Как Вы проверяете, что серверы/ПК не заражены
Да это возможно:
Как установить клиенты менеджера конфигурации на компьютерах рабочей группы
также здесь взгляд на Руководящие Клиенты Рабочей группы в SCCM
Это - постоянное сражение, которое Вы никогда не будете выигрывать, но необходимо продолжать бороться. Несколько вещей любой магазин Microsoft должны определенно сделать:
- Имейте корпоративное антивирусное программное обеспечение, которое осуществляется с помощью GPO и других средств и не может быть отключено или обойдено. Минута Вы позволяете пользователям выключать его, Вы не защищены.
- Всегда фильтруйте входящий и исходящий трафик. Много вредоносных приложений пытаются "позвонить домой".
- Используйте прокси для веб-трафика. Даже если Вы не устанавливаете веб-фильтрующее программное обеспечение на нем, удобно видеть, какие модели трафика появляются (много запросов к неизвестной asiapac странице с помощью метода POST могло бы указать на вредоносное программное обеспечение, например).
- Наконец, и возможно самое главное, обучите своих пользователей. Действительно хорошие разработчики являются не всегда уделением внимания проблемам безопасности при выполнении их должностных обязанностей. Полезно напомнить людям, что контроль учётных записей не является просто тестом, чтобы видеть, как быстро можно нажать "Yes", и что sudo не является просто вежливым способом запустить все команды.
Удачи.. :)
Я искренне надеюсь, что эти devs имеют локального администратора только и имеют только учетные записи обычного пользователя в Active Directory.
Devs, возможно, понадобится доступ к серверам и т.д., но если Вы поэтому уже не делаете, можно использовать отдельный VLAN для dev среды; никакой доступ к рабочим серверам, только к dev/qa/staging. Имейте использование devs другая рабочая станция для доступа к обычным, рабочим серверам.
С другой стороны, и менее надежно, можно попытаться разделить вещи на логическом уровне (например, другой лес Active Directory, возможно, домен).
Если devs действительно/получают доступ к производственным системам, увеличивают Ваш вход и контроль систем напоминания и делают некоторое пользовательское образование: "Почему Вы входили в систему той производственной базы данных и копировали таблицу со всеми хэшами пароля?" вид вещи.
Примечание: это, очевидно, зависит от размера и сложности Вашей организации.
Просто комментарий: Вы, кажется, подозреваете инструменты с открытым исходным кодом, как являющиеся опасным. Они могут быть, но реальная проблема не управляет устройством хранения данных и использованием исполняемого кода на dev ПК. Может быть закрытый исходный код также ;)