權限管理

在這個部分中:

关于权限管理

權限管理讓企業 IT 部門能根據每個使用者、群組、應用程式或商務規則基礎來減少存取控制權限。 其能確保使用者僅具備完成工作及存取必要應用程式及控制項所需的權限,除此之外再無其他權限,藉此確保桌上型電腦的穩定性並提高安全性及生產力。

有了權限管理,便可透過隨需管理使用者權限的方式動態管理對應用程式及工作的存取,藉此回應使用者動作。 例如,通过将标准用户的权限提升到管理员级别,或将管理员的权限降低到标准用户级别,都可以让特定用户或用户组将管理员权限应用于指定的应用程序或“控制面板”组件。

權限管理可讓您建立可重複使用的權限管理原則,它可以與規則集相關聯並可針對檔案、資料夾、磁碟機、檔案雜湊,以及專用於作業系統的支援「控制台」元件來提高權限或限制存取。

權限管理可讓您套用最低權限的準則。 该原则只为用户提供完成工作的最小权限,而不会向用户授予完全管理员权限。 这对用户来说将会是无缝式体验。

需要管理权限的常见任务

使用者為了善盡其職責,可能必須執行一些需要管理權限的工作。 您必須提供解決方案使這些工作得以完成,否則使用者可能要在未完成這些特定工作的情況下執行其職務。 这些任务可能包括:

  • 安装打印机
  • 安装某个硬件
  • 安装特定的应用程序
  • 操作需要管理权限的应用程序
  • 更改系统时间
  • 运行旧版应用程序

權限管理可提高使用者的權限,以具備執行這些工作的特定管理權限。

權限管理與執行身分

許多的使用者,尤其是知識工作者,都會使用執行身分指令來執行應用程式。 使用者可以透過最低權限來執行他們的日常工作,不過也可以視需要使用執行身分指令來提高他們的認證權限,以於不同的使用者環境中執行工作。 但是这要求用户有两个帐户:一个用于最小权限,一个用于提升权限。

使用執行身分所經常遇到的問題是,全公司的人可能都有機會取得這組管理密碼。 例如,管理員可能會將管理員密碼告知使用者,使他們能夠使用執行身分指令來修復電腦的問題。 但不幸的是,密码通常会被四处散播,进而导致意料之外的安全风险。

執行身分所可能產生的另一個問題就是軟體與其實際互動的方式。 執行身分會在不同的使用者環境中執行應用程式或處理序。 因此,该应用程序或进程无法访问注册表中正确的 HKEY_CURRENT_USER 配置单元。

此配置单元是存储所有配置文件数据的地方,也是受保护空间。 因此,在不同用户的上下文下运行的应用程序或进程将无法读取或写入此配置单元,从而导致某些应用程序无法运行。 在不同用户的上下文中运行也可能导致读取和写入网络共享时出现问题。 因为网络共享是基于您运行的上下文中的帐户。 因此您的本機帳戶與執行身分帳戶對於資源的存取權限可能會有所不同。

运行方式和 UAC

某些作業系統的功能可讓使用者不需要管理權限,就能執行應用程式或處理序。 這些便是執行身分指令和使用者帳戶控制 (UAC)。

虽然这些功能允许用户在没有管理权限的情况下运行,但仍然要求用户能够访问管理员帐户才能执行管理任务。 遗憾的是,这种限制意味着这些功能更适合于管理员。 其能讓使用者以標準使用者身分登入,並使用管理員帳戶以僅執行管理工作。

由於使用者必須為本機管理員提供認證以使用執行身分和 UAC,這將會產生一些疑慮。 例如:

  • 可以访问管理员帐户的用户必须是可信的且不会滥用这些权限。
  • 需要使用管理权限运行的应用程序却在不同用户的上下文中运行。 這可能會造成一些問題,舉例來說,這些特殊應用程式將無法存取實際使用者的設定檔或網路共用,如「權限管理與 執行身分」一節所述。
  • 需要两个密码。 一个用于标准帐户,另一个用于管理员帐户。 用户必须记住这两个密码。 确保一个帐户的安全性是具有挑战性的,确保两个帐户的安全性则更具挑战性。

技術

在 Microsoft Windows 计算环境中,作为启动应用程序过程的一部分,当发出执行请求时,应用程序会请求安全令牌来作为批准启动应用程序过程中的一部分。 此令牌详细说明了为应用程序所提供的权限,这些权限可用于与操作系统或其他应用程序进行交互。

若權限管理已設定為管理應用程式,系統會大幅修改所要求的安全性權杖來提高或限制其權限,以決定要執行還是封鎖該應用程式。

  1. “用户权限管理”机制处理启动进程请求的过程如下所示:
    • 在配置规则中定义“用户权限策略”,并将其应用于应用程序或组件。
    • “应用程序”列表可包括文件、文件夹、签名或应用程序组。
  2. “组件”列表可包括“控制面板”组件。
  3. 若處理序是透過應用程式啟動或其他可執行檔案而建立,應用程式控制項掛勾會攔截處理序並詢問應用程式控制項代理程式,是需要提高還是受限權限以執行處理序。
  4. 该代理会确认此配置分配的是提升的权限还是受限的权限,如有必要,还会从 Windows 本地安全机构 (LSA) 请求修改后的用户令牌。
  5. 该挂钩从 Windows LSA 接收修改后的用户令牌后,会授予必要的权限。 否则该进程会根据普通用户权限的定义,使用现有的用户令牌来运行。

權限管理的優點

權限管理的主要優點為:

  • 提高執行應用程式的使用者權限 - 使用權限管理來指定要使用管理認證執行的應用程式。 使用者沒有管理認證但能執行應用程式。
  • 提升正在运行的控制面板小程序的用户权限 - 许多漫游用户需要执行各种需要管理权限的任务。 例如安装打印机、更改网络和防火墙设置、更改时间和日期以及添加和删除程序。 所有这些任务都需要某些组件以管理员身份运行。 使用權限管理來提高個別元件的權限,這樣非管理標準使用者便能進行變更以執行其職務。
  • 降低用户对应用程序的权限 - 默认情况下虽然用户有某些管理凭据,但一般强制用户以非管理员身份运行特定应用程序。 通过以管理员身份运行某些应用程序(例如 Internet Explorer),用户能够更改许多不需要的设置以及安装应用程序,还可能将桌面连接到网络上。 使用權限管理可限制管理員層級使用者的執行權限,例如,將其限制在標準使用者模式下使用 Internet Explorer,藉此保護桌面安全。
  • 降低權限以限制對系統設定的存取 - 使用權限管理能讓更高層級的系統管理員阻止管理使用者更改其不應變更的設定,例如: 防火牆和某些服務。使用權限管理來降低某些處理序的管理權限。 尽管用户能拥有管理权限,但系统管理员仍保留对环境的控制权。

相關主題

組態設定權限管理

規則集權限管理

規則集合