評估並且沒有考慮緩解措施對生產力/安全性造成任何損害的情況下，他們不應強行更改政策。

我們在所有工作站上至少有2個主要的防病毒程序

這是一種非常幼稚的方法，可以保護這些系統的完整性並描繪出您必須處理的內容。

那裡的替代方案似乎沒有很多

現在就這一點進行討論可能不會很有效。

總體而言，聽起來好像您正在與本地安全團隊競爭。他們不了解您需要做什麼，您也不了解如何實現他們的目標。似乎雙方都不想談判。沒有現成的工具可以解決這個問題。

在那些開發人員非常無用/惡意以至於濫用這些特權的公司，或者“ IT和安全”部門是由笨拙的下意識的白痴管理的公司中，只有本地管理員才能拒絕開發人員不在圈內的每個人都被視為明顯的安全威脅，使他們看上去很糟糕。

考慮到您的“ IT和安全”部門，當Windows附帶一個非常好的免費程序時，它還要求兩個防病毒程序，我很確定您可以確定問題所在的組織，然後從那裡開始工作。