用户权限管理
在此部分:
关于用户权限管理
许多用户环境都非常严格,这是为了限制用户访问敏感数据和关键应用程序。然而用户通常需要管理权限才能履行相应职责。例如,许多允许为打印机、防病毒扫描等设备安装驱动程序的专有系统、系统更新和应用程序都需要管理权限才能运行。因此,用户通常要么具有完全管理权限,要么根本没有任何管理权限。
Application Control 通过控制应用程序和网络访问并提供全面的用户权限管理功能来确保许多企业桌面的安全。用户权限管理允许您创建可重复使用的用户权限策略,可与任何规则相关联,还可以提升或限制对特定操作系统中文件、文件夹、驱动器、签名、“Windows 应用商店应用”、应用程序组和支持的“控制面板组件”的访问权限。
用户权限管理使企业 IT 部门能够降低每个用户、组、应用程序或业务规则的访问控制权限。此工具可确保用户只拥有完成工作所需的权限,并且只能访问所需应用程序和控件,而不能访问其他内容。这有助于确保桌面稳定性,同时提高安全性和工作效率。控制用户权限是维护用户生产力和安全性之间平衡的关键,不是靠控制会话或帐户的级别,而在于控制应用程序或单个任务的级别。
通过用户权限管理可以按需管理用户权限,以此响应用户的操作来动态管理对应用程序和任务的访问。例如,通过将标准用户的权限提升到管理员级别,或将管理员的权限降低到标准用户级别,都可以让特定用户或用户组将管理员权限应用于指定的应用程序或“控制面板”组件。
通过在整个用户会话中控制用户权限,IT 能够为用户提供工作所需的可访问性,同时也能保护桌面和环境,降低管理成本。
用户权限管理将根据指数来分配权限,提供了一种委派管理权限给用户和应用程序的精细化方法。根据环境中采用的首选方法,可以部署该控制级别,逐个提升或限制权限。
用户权限管理允许您创建可重复使用的策略库,该策略库可与任何可用的 Application Control 规则相关联,以便给文件、文件夹、签名和应用程序组分配相关权限。用户权限策略包括域用户的组成员身份和可应用于每个策略的一系列管理权限。
如果新应用程序从拥有管理权限的现有应用程序中生成,则不会自动获得相同的权限。而是进行评估后确定是否应该获得管理权限。
最小权限
许多用户会在管理权限下运行其计算机。用户使用这些权限运行可能会引入病毒、恶意软件和间谍软件。这可能会影响整个企业,导致安全漏洞和停机。访问私人数据也可能存在风险。
通过用户权限管理可应用最小权限原则。该原则只为用户提供完成工作的最小权限,而不会向用户授予完全管理员权限。这对用户来说将会是无缝式体验。
有关最小权限的完整定义,请参阅 Department of Defense Trusted Computer System Evaluation Criteria(国防部可信计算机系统评估标准,DOD-5200.28.STD),也称为橙皮书。其网址为 http://csrc.nist.gov/publications/history/dod85.pdf。
通过用户权限管理可以大大减少停机时间,以及因病毒等原因呼叫 IT 支持的次数,因为计算机已经可以解决用户拥有完全管理权限时所出现的问题。这意味着 IT 支持可以专注于更重要的任务,而不是花费大量时间对计算机进行故障排除,找出问题所在。授权也将更容易控制,例如可以通过只允许用户安装已授权的应用程序来进行控制。
需要管理权限的常见任务
为了履行其职责,用户可能需要执行许多需要管理权限的任务。此时必须为用户提供允许执行这些任务的解决方案;否则用户将无法完成这些特定的任务。这些任务可能包括:
- 安装打印机
- 安装某个硬件
- 安装特定的应用程序
- 操作需要管理权限的应用程序
- 更改系统时间
- 运行旧版应用程序
用户权限管理允许用户通过提升用户权限,令其拥有特定的管理权限来执行这些任务。
用户权限管理与运行方式
许多用户(尤其是知识工作者)会使用运行方式命令来运行应用程序。用户可以用最小权限运行并执行日常任务,也可以根据需要使用运行方式命令来提升其凭据的权限,从而在其他用户的上下文下执行任务。但是这要求用户有两个帐户:一个用于最小权限,一个用于提升权限。
使用运行方式的常见问题是会让整个组织都知道管理员密码。例如,管理员可能会将管理员密码传达给用户,使其能够通过运行方式命令来修复其计算机的问题。但不幸的是,密码通常会被四处散播,进而导致意料之外的安全风险。
的另一个问题是软件如何与之实际交互。运行方式能在不同用户的上下文中执行应用程序或进程。因此,该应用程序或进程无法访问注册表中正确的 HKEY_CURRENT_USER 配置单元。
此配置单元是存储所有配置文件数据的地方,也是受保护空间。因此,在不同用户的上下文下运行的应用程序或进程将无法读取或写入此配置单元,从而导致某些应用程序无法运行。在不同用户的上下文中运行也可能导致读取和写入网络共享时出现问题。因为网络共享是基于您运行的上下文中的帐户。因此,您的本地帐户和运行方式帐户可能无法访问相同的资源。
运行方式和 UAC
某些操作系统(如 Windows 7 和 Windows 8)具有允许用户在没有管理权限的情况下运行应用程序或进程的功能。即运行方式命令和用户帐户控制 (UAC)。
这些功能也适用于 Server 2008 和 2012 版本。
虽然这些功能允许用户在没有管理权限的情况下运行,但仍然要求用户能够访问管理员帐户才能执行管理任务。遗憾的是,这种限制意味着这些功能更适合于管理员。这种限制使用户能够以标准用户身份登录,并只能使用管理员帐户执行管理任务。
由于用户必须提供本地管理员的凭据才能使用运行方式和 UAC,因此会产生许多问题。例如:
- 可以访问管理员帐户的用户必须是可信的且不会滥用这些权限。
- 需要使用管理权限运行的应用程序却在不同用户的上下文中运行。这可能会导致许多问题,例如这些特定应用程序无法访问实际用户的配置文件或网络共享,如“用户权限管理与运行方式”部分所述。
- 需要两个密码。一个用于标准帐户,另一个用于管理员帐户。用户必须记住这两个密码。确保一个帐户的安全性是具有挑战性的,确保两个帐户的安全性则更具挑战性。
技术
在 Microsoft Windows 计算环境中,作为启动应用程序过程的一部分,当发出执行请求时,应用程序会请求安全令牌来作为批准启动应用程序过程中的一部分。此令牌详细说明了为应用程序所提供的权限,这些权限可用于与操作系统或其他应用程序进行交互。
当将“用户权限管理”配置为管理应用程序时,会动态修改所请求的安全令牌以提升或限制权限,从而允许运行或阻止应用程序。
- “用户权限管理”机制处理启动进程请求的过程如下所示:
- 在配置规则中定义“用户权限策略”,并将其应用于应用程序或组件。
- “应用程序”列表可包括文件、文件夹、签名或应用程序组。
- “组件”列表可包括“控制面板”组件。
- 当通过启动应用程序或其他可执行文件创建进程时,Application Control 挂钩会拦截该进程并查询 Application Control 代理是否需要提升或受限的权限来运行该进程。
- 该代理会确认此配置分配的是提升的权限还是受限的权限,如有必要,还会从 Windows 本地安全机构 (LSA) 请求修改后的用户令牌。
- 该挂钩从 Windows LSA 接收修改后的用户令牌后,会授予必要的权限。否则该进程会根据普通用户权限的定义,使用现有的用户令牌来运行。
用户权限管理的优势
“用户权限管理”的主要优势是:
- 发现需要提升权限的用户应用程序 - 通过“权限发现模式”监视并生成需要管理权限的应用程序的报告。使用报告中列出的数据并创建“应用程序管理”配置。
-
提升正在运行的应用程序的用户权限 - 通过“用户权限管理”指定需要使用管理凭据运行的应用程序。用户没有管理凭据,但能够运行该应用程序。
-
提升正在运行的控制面板小程序的用户权限 - 许多漫游用户需要执行各种需要管理权限的任务。例如安装打印机、更改网络和防火墙设置、更改时间和日期以及添加和删除程序。所有这些任务都需要某些组件以管理员身份运行。使用“用户权限管理”提升单个组件的权限,以便非管理员的标准用户可以进行更改并履行其职责。
-
降低用户对应用程序的权限 - 默认情况下虽然用户有某些管理凭据,但一般强制用户以非管理员身份运行特定应用程序。通过以管理员身份运行某些应用程序(例如 Internet Explorer),用户能够更改许多不需要的设置以及安装应用程序,还可能将桌面连接到网络上。使用“用户权限管理”可限制管理员级别的用户在标准用户模式下运行类似于 Internet Explorer 的程序,从而保护桌面的安全。
-
降低权限以限制对系统设置的访问 - 通过“用户权限管理”,给更高级别的系统管理员分配相应的权限,使其能够阻止管理用户更改不应更改的设置,例如防火墙和某些服务。通过“用户权限管理”可以降低某些进程的管理权限。尽管用户能拥有管理权限,但系统管理员仍保留对环境的控制权。