Je travaille dans une entreprise comptant plus de 1000 employés. Nous avons actuellement du personnel de développement de la programmation qui travaille sur des projets Web (environ 50 personnes).
Récemment, pour des raisons de sécurité, notre service informatique et sécurité a mis en place une restriction ne permettant plus l'accès des administrateurs locaux sur les machines. L'ensemble de l'entreprise utilise Windows OS pour les postes de travail et les serveurs. Je suis complètement d'accord avec la décision de supprimer l'administrateur, honnêtement, je pensais que c'était en retard (car la société traite les données des patients et exige la conformité HIPAA). Malheureusement, je pense qu'ils ont poussé la décision trop loin. J'ai supposé qu'un sous-groupe ou un groupe AD serait créé pour les utilisateurs qui avaient légitimement besoin d'un accès administrateur pour faire leur travail (EX mon équipe de programmation) quelque chose comme un groupe technique qui conserverait l'accès administrateur. Cependant, ce n'était pas le cas, le seul groupe a créé un groupe d'administration spécifique pour le personnel du réseau et du service d'assistance.
Le principal problème est qu'en tant que développeurs Web, nous exécutons des programmes qui nécessitent un accès administrateur local et ne peuvent malheureusement pas faire notre travail sans qu'ils fonctionnent en tant qu'administrateur. Les exemples de programmes incluent Visual Studio pour le développement Web ASP.NET, MAMP pour le développement local, le compositeur, etc. Je pense que la raison principale pour laquelle ces programmes ont besoin d'un accès administrateur est qu'ils doivent exécuter et modifier IIS local, la ligne de commande, etc.
En gros, il y avait un bref préavis de la suppression de l'accès administrateur local. Après environ 2 jours où l'équipe de développement a été morte dans l'eau en termes de capacité à travailler et moi et d'autres chefs d'équipe criant et criant au personnel informatique pour trouver une solution, ils ont finalement concédé et ont trouvé un programme tiers qui fonctionne comme un passage permettant aux administrateurs de créer la possibilité pour certains programmes de s'exécuter en tant qu'administrateur même si nous n'avons pas d'accès d'administrateur local.
Malheureusement, ce programme que nous utilisons pour l'accès des administrateurs locaux est incroyablement bogué et peu fiable et ne provient pas d'une source réputée et il ne semble pas y avoir beaucoup d'alternatives. (Je préférerais ne pas divulguer le programme que nous utilisons.)
Ma question est la suivante: est-il typique de ne pas permettre aux programmeurs / développeurs d'accéder aux administrateurs locaux d'une entreprise ou d'une société? Et s'il est courant de le faire, comment les développeurs exécutent-ils les programmes dont ils ont besoin en tant qu'administrateur local?
Un peu plus d'informations sur notre environnement réseau (non pas que cela se rapporte vraiment à la question que je pensais juste ajouter):
- Nous utilisons AppBlocker pour bloquer des programmes ne figure pas sur une liste approuvée
- Nous utilisons un bloqueur de sécurité de messagerie qui effectue des opérations telles que l'analyse et la conversion des pièces jointes au format PDF, etc.
- Nous avons au moins 2 programmes antivirus majeurs sur tous les postes de travail.
- Le réseau et ses serveurs sont très séparés, les utilisateurs n'ont accès qu'à certains serveurs, dossiers et bases de données auxquels ils ont légitimement besoin d'accéder.