Trabajo en una empresa con un personal de más de 1000 personas. Actualmente contamos con personal de desarrollo de programación que trabaja en proyectos basados en la web (aproximadamente 50 personas).
Recientemente, debido a problemas de seguridad, nuestro departamento de TI y seguridad implementó una restricción que ya no permite el acceso de los administradores locales en las máquinas. Toda la compañía ejecuta el sistema operativo Windows tanto para estaciones de trabajo como para servidores. Estuve totalmente de acuerdo con la decisión de eliminar admin. Honestamente, pensé que hacía mucho tiempo que no debía hacerlo (ya que la empresa se ocupa de los datos de los pacientes y exige el cumplimiento de HIPAA). Lamentablemente creo que tomaron la decisión demasiado lejos. Asumí que se crearía un subgrupo o grupo de AD para los usuarios que necesitaban acceso de administrador legítimamente para hacer su trabajo (EX mi equipo de programación) algo así como un grupo de tecnología que retendría el acceso de administrador. Sin embargo, este no fue el caso, el único grupo creó un grupo de administradores específico para el personal de la red y del servicio de asistencia.
El problema principal es que, como desarrolladores web, ejecutamos programas que requieren acceso de administrador local y, lamentablemente, no podemos hacer nuestro trabajo sin que se ejecuten como administradores. Los programas de ejemplo incluyen Visual Studio para el desarrollo web ASP.NET, MAMP para el desarrollo local, el compositor, etc. Creo que la razón principal por la que estos programas necesitan acceso de administrador es porque necesitan ejecutar y modificar IIS local, línea de comandos, etc.
Básicamente, hubo un breve aviso de cuándo se eliminó el acceso de administrador local. Después de aproximadamente 2 días de que el equipo de desarrollo muriera en el agua en términos de poder trabajar, y yo y otros líderes del equipo básicamente gritamos y gritamos al personal de TI para encontrar una solución que finalmente concedieron y encontraron un programa de terceros que funciona como un paso que permite a los administradores crear la capacidad para que ciertos programas se ejecuten como administradores aunque no tengamos acceso de administrador local.
Desafortunadamente, este programa que utilizamos para el acceso de los administradores locales es increíblemente defectuoso y poco confiable, no proviene de una fuente confiable y no parece haber muchas alternativas disponibles. (Preferiría no divulgar el programa que usamos).
Mi pregunta es, ¿es típico no permitir el acceso de administradores locales de Programadores / Desarrolladores a una empresa o corporación? Y si es una práctica común hacerlo, entonces, ¿cómo ejecutan los desarrolladores los programas que necesitan como administrador local?
Un poco más de información sobre nuestro entorno de red (no es que realmente se relacione con la pregunta que pensé que agregaría):
- Usamos AppBlocker para bloquear programas que no están en una lista aprobada
- Utilizamos un bloqueador de seguridad de correo electrónico que hace cosas como escanear y convertir archivos adjuntos a PDF, etc.
- Tenemos al menos 2 programas antivirus importantes en todas las estaciones de trabajo.
- La red y sus servidores están muy separados, los usuarios solo tienen acceso a ciertos servidores, carpetas y bases de datos a los que legítimamente necesitan acceso.