在企業IT環境中如何高效地開展軟件管理,包括權限的控制,這是很多IT團隊非常關心的話題。要想真正意義上做到“隨需應變”的用戶權限體驗,企業IT需要新一代權限管理技術支持,實現精細化管理。
Ivanti應用&權限管理(Application Manager)正是解決問題的“金鑰匙”。
在大量的IT管理日常實踐中,從管理員到用戶,下面這些場景想必并不鮮見:
普通用戶沒有權限安裝合規軟件
合規網頁控件無法安裝
管理員隨意安裝軟件
白名單龐大,企業軟件太多,設置管理無從下手
普通用戶無法運行需要特權的軟件
Windows系統權限控制
軟件/綠色軟件無法有效控制權限
缺少用戶自助申請權限的手段
......
上述種種,不一而足。
當我們安裝使用軟件時,經常會出現這樣的提示:
看到這個界面,大部分情況下用戶可能只有“求助”管理員這一個可選項。而問題的本質其實是:誰來掌握用戶權限?
企業權限管理=權限管理(移除、提升或限制權限)+應用控制(只允許受信任的應用程序),以有針對性地運行需要和受信任的內容,并且以僅能少的特權運行。
論及管理目標,收權or放權,無論你是兩大管理流派中的哪一派,“安全”和“用戶滿意”都是殊途同歸的兩大根本目標。
應用控制和降權“事小”,有針對性地支持提權才是“真功夫”。
如何做到“一碗水端平”? Ivanti應用+權限管理給出了答案,彌補了傳統AD管理中的一些弱項:
基于用戶的權限模式
軟件安裝/卸載控制
應用權限提權/降權
操作系統權限控制
應用黑名單/白名單
網頁控件授權
用戶自助權限申請
Ivanti方法中有一個重要的概念----受信任的所有者(Trusted Ownership)。以軟件安裝授權為例,在Ivanti方案的框架下,即便本地管理員也不允許隨意安裝軟件,同時允許用戶安裝指定路徑下的軟件(支持本地/網絡路徑)。因為支持信任所有者,可以信任這個用戶所安裝或者復制的程序,我們只需要以這個信任者的名義給用戶復制或者安裝軟件,主機上的用戶就可以使用,這樣的設計改變了原來復雜的軟件配置,簡單的把對象變成了信任的所有者,降低了配置難度減少了配置步驟,是一個可以在企業廣泛推廣的新的技術標準。同時,軟件授權管理還可支持按時間段控制,包括設置運行實例個數等。
用戶在訪問網頁時可能需要申請插件/控件權限,這是另外一個典型的場景。比如財務人員在進行網銀結算操作時,瀏覽器需要安裝一個網頁插件,但當前賬號不允許安裝,所以無法登陸,需要請管理員協助安裝,但是總不能每次都找管理員吧?使用Ivanti方案,管理員可在后臺這樣設置----當某些用戶訪問特定網站時,允許用戶提升權限來安裝網銀插件。當然,提權僅限于經授權的用戶和站點,這就是所謂“以最少的特權運行”。
同時,Ivanti方案還允許用戶“自我提權”,對特權軟件提權(網銀、設計、財務等),并控制子進程,無需通知管理員。
控制過程中,Ivanti方案提供豐富的策略應用場景,觸發條件涵蓋時間、賬戶、位置等多個不同維度,甚至支持具體到個體用戶特定時間段的全部權限,過了授權時間段即恢復正常權限。
精確控制最終用戶權限、體驗優良的企業軟件部署方案、兼顧系統安全性和用戶需求、提升IT管理策略靈活性、提升IT滿意度......所有這些“亮閃閃”的收益,都是Ivanti權限管理能帶給你的無上價值。
作者:Ivanti大中華區首席架構師 羅琦