权限管理
在此部分:
关于权限管理
权限管理使企业 IT 部门能够降低每个用户、组、应用程序或业务规则的访问控制权限。 确保用户只拥有完成工作所需的权限,并只能访问所需应用程序和控件,而不能访问其他内容,从而确保桌面的稳定性,提高其安全性和用户生产力。
借助权限管理,可以通过按需管理用户权限响应用户的操作,从而动态管理对应用程序和任务的访问。 例如,通过将标准用户的权限提升到管理员级别,或将管理员的权限降低到标准用户级别,都可以让特定用户或用户组将管理员权限应用于指定的应用程序或“控制面板”组件。
权限管理允许您创建可重复使用的权限策略,可与规则集相关联,还可以提升或限制对特定操作系统中文件、文件夹、驱动器、文件哈希和支持的“控制面板组件”的访问权限。
通过权限管理可应用最小权限原则。 该原则只为用户提供完成工作的最小权限,而不会向用户授予完全管理员权限。 这对用户来说将会是无缝式体验。
需要管理权限的常见任务
为了履行其职责,用户可能需要执行许多需要管理权限的任务。 此时必须为用户提供允许执行这些任务的解决方案;否则用户将无法完成这些特定的任务。 这些任务可能包括:
- 安装打印机
- 安装某个硬件
- 安装特定的应用程序
- 操作需要管理权限的应用程序
- 更改系统时间
- 运行旧版应用程序
权限管理允许用户通过提升用户权限,令其拥有特定的管理权限来执行这些任务。
权限管理与运行方式
许多用户(尤其是知识工作者)会使用运行方式命令来运行应用程序。 用户可以用最小权限运行日常任务,也可以根据需要使用运行方式命令来提升其凭据的权限,从而在其他用户的上下文下执行任务。 但是这要求用户有两个帐户:一个用于最小权限,一个用于提升权限。
使用运行方式的常见问题是会让整个组织都知道管理员密码。 例如,管理员可能会将管理员密码传达给用户,使其能够通过运行方式命令来修复其计算机的问题。 但不幸的是,密码通常会被四处散播,进而导致意料之外的安全风险。
运行方式的另一个问题是软件如何与之实际交互。 运行方式能在不同用户的上下文中执行应用程序或进程。 因此,该应用程序或进程无法访问注册表中正确的 HKEY_CURRENT_USER 配置单元。
此配置单元是存储所有配置文件数据的地方,也是受保护空间。 因此,在不同用户的上下文下运行的应用程序或进程将无法读取或写入此配置单元,从而导致某些应用程序无法运行。 在不同用户的上下文中运行也可能导致读取和写入网络共享时出现问题。 因为网络共享是基于您运行的上下文中的帐户。 因此,您的本地帐户和运行方式帐户可能无法访问相同的资源。
运行方式和 UAC
某些操作系统具有允许用户在没有管理权限的情况下运行应用程序或进程的功能。 即运行方式命令和用户帐户控制 (UAC)。
虽然这些功能允许用户在没有管理权限的情况下运行,但仍然要求用户能够访问管理员帐户才能执行管理任务。 遗憾的是,这种限制意味着这些功能更适合于管理员。 这种限制使用户能够以标准用户身份登录,并只能使用管理员帐户执行管理任务。
由于用户必须提供本地管理员的凭据才能使用运行方式和 UAC,因此会产生许多问题。 例如:
- 可以访问管理员帐户的用户必须是可信的且不会滥用这些权限。
- 需要使用管理权限运行的应用程序却在不同用户的上下文中运行。 这可能会导致许多问题,例如这些特定应用程序无法访问实际用户的配置文件或网络共享,如“权限管理与运行方式” 部分所述。
- 需要两个密码。 一个用于标准帐户,另一个用于管理员帐户。 用户必须记住这两个密码。 确保一个帐户的安全性是具有挑战性的,确保两个帐户的安全性则更具挑战性。
技术
在 Microsoft Windows 计算环境中,作为启动应用程序过程的一部分,当发出执行请求时,应用程序会请求安全令牌来作为批准启动应用程序过程中的一部分。 此令牌详细说明了为应用程序所提供的权限,这些权限可用于与操作系统或其他应用程序进行交互。
当将“权限管理”配置为管理应用程序时,会动态修改所请求的安全令牌以提升或限制权限,从而允许运行或阻止应用程序。
- “用户权限管理”机制处理启动进程请求的过程如下所示:
- 在配置规则中定义“用户权限策略”,并将其应用于应用程序或组件。
- “应用程序”列表可包括文件、文件夹、签名或应用程序组。
- “组件”列表可包括“控制面板”组件。
- 当通过启动应用程序或其他可执行文件创建进程时,应用程序控制挂钩会拦截该进程并查询应用程序控制代理是否需要提升或受限的权限来运行该进程。
- 该代理会确认此配置分配的是提升的权限还是受限的权限,如有必要,还会从 Windows 本地安全机构 (LSA) 请求修改后的用户令牌。
- 该挂钩从 Windows LSA 接收修改后的用户令牌后,会授予必要的权限。 否则该进程会根据普通用户权限的定义,使用现有的用户令牌来运行。
权限管理的优势
“权限管理”的主要优势是:
- 提升正在运行的应用程序的用户权限 - 通过“权限管理”指定需要使用管理凭据运行的应用程序。 用户没有管理凭据,但能够运行该应用程序。
- 提升正在运行的控制面板小程序的用户权限 - 许多漫游用户需要执行各种需要管理权限的任务。 例如安装打印机、更改网络和防火墙设置、更改时间和日期以及添加和删除程序。 所有这些任务都需要某些组件以管理员身份运行。 使用“权限管理”提升单个组件的权限,以便非管理员的标准用户可以进行更改并履行其职责。
- 降低用户对应用程序的权限 - 默认情况下虽然用户有某些管理凭据,但一般强制用户以非管理员身份运行特定应用程序。 通过以管理员身份运行某些应用程序(例如 Internet Explorer),用户能够更改许多不需要的设置以及安装应用程序,还可能将桌面连接到网络上。 通过“权限管理”能够限制管理员级别的用户在标准用户模式下运行类似于 Internet Explorer 的程序,从而保护桌面的安全。
- 降低权限以限制对系统设置的访问 - 通过“权限管理”,给更高级别的系统管理员分配相应的权限,使其能够阻止管理用户更改不应更改的设置,例如防火墙和某些服务。 通过“权限管理”可以降低某些进程的管理权限。 尽管用户能拥有管理权限,但系统管理员仍保留对环境的控制权。