对于企业来讲,员工一次不经意的下载安装,可能会让整个公司看似完备的安全策略功亏一篑。正是在这样的背景下,端点权限管理已成为企业越来越关注的话题。

近日,知名市场研究机构 Gartner 在其发表的《用端点权限管理,降低Windows本地管理员的访问权限》报告中指出,“降低对本地管理员的访问权限是加强Windows安全最有效的措施之一,但兼顾本地的访问权限管理和用户体验却是许多公司都未能处理好的一个难题,一刀切的禁止措施,会让用户体验急剧下降。而端点权限管理 (Endpoint Privilege Management,简称EPM)技术,则为这一难题提供了最佳解决方案。这项技术也是Ivanti所关注和擅长的。

 

为什么要尽量降低本地管理员的访问权限?Gartner 在《用端点权限管理,降低Windows本地管理员的访问权限》报告中指出,“很多安全风险与本地管理员权限息息相关。倘若本地管理员访问被滥用或误用,就会导致安全削弱、数据丢失、支持成本高昂和用户体验糟糕等问题,如恶意软件的执行和传播。而据Avecto开展的《2016年微软安全漏洞调查:通过取消用户权限来缓解风险》显示,如果取消管理员权限,就可以缓解94%的微软重大安全漏洞。”

但是,完全取消本地管理员权限显然行不通,不仅会严重影响用户体验 (行为习惯大受限制),还会给IT管理员增加负担。那么,如何才能兼顾本地的访问权限管理和用户体验呢? EPM技术就致力于解决这一问题,其理念是将应用程序控制和本地的访问权限管理相结合,确保只有可信赖的应用程序才能运行,并在最小权限的情况下运行。借助EPM技术,企业就可能实现对本地管理员的访问权限进行限制或阻止,同时确保减小对最终用户的影响。

作为Ivanti安全专家,我认为其实现在一些公司对待EPM技术的态度比较复杂:做的话担心权限管理控制太严,用户不满意,同时也给IT管理员增加了工作量,用户的任何一个装驱动、卸载输入法等小需求也都要去找管理员;不做的话又担心安全风险太大。出于安全以及实现方面的考虑,目前大部分EPM产品提供商都偏重于降权,即严格控制权限,这是比较容易实现的,但对用户体验肯定会有影响。由于权限被严格控制,很多行为习惯都要被迫改变,原来能上网可能现在不能上了,原来能自己安装软件,现在都要求助于IT管理员。

而Ivanti针对EPM功能的产品Application Manager,则有一个前瞻性的设计——不但能够降权,还会帮用户考虑在某些情况下提升权限。比如某个员工因为工作需求,需要在特定情况下使用某个应用程序,这时管理员便可以给该员工提升权限,让员工可以自主安装这一应用程序,而不是一刀切。这种设计便于企业细粒度控制,也能很好地提升用户体验。