如何遵守新的联邦桌面核心配置（FDCC），该配置将取消所有用户的本地管理员访问权限？

作为一名在使用AF标准桌面的基地担任合同开发人员的活跃从业者，我可以告诉你一些事情。

1：最重要的是不要与之斗争，也不要像第一个人建议的那样“让他们噎住”。这绝对是错误的态度。军方/政府正在与缺乏资金、过度紧张的资源和不理解的蓬勃发展的技术足迹作斗争。他们正在采取的措施可能不完美，但他们受到攻击，我们需要帮助，而不是阻碍。

好了，发泄完毕。

2：您需要考虑创建（我知道由于资金不足这很难）一个本地的开发实验室。我工作过的每个基地都有一个隔离的网络段，您可以进入该网络段并具有外部访问权限，该网络段与主要的政府网络隔离。您基本上有用于电子邮件、报告等的工作PC，它位于受保护的网络上。但是，您可以在小型实验室中进行开发。我曾经有一个实验室，里面有两台被放在我的桌子下的PC，在技术更新期间将被退回。换句话说，要有创意地制作开发计算机和未受限制的服务器。这些机器只是不被允许连接到主LAN段。

3：获取桌面配置的发行版。您的一部分测试需要在这些配置上部署/运行。同样，这些配置不适用于开发框。它们旨在成为人们日常政府工作使用的计算机。

4：如果您正在开发Web解决方案，请非常注意添加可信站点、ActiveX组件、证书、配置不允许的某些类型的脚本执行等方面的限制。特别是如果您试图嵌入需要在部署的应用程序域之外进行通信的小部件/门户/实用程序。

5: 首先要记住，你的大多数上级不了解他们要求你实现的技术。他们知道他们想要功能X，但同时又要你遵循严格的安全规则Y。通常意味着“获取一些开源库或插件并开始”不是一个选项。但是，这正是你的管理者认为你会做的，因为快速开发很受瞩目。

总之，外部情况很混乱，尽力帮助解决问题。

虽然我没有经历过FDCC流程，但我曾在一家美国国防承包商工作过，他们的政策是没有人有本地管理员访问权限。此外，闪存驱动器和CD-ROM被禁用（如果您想听CD上的音乐，必须使用个人CD播放器带耳机）。

如果您需要安装软件，必须提交工作订单。有人会出现在您的桌子旁边，携带安装介质，登录到本地管理员帐户，并让您安装软件（理由是您比他们更了解要安装什么）。令人惊讶的是，反应时间相当快，通常只需要约半个小时。

虽然有点不方便，但这个政策并没有真正使我们陷入困境。我们做了Java、C++（MS Visual C++和GNU/C++）、VB 6.0和一些Web开发的组合。对于我们所做的少量Web开发，我们有一个远程开发框，可以通过RDP进行测试。同样，有点不方便，但并没有妨碍我们完成工作。

如果我从未遇到这个问题，今天我可能会尝试使用虚拟化解决方案来运行这些工具。

或者，正如我的一位朋友曾经说过的：“按照流程操作，直到他们被搞崩为止。” 在这种情况下，这可能意味着每次需要修改本地IIS配置或需要启动其中一个强大工具时都要调用帮助台。

这在金融机构中非常普遍。我个人把这看作是一个游戏，看看我能在没有管理员权限或发送请求给支持组的情况下在我的电脑上运行多少软件。

到目前为止，我做得相当不错，只发送了一个软件安装请求，那就是“Rational Software Architect”（因为我需要“官方”版本的插件）。除此之外，我还有perl、php、python、apache等软件都在运行。此外，我还有jetty服务器、maven、winscp、putty、vim和其他几个工具都在我的桌面上愉快地运行。

所以，这并不应该让你太烦恼。即使我是安装非官方软件最严重的罪犯之一，我仍然建议任何远程有兴趣保护其应用程序和网络安全的商店都不要给管理员权限。

一种常见的做法是为开发人员提供一个“官方”的锁定PC，在这台PC上他们可以运行官方应用程序并进行邮件管理等操作，同时还有一台裸机开发工作站，他们拥有管理员权限。

据我所知，FDCC只是一个推荐的安全基线。对于你需要的权限，我建议你提出一些反对意见，并看看他们能否提供适合你要求的解决方案。与其说你需要成为本地管理员，不如列出你需要做的事情，让他们想出一个可行的解决方案（很可能是让你管理你的机器或虚拟机）。你需要能够在Visual Studio中运行调试器，运行本地Web服务器（Cassini），按照自己的时间表安装补丁/更新开发工具等等。
最近我转移到了一个带有SCCM的“半托管”环境，从本地更新库定期安装补丁。我以前自己做这个，但现在对企业来说更有效率，也让安全办公室感到满意。我确实让他们把我和其他开发人员放在了一个特殊的集合中，这样如果需要的话，我们就可以阻止破坏性的更改（IE7怎么可能是安全更新？）。除了现在我需要手动更新Windows Defender外，几乎没有什么问题发生，因为我能够说明我需要控制本地的一些东西才能完成工作。当然，这种情况显然没有你的情况那么极端，但我认为这在一定程度上是因为我能够提出需要更多本地控制的工作需求。
来自NIST关于Securing WinXP的常见问题解答。

没有本地管理员访问权限确实很痛苦。我在大学某个学术部门担任Web开发人员时也遇到过这种情况。每当我需要安装一些软件，比如Visual Studio或Dreamweaver时，就必须向计算机服务部门提出请求。