在人們還沒有從WannaCry和Petrwrap爆發(fā)事件中徹底恢復過來的時候，近期新一輪新型勒索病毒Bad Rabbit又席卷了歐美多個國家。雖然和前兩次相比，這次爆發(fā)的感染率并不算很高，但它的招數(shù)卻不容小覷——偽裝成Adobe Flash的升級安裝程序，引誘用戶安裝。

      不明所以的用戶一個想當然的點擊，就會輕易中招。而對于企業(yè)來講，員工一次不經(jīng)意的下載安裝，可能會讓整個公司看似完備的安全策略功虧一簣。正是在這樣的背景下，端點權限管理已成為企業(yè)越來越關注的話題。誠然，當普通員工不再擁有隨意安裝程序的權限時，那企業(yè)的IT系統(tǒng)自然能夠避過很多危險。

      近日，知名市場研究機構 Gartner 在其發(fā)表的《用端點權限管理，降低Windows本地管理員的訪問權限》報告中指出，“降低對本地管理員的訪問權限是加強Windows安全最有效的措施之一，但兼顧本地的訪問權限管理和用戶體驗卻是許多公司都未能處理好的一個難題，一刀切的禁止措施，會讓用戶體驗急劇下降。而端點權限管理 （Endpoint Privilege Management，簡稱EPM）技術，則為這一難題提供了最佳解決方案。這項技術也是Ivanti所關注和擅長的。

權限管理的升降同樣重要，切勿一刀切

      為什么要盡量降低本地管理員的訪問權限？Gartner 在《用端點權限管理，降低Windows本地管理員的訪問權限》報告中指出，“很多安全風險與本地管理員權限息息相關。倘若本地管理員訪問被濫用或誤用，就會導致安全削弱、數(shù)據(jù)丟失、支持成本高昂和用戶體驗糟糕等問題，如惡意軟件的執(zhí)行和傳播。而據(jù)Avecto開展的《2016年微軟安全漏洞調查：通過取消用戶權限來緩解風險》顯示，如果取消管理員權限，就可以緩解94%的微軟重大安全漏洞。”

      但是，完全取消本地管理員權限顯然行不通，不僅會嚴重影響用戶體驗 （行為習慣大受限制），還會給IT管理員增加負擔。那么，如何才能兼顧本地的訪問權限管理和用戶體驗呢？EPM技術就致力于解決這一問題，其理念是將應用程序控制和本地的訪問權限管理相結合，確保只有可信賴的應用程序才能運行，并在最小權限的情況下運行。借助EPM技術，企業(yè)就可能實現(xiàn)對本地管理員的訪問權限進行限制或阻止，同時確保減小對最終用戶的影響。

      “其實現(xiàn)在一些公司對待EPM技術的態(tài)度比較復雜：做的話擔心權限管理控制太嚴，用戶不滿意，同時也給IT管理員增加了工作量，用戶的任何一個裝驅動、卸載輸入法等小需求也都要去找管理員；不做的話又擔心安全風險太大。”Ivanti安全專家羅琦坦言，出于安全以及實現(xiàn)方面的考慮，目前大部分EPM產(chǎn)品提供商都偏重于降權，即嚴格控制權限，這是比較容易實現(xiàn)的，但對用戶體驗肯定會有影響。由于權限被嚴格控制，很多行為習慣都要被迫改變，原來能上網(wǎng)可能現(xiàn)在不能上了，原來能自己安裝軟件，現(xiàn)在都要求助于IT管理員。

      而Ivanti針對EPM功能的產(chǎn)品Application Manager，則有一個前瞻性的設計——不但能夠降權，還會幫用戶考慮在某些情況下提升權限。比如某個員工因為工作需求，需要在特定情況下使用某個應用程序，這時管理員便可以給該員工提升權限，讓員工可以自主安裝這一應用程序，而不是一刀切。這種設計便于企業(yè)細粒度控制，也能很好地提升用戶體驗。

脫離“域”架構，權限管理更自如

Ivanti是如何做到權限升降的自如結合呢？羅琦指出，最大的秘訣在于Application Manager在架構上并不像傳統(tǒng)的一些解決方案必須依賴于微軟的“域”，而是單獨開展服務。“加域其實是限制了你的功能，你很難去做策略的提升。而沒有域的限制，不僅有利于企業(yè)全局的管控，對用戶來講也是很大的一個擴展。”

      “我們把Windows策略研究得非常細、非常透，它有哪些功能，每一個字段、每一個服務的位置，我們都很清楚，然后用我們自己的代碼去控制激活這個功能所需要的權限。我們可以把權限的帳號和密碼預先輸入在某一個位置下，當這個員工是相應的用戶時，他就可以用管理員去執(zhí)行起這個任務了。”羅琦解釋，簡單來說Application Manager就是把一些權限細化到每一條操作里面去了，特定用戶在進行某些操作時是可以享有管理員權限的。

      但當這些操作完成后，該用戶就不再擁有管理員權限了。“Application Manager脫離了Windows這套管理的域，又單獨為每個權限、每個細致的條目設立了一個策略，相當于重寫了一次Windows主機的用戶策略，因此能對每一個主機都有掌控，可以讓他的權限降下來，也可以按照需求升上去。”

      而這一系列細致的、獨立的策略，也使得Application Manager的權限管理不僅僅局限于傳統(tǒng)的軟件控制，而是實現(xiàn)了對整個Windows系統(tǒng)層面的把控。無論是更改日期和時間，設置字體大小、桌面背景分辨率，還是設置打印機等等，都可以進行權限控制和管理。因此，它是基于一個比軟件的安裝和使用更加廣闊的應用場景。

以用戶為中心，UWM是未來權限管理的方向

      “當然，我們的Application Manager產(chǎn)品不只針對Windows平臺，還包括Mac、Unix和Linux等端點，其中都包含了權限管理和應用程序控制兩部分。”羅琦介紹，在Application Manager產(chǎn)品之前，Ivanti也有類似的權限管理策略，只不過那時候是針對主機的，不是針對User（用戶）的，比如不管是誰，登錄到這臺電腦的人都不能使用某些軟件，所以那時并不是真正的權限管理的完整方案。而Application Manager則是從用戶角度誕生，和之前的產(chǎn)品實現(xiàn)了互補。

      但在羅琦看來，走到這一步還遠遠不夠。“現(xiàn)在Ivanti還提出了一個新的概念，叫‘User  Workspace Manager’，簡稱‘UWM’。顧名思義，UWM仍然是從用戶角度出發(fā)，但它比EPM要高一個層級。”羅琦解釋，UWM的最大特點在于用戶工作場景的識別。比如有位員工到二樓開會，讓管理員幫忙連接了二樓的打印機，等他到五樓之后，還需要再連接五樓的打印機，電腦并不能自動連接到最近的打印機，這就涉及到場景識別的問題。UWM就會要求電腦具備用戶工作場景的區(qū)別能力，這個例子中員工在不同樓層就會有不同的策略。

      再比如系統(tǒng)檢測到某個員工正在設計圖紙，這時為了防止圖紙外泄，員工只能訪問服務器的某個區(qū)域，某些具有傳輸功能的軟件如QQ則不能使用。這種策略并不是在所有情況下都會觸發(fā)，只是特定用戶，在使用特定的應用程序時才會。這也需要具備場景識別的能力。“這種UWM所具備的能力就是基于EPM基礎之上的、要求更高的、更靈活的一項技術，叫做環(huán)境技術。從這個意義上來講，EPM其實屬于UWM的一個分支。”

      UWM無論對Ivanti還是業(yè)界來說，都是新生事物，羅琦透露道，Ivanti明年會在該領域重點發(fā)力，推出更加完整的UWM解決方案，可以更好地覆蓋用戶/端點權限管理過程中所遇到的各種難題。

標簽： linux 安全 代碼 訪問服務器 服務器 漏洞 企業(yè) 權限 權限管理 問題 用戶

版權申明：本站文章部分自網(wǎng)絡，如有侵權，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉載文章言論不代表本站觀點！
本站所提供的圖片等素材，版權歸原作者所有，如需使用，請與原作者聯(lián)系。