c++ - 开发者机器的攻击面减少规则

这些规则在开发者机器上完全没用。

它们应该防止执行新的可执行文件。这不仅仅是一个副作用，而是整个安全概念。解决这个问题，安全概念就会崩溃。

您根本不能在开发人员系统上使用此类保护措施。在任何公司设置中，开发人员系统都必须被视为不受信任的区域，基本假设是您不能在其中包含任何恶意软件。

您的学生迟早会从互联网上复制和粘贴源代码和脚本，不可避免地会在本地编译恶意软件。没有签名或基于规则的安全概念可以保护您免受这种情况的影响。

所以不要让这些机器在没有强身份验证的情况下访问敏感区域，对网段进行适当的隔离，并有一个很好的重置系统映像的策略（并经常使用它！）。

但是请忘记从内部保护开发人员机器安全的想法。它根本行不通。