Ivanti从EPM到UWM,管理员权限管理可升可降

2017-12-11 11:13:00 作者:ChinaBbyte 分类 : 比特网

  在人们还没有从WannaCry和Petrwrap爆发事件中彻底恢复过来的时候,近期新一轮新型勒索病毒Bad Rabbit又席卷了欧美多个国家。虽然和前两次相比,这次爆发的感染率并不算很高,但它的招数却不容小觑——伪装成Adobe Flash的升级安装程序,引诱用户安装。

  不明所以的用户一个想当然的点击,就会轻易中招。而对于企业来讲,员工一次不经意的下载安装,可能会让整个公司看似完备的安全策略功亏一篑。正是在这样的背景下,端点权限管理已成为企业越来越关注的话题。诚然,当普通员工不再拥有随意安装程序的权限时,那企业的IT系统自然能够避过很多危险。

  近日,知名市场研究机构 Gartner 在其发表的《用端点权限管理,降低Windows本地管理员的访问权限》报告中指出,“降低对本地管理员的访问权限是加强Windows安全最有效的措施之一,但兼顾本地的访问权限管理和用户体验却是许多公司都未能处理好的一个难题,一刀切的禁止措施,会让用户体验急剧下降。而端点权限管理(Endpoint Privilege Management,简称EPM)技术,则为这一难题提供了最佳解决方案。这项技术也是Ivanti所关注和擅长的。

  权限管理的升降同样重要,切勿一刀切

  为什么要尽量降低本地管理员的访问权限?Gartner 在《用端点权限管理,降低Windows本地管理员的访问权限》报告中指出,“很多安全风险与本地管理员权限息息相关。倘若本地管理员访问被滥用或误用,就会导致安全削弱、数据丢失、支持成本高昂和用户体验糟糕等问题,如恶意软件的执行和传播。而据Avecto开展的《2016年微软安全漏洞调查:通过取消用户权限来缓解风险》显示,如果取消管理员权限,就可以缓解94%的微软重大安全漏洞。”

  但是,完全取消本地管理员权限显然行不通,不仅会严重影响用户体验 (行为习惯大受限制),还会给IT管理员增加负担。那么,如何才能兼顾本地的访问权限管理和用户体验呢? EPM技术就致力于解决这一问题,其理念是将应用程序控制和本地的访问权限管理相结合,确保只有可信赖的应用程序才能运行,并在最小权限的情况下运行。借助EPM技术,企业就可能实现对本地管理员的访问权限进行限制或阻止,同时确保减小对最终用户的影响。

  “其实现在一些公司对待EPM技术的态度比较复杂:做的话担心权限管理控制太严,用户不满意,同时也给IT管理员增加了工作量,用户的任何一个装驱动、卸载输入法等小需求也都要去找管理员;不做的话又担心安全风险太大。”Ivanti安全专家罗琦坦言,出于安全以及实现方面的考虑,目前大部分EPM产品提供商都偏重于降权,即严格控制权限,这是比较容易实现的,但对用户体验肯定会有影响。由于权限被严格控制,很多行为习惯都要被迫改变,原来能上网可能现在不能上了,原来能自己安装软件,现在都要求助于IT管理员。

  而Ivanti针对EPM功能的产品Application Manager,则有一个前瞻性的设计——不但能够降权,还会帮用户考虑在某些情况下提升权限。比如某个员工因为工作需求,需要在特定情况下使用某个应用程序,这时管理员便可以给该员工提升权限,让员工可以自主安装这一应用程序,而不是一刀切。这种设计便于企业细粒度控制,也能很好地提升用户体验。

  脱离“域”架构,权限管理更自如

  Ivanti是如何做到权限升降的自如结合呢?罗琦指出,最大的秘诀在于Application Manager在架构上并不像传统的一些解决方案必须依赖于微软的“域”,而是单独开展服务。“加域其实是限制了你的功能,你很难去做策略的提升。而没有域的限制,不仅有利于企业全局的管控,对用户来讲也是很大的一个扩展。”

  “我们把Windows策略研究得非常细、非常透,它有哪些功能,每一个字段、每一个服务的位置,我们都很清楚,然后用我们自己的代码去控制激活这个功能所需要的权限。我们可以把权限的帐号和密码预先输入在某一个位置下,当这个员工是相应的用户时,他就可以用管理员去执行起这个任务了。”罗琦解释,简单来说Application Manager就是把一些权限细化到每一条操作里面去了,特定用户在进行某些操作时是可以享有管理员权限的。

  但当这些操作完成后,该用户就不再拥有管理员权限了。“Application Manager脱离了Windows这套管理的域,又单独为每个权限、每个细致的条目设立了一个策略,相当于重写了一次Windows主机的用户策略,因此能对每一个主机都有掌控,可以让他的权限降下来,也可以按照需求升上去。”

  而这一系列细致的、独立的策略,也使得Application Manager的权限管理不仅仅局限于传统的软件控制,而是实现了对整个Windows系统层面的把控。无论是更改日期和时间,设置字体大小、桌面背景分辨率,还是设置打印机等等,都可以进行权限控制和管理。因此,它是基于一个比软件的安装和使用更加广阔的应用场景。

  以用户为中心,UWM是未来权限管理的方向

  “当然,我们的Application Manager产品不只针对Windows平台,还包括MacUnixLinux等端点,其中都包含了权限管理和应用程序控制两部分。”罗琦介绍,在Application Manager产品之前,Ivanti也有类似的权限管理策略,只不过那时候是针对主机的,不是针对User(用户)的,比如不管是谁,登录到这台电脑的人都不能使用某些软件,所以那时并不是真正的权限管理的完整方案。而Application Manager则是从用户角度诞生,和之前的产品实现了互补。

  但在罗琦看来,走到这一步还远远不够。“现在Ivanti还提出了一个新的概念,叫‘User Workspace Manager’,简称‘UWM’。顾名思义,UWM仍然是从用户角度出发,但它比EPM要高一个层级。”罗琦解释,UWM的最大特点在于用户工作场景的识别。比如有位员工到二楼开会,让管理员帮忙连接了二楼的打印机,等他到五楼之后,还需要再连接五楼的打印机,电脑并不能自动连接到最近的打印机,这就涉及到场景识别的问题。UWM就会要求电脑具备用户工作场景的区别能力,这个例子中员工在不同楼层就会有不同的策略。

  再比如系统检测到某个员工正在设计图纸,这时为了防止图纸外泄,员工只能访问服务器的某个区域,某些具有传输功能的软件如QQ则不能使用。这种策略并不是在所有情况下都会触发,只是特定用户,在使用特定的应用程序时才会。这也需要具备场景识别的能力。“这种UWM所具备的能力就是基于EPM基础之上的、要求更高的、更灵活的一项技术,叫做环境技术。从这个意义上来讲,EPM其实属于UWM的一个分支。”

  UWM无论对Ivanti还是业界来说,都是新生事物,罗琦透露道,Ivanti明年会在该领域重点发力,推出更加完整的UWM解决方案,可以更好地覆盖用户/端点权限管理过程中所遇到的各种难题。

最近更新
科普

科普图集
从《中国互联网+指数报告(2018)》看数字经济

从《中国互联网+指数报告(2018)》看数字经济>>详情

“互联网+”的这些新变化,你知道吗?

“互联网+”的这些新变化,你知道吗?>>详情

邮件订阅

软件信息化周刊
比特软件信息化周刊提供以数据库、操作系统和管理软件为重点的全面软件信息化产业热点、应用方案推荐、实用技巧分享等。以最新的软件资讯,最新的软件技巧,最新的软件与服务业内动态来为IT用户找到软捷径。
商务办公周刊
比特商务周刊是一个及行业资讯、深度分析、企业导购等为一体的综合性周刊。其中,与中国计量科学研究院合力打造的比特实验室可以为商业用户提供最权威的采购指南。是企业用户不可缺少的智选周刊!
网络周刊
比特网络周刊向企业网管员以及网络技术和产品使用者提供关于网络产业动态、技术热点、组网、建网、网络管理、网络运维等最新技术和实用技巧,帮助网管答疑解惑,成为网管好帮手。
服务器周刊
比特服务器周刊作为比特网的重点频道之一,主要关注x86服务器,RISC架构服务器以及高性能计算机行业的产品及发展动态。通过最独到的编辑观点和业界动态分析,让您第一时间了解服务器行业的趋势。
存储周刊
比特存储周刊长期以来,为读者提供企业存储领域高质量的原创内容,及时、全面的资讯、技术、方案以及案例文章,力求成为业界领先的存储媒体。比特存储周刊始终致力于用户的企业信息化建设、存储业务、数据保护与容灾构建以及数据管理部署等方面服务。
安全周刊
比特安全周刊通过专业的信息安全内容建设,为企业级用户打造最具商业价值的信息沟通平台,并为安全厂商提供多层面、多维度的媒体宣传手段。与其他同类网站信息安全内容相比,比特安全周刊运作模式更加独立,对信息安全界的动态新闻更新更快。
新闻中心热点推荐
新闻中心以独特视角精选一周内最具影响力的行业重大事件或圈内精彩故事,为企业级用户打造重点突出,可读性强,商业价值高的信息共享平台;同时为互联网、IT业界及通信厂商提供一条精准快捷,渗透力强,覆盖面广的媒体传播途径。
云计算周刊
比特云计算周刊关注云计算产业热点技术应用与趋势发展,全方位报道云计算领域最新动态。为用户与企业架设起沟通交流平台。包括IaaS、PaaS、SaaS各种不同的服务类型以及相关的安全与管理内容介绍。
CIO俱乐部周刊
比特CIO俱乐部周刊以大量高端CIO沙龙或专题研讨会以及对明星CIO的深入采访为依托,汇聚中国500强CIO的集体智慧。旨为中国杰出的CIO提供一个良好的互融互通 、促进交流的平台,并持续提供丰富的资讯和服务,探讨信息化建设,推动中国信息化发展引领CIO未来职业发展。
IT专家网
IT专家新闻邮件长期以来,以定向、分众、整合的商业模式,为企业IT专业人士以及IT系统采购决策者提供高质量的原创内容,包括IT新闻、评论、专家答疑、技巧和白皮书。此外,IT专家网还为读者提供包括咨询、社区、论坛、线下会议、读者沙龙等多种服务。
X周刊
X周刊是一份IT人的技术娱乐周刊,给用户实时传递I最新T资讯、IT段子、技术技巧、畅销书籍,同时用户还能参与我们推荐的互动游戏,给广大的IT技术人士忙碌工作之余带来轻松休闲一刻。