组织内的权限通常分为两个等级:标准用户和管理员。域管理员通常被赋予最高级别的特权,可以修改和获得对所有标准用户计算机的访问权限,而本地管理员可以完全访问特定终端及其中的数据。通常,管理员还具有专有特权,可以以提升的特权运行某些应用程序。
现在,假设标准用户需要运行仅在管理员模式下才能工作的应用程序。传统上,企业仅向该用户提供管理员凭证或提升该特定用户到整个组织级特权,但是,这不仅使他们可以访问该特定应用程序,而且还会授予该用户所有顶级特权。
在理想的无网络犯罪世界中,这是没问题的。但是,最近的研究表明,在2018年发生的所有安全漏洞中,高达34%的漏洞是由内部攻击造成的,这凸显了向任意标准用户授予管理员凭证的风险有多大。那么,管理员可以做点什么呢?ManageEngine Application Control Plus内置的终端特权管理解决方案从根本上解决了这一威胁。
什么是终端特权管理
终端特权管理是管理特权的过程,确保用户不会获得过高的权限。这样可以防止用户利用超出其职能的权限这种增加用户帐户特权的常见风险。由于80%的安全漏洞涉及特权凭证,因此终端特权管理对于安全防护至关重要。如果攻击者获得了一组特权凭证,他们将能够访问组织中存在的所有终端,从而轻松窃取数据或注入恶意软件。
Application Control Plus终端特权管理工具
使用Application Control Plus的终端特权管理功能,管理员可以允许所选自定义组的用户在从特权应用列表中运行应用程序时自助提升其特权。
1、创建特权应用程序列表
- 允许特权自动提升到所有列入白名单的应用程序
所有列入白名单的应用程序都将添加到“特权应用程序列表”中。在策略部署期间,与此列表相关联的自定义组将被允许将其特权自动提升到专门列入白名单的所有应用程序。建立此列表时,将允许管理员排除他们选择的应用程序。
- 允许对特定应用程序的特权进行自我提升
可以根据企业要求将特定的应用程序添加到“特权应用程序列表”中。管理员可以在继续构建此列表之前查看以提升的特权运行的现有应用程序。这样可以确保不会损失任何生产力。在策略部署期间,与特权应用程序列表关联的自定义组将被允许仅将其特权自提升到所选的特定应用程序。
2、启用特权访问
在策略部署期间,可以将需要对应用程序进行特权访问的所有最终用户设备集中到“自定义组”中,并与“特权应用程序列表”相关联。
管理员还可以使用最高安全级别和自定义的应用程序白名单和黑名单。