Forçage des développeurs sous des comptes utilisateur Windows limités [fermé]

0

Je suis actuellement en négociation avec une entreprise pour savoir pourquoi une machine ne faisant pas partie d'un réseau de domaine et disposant de privilèges d'administrateur complets est nécessaire pour que les développeurs puissent travailler pleinement.

Je recherche des preuves pour soutenir / contredire ceci, par exemple

  • Les programmes ne peuvent pas être exécutés avec un logiciel système, par exemple XAMPP / WAMP, un logiciel VPN, etc.
  • Les programmes ne peuvent pas être installés ou mis à jour.
windows-8 user-accounts restrictions barntothemax
la source
Peut-être que cette question est mieux adaptée aux programmeurs.stackexchange.com
Jan Doggen
Vous pouvez autoriser les utilisateurs à installer des programmes. C'est quelque chose qui peut être configuré. Les deux points peuvent être gérés par de légers changements de stratégie de groupe. Il n'y a AUCUNE raison pour que les développeurs aient des Administratordroits.
Ramhound

Réponses:

2

En tant que développeur, j'ai toujours utilisé un compte utilisateur pour un travail quotidien sécurisé. Cela peut être réalisé avec la politique d'entreprise, car les gens n'aiment pas les limites et ce sera difficile pour la première fois. Lorsque j'ai mis en place une stratégie utilisateur limitée, j'avais si peu de travail d'administrateur dans 100 bureaux de l'espace de travail, un mois avant, c'était un cauchemar viral constant. Dans certains cas, les personnes ont encore besoin de privilèges élevés pour leurs tâches. J'ai utilisé ma propre version de runas qui était limitée à l'exécution d'applications spécifiques. Jetez un coup d'œil à http://sourceforge.net/projects/sudowin/ Vous pouvez également délier les droits de l'utilisateur en définissant Utilisateur privilégié et en jouant avec l'éditeur de règles.

Alex
la source
1
  1. Un développeur doit avoir le plein contrôle de son environnement de développement. Ils doivent pouvoir installer, désinstaller, configurer et utiliser tous les logiciels nécessaires au développement d'un code fonctionnel. Avoir un compte limité signifie qu’ils ont moins de contrôle sur leur ordinateur et qu’ils ne pourront peut-être pas installer ou exécuter de logiciels critiques.
  2. Parfois, le logiciel utilisé par un développeur nécessite son démarrage avec des privilèges d'administrateur. Par exemple, si vous développez un service Azure Cloud et souhaitez le tester à partir de Visual Studio, vous devez exécuter Visual Studio en tant qu'administrateur, sinon IIS ne démarrera pas.
  3. 99% des logiciels dont un développeur a besoin obtiennent au moins une mise à jour qu'il n'a pas encore mais dont il a besoin. Souvent, une telle mise à jour nécessite l’installation de privilèges d’administrateur.
  4. Les développeurs sont moins susceptibles que les utilisateurs normaux d’abuser de leurs privilèges d’administrateur, car ils sont beaucoup plus familiarisés avec l’informatique et savent comment gérer correctement un ordinateur.

Un autre angle est le coût: un développeur qui doit régulièrement demander un mot de passe à un administrateur est un temps considérable, à la fois pour le développeur et pour l’administrateur. Et s’il n’obtient pas ce mot de passe, il pourrait très bien être empêché de progresser dans son code.

Une raison courante pour restreindre l'accès est que le logiciel devrait également pouvoir fonctionner sur un compte limité. Cela peut facilement être fait sur une machine virtuelle.

voir aussi: https://security.stackexchange.com/questions/14967/risks-of-giving-developers-admin-rights-to-the-own-own-pcs

Nzall
la source
1
1. Non, un développeur n'a besoin que d'un accès total à son environnement de développement. Les administrateurs système installent les logiciels, pas les développeurs! 2. Non, si vous êtes développeur, vous montrez que vous savez peu de choses sur les droits des utilisateurs. Les utilisateurs peuvent se voir attribuer les droits appropriés pour utiliser n’importe quel logiciel, tout en restant limités là où ils n’ont pas besoin d’accès. 3. Hypothèses! Où sont tes sources? Les mises à jour peuvent être poussées à distance si et quand nécessaire par un administrateur système. 4. Hypothèse BIG qui n’a pas de fondement statistique. Les développeurs de logiciels sont connus pour être les pires utilisateurs. Ils pensent tout savoir, mais beaucoup d’entre eux n’ont aucune idée.
Jakke
@ Jakke Je suis sûr à 100% que si vous posez cette question à un programmeur ou à un superutilisateur SE, vous obtiendrez une réponse totalement différente qui ne me convient pas. Cela dépend à qui vous demandez. si je recherche des "droits d'administrateur de programmeurs" sur Google, j'obtiens page après page les personnes qui sont d'accord avec moi.
Nzall
2
C’est la discussion qui dure entre les administrateurs système et les développeurs. Il y a très peu d'administrateurs système qui seront d'accord avec vous! Ne pensez-vous pas qu'il est préférable de laisser les responsabilités aux experts? Les développeurs ne sont pas des administrateurs système et inversement. Vous ne voudriez pas qu'un administrateur système vienne vous dire comment développer votre code. Le fait que les développeurs ne voient pas le problème à avoir des droits d'administrateur (ce que vous verrez dans la plupart de vos résultats Google), prouve à un administrateur système qu'ils ne devraient pas l'avoir. Tout ce dont vous avez besoin est un bon administrateur système capable de vous donner les outils nécessaires pour faire votre travail.
Jakke
1
J'ai travaillé des deux côtés, en tant que développeur et en tant qu'administrateur système. En tant que développeur, je n’ai jamais eu de problème à travailler avec des comptes limités, car j’avais toujours les outils nécessaires pour faire mon travail. Si vous travaillez dans une entreprise, vous devez travailler en équipe et ne pas seulement penser à votre propre commodité. J'ai travaillé avec des centaines de développeurs et, même s'il y en a qui pourraient avoir des droits d'administrateur, ceux qui ne les méritent pas sont beaucoup plus nombreux! Même si vous devez écrire des pilotes de matériel, vous pouvez les développer sur un ordinateur en réseau limité et les tester sur un ordinateur ouvert autonome.
Jakke
1
Je ne veux pas que cela devienne une guerre entre administrateurs système et développeurs, mais je dirai que cela dépend de la taille de la société et du département de développement. Une petite entreprise comptant moins de 7 ou 8 développeurs n'aura probablement pas les ressources pour affecter un administrateur système à plein temps afin de gérer les autorisations et de gérer un système pousseur de mises à jour. Et parfois, un poussoir de mise à jour automatique est un peu excessif. Surtout si vous avez des développeurs travaillant sur différents projets ayant besoin de différents outils. J'ai 4 collègues en développement dont la plupart travaillent par paires sur différents projets. Nous n'utilisons pas tous les mêmes outils.
Nzall
0

Les développeurs ne sont pas des administrateurs système avec de bonnes raisons. Beaucoup d'entre eux ne savent pas ce qui motive un ordinateur et la distribution des droits d'administrateur demandera beaucoup d'administrateurs système à beaucoup de travail supplémentaire! (Parlant de 15 ans d'expérience). Les développeurs ont besoin de tous les droits dans les domaines où ils en ont besoin et nulle part ailleurs. Il faut un peu de temps pour tout configurer correctement, mais ce n’est certainement pas impossible.

Donnez simplement à vos utilisateurs les droits appropriés, mettez-les dans des groupes personnalisés disposant des droits nécessaires pour effectuer leurs tâches quotidiennes. J'ai également travaillé en tant que développeur dans un environnement bancaire, où la sécurité à TOUS LES NIVEAUX est considérée comme une priorité absolue. Les seules personnes dans l'entreprise qui disposent de tous les droits d'administrateur étaient les administrateurs système. Contrairement à la plupart des entreprises, même les cadres supérieurs (tels que PDG, directeur financier, etc.) ne sont pas autorisés à faire ce qu'ils veulent.

Mais encore une fois, vous devez être bon en tant qu'administrateur système et passer un peu de temps à faire une bonne configuration pour vos développeurs afin qu'ils puissent faire leur travail correctement sans aucune plainte. Dans le pire des cas, ils peuvent toujours effectuer leurs tests dans un environnement de test contrôlé où ils peuvent disposer de droits supplémentaires pour évaluer ce que les clients disposant de tous les droits peuvent rencontrer. Ces environnements de test peuvent même être des machines virtuelles disposant d'un accès réseau limité ou inexistant et pouvant être facilement restaurées.

Jakke
la source