使用者權限管理
在這個部分中:
關於使用者權限管理
許多使用者環境均設有嚴格限制,藉此管制使用者存取敏感資料及關鍵應用程式的權限。然而,使用者通常需要管理權限才能執行其職務。例如,眾多專屬系統、系統更新,以及允許為裝置 (如印表機) 安裝驅動程式、進行防毒掃描,以及其他類似工作的應用程式均需管理權限。因此通常使用者若不是擁有完整的管理權限,就是完全沒有管理權限。
應用程式控制 透過控制應用程式和網路存取,以及提供全面的使用者權限管理功能等方式來保護及防衛眾多企業的桌面。使用者權限管理可讓您建立可重複使用的使用者權限原則,它可以與任何規則相關聯並可針對檔案、資料夾、磁碟機、簽章、Windows 市集應用程式、應用程式群組,以及專用於作業系統的支援「控制台」元件來提高權限或限制存取。
使用者權限管理讓企業 IT 部門能根據每個使用者、群組、應用程式或商務規則基礎來減少存取控制權限。此工具能確保使用者僅具備完成工作及存取必要應用程式及控制項所需的權限,除此之外再無其他權限。這能夠確保桌面的穩定性並提高安全性及生產力。使用者生產力和安全性之間的完美平衡是透過以應用程式或個別工作層級控制使用者權限實現,而非以工作階段或帳戶層級進行。
有了使用者權限管理,便可透過隨需管理使用者權限的方式動態管理對應用程式及工作的存取,藉此回應使用者動作。例如,管理員權限可以套用至特定使用者或使用者群組的指定應用程式或控制台元件,方法是將標準使用者的權限提高至管理員層級,或是將管理員的權限降低至標準使用者帳戶的權限。
IT 人員可以控制使用者在整個工作階段期間的使用者權限,使他們有執行工作所需的存取權限,同時保護桌上型電腦和環境並減少管理成本。
使用者權限管理可依價值來指派權限,以更精細的方式將管理權限委派給使用者和應用程式。您可以根據環境中偏好使用的方式,視個別案例情況的不同部署控制層級以提高或限制權限。
使用者權限管理可讓您針對與任何可用之 應用程式控制 規則相關聯的可重覆使用原則建立程式庫,藉此將相關權限指派給檔案、資料夾、簽章和應用程式群組。使用者權限原則包括網域使用者群組成員資格,以及可套用至每個原則的管理權限範圍。
若有任何新應用程式衍生自具有管理權限的現有應用程式,則新的應用程式並不會自動接收相同權限。反而是由系統進行評估以決定是否要授予其管理權限。
最低權限
許多使用者都會使用管理權限執行他們的電腦。執行這些權限的使用者可能會引入病毒、惡意軟體和間諜軟體。這可能會影響整個企業並導致安全威脅和停機時間。存取私人資料也具有潛在風險。
使用者權限管理可讓您套用最低權限的準則。此準則要求授予使用者執行工作所需的最低權限,而非提供使用者完整的管理員權限。對使用者而言,在使用體驗上不會感受到任何影響。
如需最低權限的完整定義,請參閱 Department of Defense Trusted Computer System Evaluation Criteria (國防部可信任電腦系統評估準則,DOD-5200.28-STD),又稱《橘皮書》。此檔案位於 http://csrc.nist.gov/publications/history/dod85.pdf。
透過使用者權限管理,可大幅減少停機時間以及病毒等其他問題所造成的 IT 支援求助電話數量,因為使用者不再需要具有完整的管理權限而降低了發生問題的機率,也使電腦變得更為安全。這樣 IT 支援人員可更專注於更重要的工作,而不用耗費大量的時間進行電腦的疑難排解以找出問題。此外,授權也會變得更容易控制,例如,您可以限制使用者僅安裝已獲授權的應用程式。
需要管理權限的一般工作
使用者為了善盡其職責,可能必須執行一些需要管理權限的工作。您必須提供解決方案使這些工作得以完成,否則使用者可能要在未完成這些特定工作的情況下執行其職務。這些工作可包括:
- 安裝印表機
- 安裝某些硬體
- 安裝特定應用程式
- 操作需要管理權限的應用程式
- 變更系統時間
- 執行舊版應用程式
使用者權限管理可提高使用者的權限,以具備執行這些工作的特定管理權限。
使用者權限管理與執行身分
許多的使用者,尤其是知識工作者,都會使用執行身分指令來執行應用程式。使用者可以透過最低權限來執行他們的日常工作,不過也可以視需要使用執行身分指令來提高他們的認證權限,以於不同的使用者環境中執行工作。不過,在此情況中,使用者會需要兩種帳戶: 一種具備最低權限,一種則具備提高的權限。
使用執行身分所經常遇到的問題是,全公司的人可能都有機會取得這組管理密碼。例如,管理員可能會告知使用者管理密碼,使他們能夠使用執行身分指令來修復電腦的問題。但遺憾的是,密碼可能會因此而外洩並導致無法預期的安全性風險。
執行身分所可能產生的另一個問題就是軟體與其實際互動的方式。執行身分會在不同的使用者環境中執行應用程式或處理序。因此,該應用程式或處理序將無法在登錄中存取正確的 HKEY_CURRENT_USER 登錄區。
此登錄區是用來儲存所有設定檔資料的位置,也是受保護的空間。因此,在不同使用者環境中執行的應用程式或處理序將無法讀取或寫入此來源,因而造成一些應用程式無法正常運作。若在不同使用者環境中執行,也可能會在讀取及寫入網路共用時發生問題。這是因為網路共用會以目前執行之環境中的帳戶為基礎。因此您的本機帳戶與執行身分帳戶對於資源的存取權限可能會有所不同。
執行身分和 UAC
某些作業系統,例如 Windows 7 和 Windows 8 的功能可讓使用者不需要管理權限就能執行應用程式或處理序。這些便是執行身分指令和使用者帳戶控制 (UAC)。
這些功能也適用於 Server 2008 和 2012 版本。
雖然這些功能確實能讓使用者不需要管理權限就可執行,但使用者仍需要存取管理員帳戶才能執行管理工作。但遺憾的是,此限制意味著這些功能更適用於管理員。其能讓使用者以標準使用者身分登入,並使用管理員帳戶以僅執行管理工作。
由於使用者必須為本機管理員提供認證以使用執行身分和 UAC,這將會產生一些疑慮。例如:
- 可存取管理員帳戶的使用者必須獲信任,不會濫用這些權限。
- 以管理權限執行的應用程式現在會在不同的使用者環境中執行。這可能會造成一些問題,舉例來說,這些特殊應用程式將無法存取實際使用者的設定檔或網路共用,如「使用者權限管理與執行身分」一節所述。
- 需要兩組密碼。一組供標準帳戶使用,一組則供管理員帳戶使用。使用者必須牢記這兩組密碼。單一帳戶所需的安全性面臨相當大的挑戰,兩個帳戶的情況則更為艱困。
技術
在 Microsoft Windows 運算環境中,做為應用程式啟動程序的一部分,當提出執行要求時,應用程式會要求安全性權杖以進行整個應用程式啟動核准程序。此權杖會詳細說明提供給應用程式的權限和許可權,這些權限可用來與作業系統或其他應用程式進行互動。
若「使用者權限管理」已設定為管理應用程式,系統會大幅修改所要求的安全性權杖來提高或限制其權限,以決定要執行還是封鎖該應用程式。
- 「使用者權限管理」機制會如下控制處理序啟動要求:
- 在組態規則中定義「使用者權限原則」並套用至應用程式或元件。
- 「應用程式」清單可包含檔案、資料夾、簽章或應用程式群組。
- 「元件」清單可包含「控制台」元件。
- 若處理序是透過應用程式啟動或其他可執行檔案所建立,應用程式控制 掛勾會攔截處理序並詢問 應用程式控制 代理程式需要提高還是限制權限以執行處理序。
- 代理程式會確認組態是指派提高還是限制的權限,如有需要,代理程式也會向 Windows 本機安全性授權 (LSA) 要求修改使用者權杖。
- 掛勾會從授予必要權限的 Windows LSA 接收修改的使用者權杖。否則處理序會根據一般使用者權限的定義,執行現有的使用者權杖。
使用者權限管理的效益
「使用者權限管理」的主要優點為:
- 搜尋需要提高權限的使用者應用程式- 使用「權限搜尋模式」來監控並產生有關需要管理權限之應用程式的報告。使用列於報告的資料來建立「應用程式管理」組態。
-
提高執行應用程式的使用者權限 - 使用「使用者權限管理」來指定要使用管理認證執行的應用程式。使用者沒有管理認證但能執行應用程式。
-
提高執行控制台小程式的使用者權限 - 許多漫遊使用者需要執行多種需要管理權限的工作。例如,安裝印表機、變更網路及防火牆設定、變更時間和日期,以及新增和移除程式。以上這些工作均需要以管理員身分執行某些元件。使用「使用者權限管理」來提高個別元件的權限,這樣非管理標準使用者便能進行變更以執行其職務。
-
降低權限以限制應用程式權限- 依預設,使用者具有某些管理認證,但會被強制以非管理員身分執行特定應用程式。透過以管理員身分執行某些應用程式 (如 Internet Explorer) 的方式,能讓使用者有權變更許多不良設定、安裝應用程式,以及有可能讓桌面連線至網際網路。 使用「使用者權限管理」,可限制管理員層級使用者的執行權限,例如,將其限制在標準使用者模式下使用 Internet Explorer,藉此保護桌面安全。
-
降低權限以限制對系統設定的存取 - 使用「使用者權限管理」能讓更高層級的系統管理員阻止具備管理權限的使用者更改其不應變更的設定,例如: 防火牆和某些服務。使用「使用者權限管理」來降低某些處理序的管理權限。雖然使用者具有管理權限,但系統管理員仍保留環境的控制權。