¿Debo otorgar a los desarrolladores derechos de administrador o dejarlos como usuarios avanzados? [duplicar]

Soy un desarrollador que realiza aplicaciones web y de bases de datos sin derechos administrativos. Pensé que se estaba cometiendo una gran injusticia cuando se implementó la política por primera vez, pero he llegado a la idea porque puedo apreciar las consideraciones de seguridad.

• posibilidades de infectar tu máquina con algún exploit web mientras navegas por una respuesta: muy reducido
• las posibilidades de que el complemento genial que pensaste ayude a bloquear tu máquina: mucho más reducido
• trae claridad a su proceso de desarrollo. Si realmente lo necesita, pídalo y debe documentar por qué lo quiere.
• ayuda a garantizar que todos estén trabajando en la misma instalación. Una certeza que los administradores de sistemas disfrutan si tiene que crear una nueva imagen para un desarrollador.

Esto es más una cuestión de productividad que de seguridad. Si desea la mejor seguridad posible, entonces sí, el bloqueo de las cuentas de usuario lo conseguirá. Sin embargo, el bloqueo de las cuentas de desarrollador se interpondrá en su camino. Por ejemplo, parece que tienes todo lo que requerirán , pero ¿qué pasa con:

• Navegadores preferidos
• Clientes de correo electrónico preferidos
• Clientes de chat preferidos (si corresponde)
• editores de texto
• Otras herramientas (grep, Python, Wireshark, etc.)

Sus opciones aquí son:

• No contrate a nadie a quien no le gusten sus herramientas preferidas (y pierda buen talento).
• Contrata a esas personas, pero no les permitas usar sus herramientas preferidas (y pierden productividad y moral).
• Dedique su tiempo a investigar todas las herramientas que deseen sus desarrolladores (perder su propio tiempo y, potencialmente, bloquear el trabajo de sus desarrolladores hasta que lo haga).
• Instale las herramientas que deseen sus desarrolladores (haciendo que esta política no tenga sentido).

Tenga en cuenta que estos no son usuarios generales (analfabetos informáticos). Está hablando de tratar a las personas que escriben software como si no entendieran nada acerca de las computadoras o la seguridad. Si no puede confiar en que sus desarrolladores no instalen virus en sus computadoras, ¿por qué confía en que escriban software?

Vale la pena mencionar que no quiere que nadie trabaje como superusuario, solo quiere que tenga acceso a las herramientas de administrador. Entonces, en Linux, sus desarrolladores deberían tener el permiso sudo , pero obviamente no deberían estar registrados como root. En Windows, sus desarrolladores deberán ser administradores, pero UAC puede solicitarlos antes de hacer cualquier cosa que requiera acceso de administrador.

Soy alguien que trabaja en seguridad de la información y veo que varios probadores de penetración entran en las empresas porque hay desarrolladores descuidados. Esta es la razón por la que querrías limitar el acceso a tus desarrolladores. Sin embargo, si va a hacer que los desarrolladores se quejen de que es una completa injusticia no tener acceso de administrador a su buzón, entonces A. puede que no valga la pena mantenerlos o B. segmentar a sus desarrolladores a una red diferente.