Управление привилегиями

В этом разделе:

Об управлении привилегиями

Функция управления привилегиями позволяет ИТ-подразделениям сокращать привилегии управления доступом для каждого пользователя, группы, приложения или бизнес-правила. Она гарантирует предоставление пользователям только прав, которые им необходимы для выполнения работы и доступа к нужным приложениям и элементам управления, и ничего более, таким образом, обеспечивая работу настольных ПК, а также повышая безопасность и производительность.

С использованием функции управления привилегиями доступ к приложениям и задачам динамически управляется с помощью управления привилегиями пользователей по требованию в ответ на действия пользователя. Например, привилегии администратора могут применяться к указанному приложению или компоненту Панели управления для конкретного пользователя или группы пользователей посредством повышения привилегий стандартного пользователя до уровня администратора или понижения привилегий администратора до уровня стандартного пользователя.

Управление привилегиями позволяет вам создавать повторно используемые политики управления привилегиями, которые могут быть ассоциированы с наборами правил и могут повышать или ограничивать доступ к файлам, папкам, дискам, хэшам файлов и поддерживаемым компонентам Панели управления, которые специфичны для операционной системы.

Функция управления привилегиями позволяет вам использовать принцип назначения наименьших привилегий. Этот принцип требует наличия у пользователей минимума привилегий для выполнения их работы без предоставления полных административных привилегий. Опыт - это важный фактор для пользователя.

Общие задачи, для которых необходимы административные привилегии

Для использования своих ролей пользователям может потребоваться выполнять ряд задач, требующих административных привилегий. Необходимо создать решение для выполнения этих задач, иначе пользователю придется реализовывать свои функции без их использования. К этим задачам относятся:

  • Установка принтеров
  • Установка конкретных аппаратных средств
  • Установка конкретных приложений
  • Операционные приложения, требующие административных привилегий
  • Изменение системного времени
  • Выполнение устаревших приложений

Функция управления привилегиями позволяет пользователю выполнять следующие задачи, давая пользователю определенные административные привилегии.

Функции "Управление привилегиями" и "Выполнить от имени"

Многие пользователи, в частности, сотрудники подразделения обслуживания базы знаний, используют команду "Выполнить от имени" для запуска приложений. Пользователи могут выполнять свои повседневные задачи с меньшими привилегиями, но также могут, если необходимо, использовать команду "Выполнить от имени" для повышения доверия своих учетных данных, выполняя задачи в контексте другого пользователя. Это, однако, требует, чтобы у пользователя было две учетные записи: одна с меньшими привилегиями и одна с повышенными.

Общая проблема во время работы функции "Выполнить от имени" позволяет раскрыть пароль администратора для всех в организации. Например, администратор может передать свой пароль пользователю, чтобы позволить тому использовать команду "Выполнить от имени" для исправления проблемы его компьютера. К сожалению, пароль обычно передается между сотрудниками, вызывая непредвиденные угрозы безопасности.

Дополнительная проблема функции "Выполнить от имени" относится к тому, как программное обеспечение фактически взаимодействует с ней. Функция выполнения от имени запускает приложение или процесс в контексте другого пользователя. Следовательно, это приложение или процесс не имеет доступа к корректному кусту реестра, HKEY_CURRENT_USER.

В этом кусте хранятся все данные профиля, и это защищенное пространство. Поэтому приложение или процесс, работающий в контексте другого пользователя, не может читать или записывать в этом источнике, вызывая ошибки в работе некоторых приложений. Запуск в контексте другого пользователя также может вызвать проблемы с чтением и записью на общем сетевом ресурсе. Это возможно потому, что сетевые ресурсы основаны на данных учетной записи в используемом вами контексте. Таким образом, ваша локальная учетная запись и учетная запись "выполнения от имени" могут не иметь одинакового доступа к ресурсам.

функции "Выполнить от имени" и "Управление учетными записями"

Некоторые операционные системы имеют функции, которые позволяют пользователю запускать приложения или процессы без административных привилегий. Это функции "Выполнить от имени" и "Управление учетными записями".

Хотя эти функции позволяют пользователям работать без административных привилегий, для их работы пользователю по-прежнему необходим доступ к учетной записи администратора для выполнения административных задач. К сожалению, это ограничение означает, что эти функции больше подходят для администраторов. Это позволяет им выполнять вход в качестве обычных пользователей и использовать учетную запись администратора только для выполнения административных задач.

Так как пользователь должен ввести учетные данные локального администратора для использования приложений "Выполнить от имени" и "Управление учетными записями", это создает ряд проблем. Пример:

  • Пользователь, имеющий доступ к административной учетной записи, должен иметь доверие и не злоупотреблять этими привилегиями.
  • Приложения, работающие с административными привилегиями, теперь выполняются в контексте различных пользователей. Это может вызвать проблемы, например, эти конкретные приложения не имеют доступа к профилю пользователя или общим сетевым ресурсам, как указано в функции управления привилегиями. Раздел "Выполнить от имени".
  • Необходимо использовать два пароля. Один - для стандартной учетной записи, а другой - для учетной записи администратора. Пользователь должен помнить оба. Обеспечение безопасности, требуемой для одной учетной записи, является сложной задачей, и еще сложнее для двух.

Технология

В вычислительной среде Microsoft Windows, как части процесса запуска приложений, после выдачи запроса на выполнение приложение запрашивает маркер безопасности или часть процесса разрешения запуска приложения. В этом маркере подробно представлены права и разрешения, назначаемые приложению, и эти права можно использовать для взаимодействия с операционной системой или другими приложениями.

Когда функция управления привилегиями сконфигурирована для управления приложением, запрошенный маркер безопасности динамически изменяется, чтобы иметь повышенные или ограниченные разрешения, что позволяет запускать или блокировать приложение.

  1. Механизм управления правами пользователей обрабатывает запросы запуска процесса:
    • Политика прав пользователей определяется в правиле конфигурации и применяется для приложений и компонентов.
    • В список приложений могут входить файлы, папки, подписи или группы приложений.
  2. В список компонентов могут входить компоненты Панели управления.
  3. Когда процесс создается с помощью запуска приложения или другого исполняемого файла, привязка Application Control перехватывает процесс и запрашивает агента Application Control о том, требуются ли повышение или ограничение прав для запуска процесса.
  4. Агент подтверждает, была ли конфигурация назначена с повышением или ограничением прав и, если необходимо, агент запрашивает измененный маркер пользователя из локального центра безопасности Windows (LSA).
  5. Привязка получает из Windows LSA измененный пользовательский маркер, предоставляя необходимые привилегии. Иначе процесс выполняется с существующим маркером пользователя в соответствии с определениями прав обычного пользователя.

Преимущества управления привилегиями

Основные преимущества управления привилегиями:

  • Повышение привилегий пользователя для работающих приложений - использование функции управления привилегиями для указания приложений, выполняемых с учетными данными администратора. Пользователь не имеет административных учетных данных, но может запускать приложение.
  • Повышение привилегий пользователя для работающих апплетов Панели управления - многие пользователи, использующие роуминг, нуждаются в выполнении различных задач, для которых требуются административные привилегии. Например, для установки принтеров, изменения настроек сети и брандмауэра, изменения времени и даты, а также для добавления и удаления программ. Для запуска всех этих задач от имени администратора необходимы определенные компоненты. Используйте управление привилегиями для повышения прав отдельных компонентов, чтобы обычные пользователи без прав администратора могли делать изменения для выполнения своей работы.
  • Сокращение привилегий для ограничения привилегий приложений - по умолчанию пользователи имеют некоторые административные учетные данные, но вынуждены запускать определенные приложения без прав администратора. Запуская определенные приложения как администратор, например, Internet Explorer, пользователь может изменить много нежелательных настроек, устанавливать приложения и, возможно, открыть рабочий стол для доступа из Интернета. Используйте управление привилегиями для запрета пользователям уровня запуска администратора, например, Internet Explorer в стандартном пользовательском режиме для обеспечения безопасности рабочих столов.
  • Сокращение привилегий для ограничения доступа к системным настройкам - используйте функцию управления привилегиями, чтобы дать системному администратору более высокий уровень запрета административным пользователям изменять настройки, например, параметров брандмауэра и определенных служб. Используйте функцию "Управление привилегиями" для сокращения административных привилегий для определенных процессов. Хотя пользователь имеет административные привилегии, системный администратор сохраняет контроль над всем окружением.

Родственные темы

Настройки конфигурации управления привилегиями

Набор правил управления привилегиями

Коллекции правил