project-management - 如何遵守新的联邦桌面核心配置 (FDCC)，它将删除所有用户的本地管理员访问权限？

Question

作为开发人员，我们认为没有本地管理权限会严重影响我们的生产力。我们将被限制运行 IIS（我们是一家 Web 开发商店）、安装应用程序、运行 Microsoft 电动工具等。如果您现在正在经历 FDCC 流程，很高兴听到您如何应对这些变化。

Answer 1

作为一个使用 AF 标准桌面的基地的合同开发人员，我可以告诉你一些事情。

1：也是最重要的。不要与之抗争，也不要按照第一个人的建议去做“让他们窒息”。这绝对是错误的态度。军方/政府正在与缺乏资金、过度紧张的资源和他们不了解的蓬勃发展的技术足迹作斗争。他们采取的步骤可能并不完美，但他们正受到攻击，我们需要提供帮助，而不是阻碍。

好吧，那是我的胸膛。

2：你需要考虑创建一个本地开发实验室（我知道以这种方式资助很难）。我工作过的每个基地都有一个隔离的网络段，你可以访问它，它具有外部访问权限，与主要的 gov 网络隔离。您基本上拥有用于电子邮件、报告等的工作 PC，位于受保护的网络上。但是，你在你的小实验室里开发。我有一个实验室，有两台电脑藏在我的桌子下面，这些电脑将在技术更新期间归还。换句话说，创造性地使自己成为不受限制的开发机器+服务器。这些机器只是不允许连接到主局域网段。

3：获取桌面配置的分布。您的部分测试需要在这些配置上部署/运行。同样，这些配置不适用于开发盒。它们旨在成为人们用于日常政府工作的机器。

4：如果您正在开发 Web 解决方案，请非常注意添加受信任站点、ActiveX 组件、证书、配置不允许的某些类型的脚本执行的限制。特别是如果您尝试嵌入需要在已部署应用程序域之外进行通信的小部件/portlet/utils。

5：最重要的是，请记住，您为之工作的人中，很少有人了解他们要求您实施的技术。他们知道他们想要功能 X，但他们希望您在实现它的同时遵循严格的安全规则 Y。这通常意味着“获取一些开源库或插件并开始”不是一种选择。但是，这正是您的经理认为您将要做的事情，因为围绕着快速发展的嗡嗡声。

总而言之，那里是一团糟。尝试帮助解决问题。

Answer 2

While I've never been through the FDCC process, I once worked for a U.S. defense contractor who's policy was that no one had local administrative access to their machines. In addition, flash drives and CD-ROMs were disabled (if you wanted to listen to music on CDs, you had to have a personal CD player with headphones).

If you needed software installed you had to put in a work order. Someone would show up at your desk with the install media, login to a local admin account, and let you install the software (the reasoning being that you knew what to install better than they did). Surprisingly, the turnaround was pretty quick, usually around 1/2 an hour.

While an inconvenience, this policy didn't really cripple us. We were doing a combination of Java, C++ (MS Visual C++ and GNU/C++), VB 6.0 and some web development. For what little web development we did, we had a remote dev box we would RDP into for testing. Again, a bit of an inconvenience, but it didn't stop us from getting our jobs done.

Answer 3

从来没有遇到过问题，今天我可能会尝试使用虚拟化解决方案来运行这些工具。

或者，正如我的一个朋友曾经认为的那样：“遵循这个过程，直到他们窒息。” 在这种情况下，这可能意味着每次您需要对本地 IIS 配置进行修改或者您需要启动其中一个 powertools 时都需要调用帮助台。

Answer 4

这在金融机构中很常见。我个人将其视为一个游戏，看看我可以在我的 PC 上运行多少软件而无需任何管理员权限或向支持组发送请求。

到目前为止，我做得很好，我只发送了一个针对“Rational Software Architect”的软件安装请求（因为我需要来自“官方”版本的插件）。除此之外，我已经启动并运行了 perl、php、python、apache。此外，我的桌面上运行着相当愉快的 jetty server、maven、winscp、putty、vim 和其他几个工具。

因此，它不应该真正打扰您，即使在安装非官方软件方面我是最严重的违规者之一，我也会向任何对保护其应用程序和网络非常感兴趣的商店推荐“无管理员权限”。

一种常见的做法是为开发人员提供一台“官方”锁定的 PC，他们可以在其上运行官方应用程序并进行电子邮件管理等，以及他们拥有管理员权限的基本开发工作站。

Answer 5

据我所知，FDCC 只是作为推荐的安全基线。我会对您需要的特权进行一些回击，看看他们能想出什么来满足您的要求。我不会说我需要成为本地管理员，而是列出您需要能够做的事情，并让他们提出一个可行的解决方案（这可能是让您管理您的机器或虚拟机）。您需要能够在 Visual Studio 中运行调试器，运行本地 Web 服务器 (Cassini)，按计划为您的开发工具安装补丁/更新，...

我最近搬到了一个带有 SCCM 的“半托管”环境，该环境会定期从本地更新存储库中安装补丁。我自己在做这件事，但这对企业来说效率略高，而且让安全办公室很高兴。我确实让他们把我和其他开发人员放在一个特殊的集合中，以便我们可以在需要时阻止重大更改（IE7 怎么可能是安全更新？）。除了现在我需要手动更新 Windows Defender 之外，并没有太大的问题，因为我更新它的频率比托管集合中的更新频率更高！显然，它没有你的情况那么极端，但我认为这部分是因为我能够就我的工作需要做的需要更多本地控制的事情提出案例。

来自 NIST 关于保护 WinXP 的常见问题解答。

12. 我应该更改基线设置吗？鉴于运营任何大型企业的运营和技术考虑因素存在很大差异，因此需要对基线和相关设置（具有数百个设置、无数应用程序和各种业务）进行一些本地更改是适当的Windows XP 系统支持的功能，这应该是意料之中的）。当然，在更改安全设置时要谨慎并做出良好的判断。始终首先在精心挑选的测试机器上测试设置并记录实施的设置。

Answer 6

Not having local administrative access to your workstation is a pain in the rear for sure. I had to deal with that while I was working for my university as a web developer in one of the academic departments. Every time I needed something installed such as Visual Studio or Dreamweaver I had to make a request to Computing Services.