在企業(yè)IT環(huán)境中如何高效地開展軟件管理,包括權(quán)限的控制,這是很多IT團(tuán)隊(duì)非常關(guān)心的話題。要想真正意義上做到“隨需應(yīng)變”的用戶權(quán)限體驗(yàn),企業(yè)IT需要新一代權(quán)限管理技術(shù)支持,實(shí)現(xiàn)精細(xì)化管理。
Ivanti應(yīng)用&權(quán)限管理(Application Manager)正是解決問題的“金鑰匙”。
在大量的IT管理日常實(shí)踐中,從管理員到用戶,下面這些場景想必并不鮮見:
普通用戶沒有權(quán)限安裝合規(guī)軟件
合規(guī)網(wǎng)頁控件無法安裝
管理員隨意安裝軟件
白名單龐大,企業(yè)軟件太多,設(shè)置管理無從下手
普通用戶無法運(yùn)行需要特權(quán)的軟件
Windows系統(tǒng)權(quán)限控制
軟件/綠色軟件無法有效控制權(quán)限
缺少用戶自助申請(qǐng)權(quán)限的手段
......
上述種種,不一而足。
當(dāng)我們安裝使用軟件時(shí),經(jīng)常會(huì)出現(xiàn)這樣的提示:
看到這個(gè)界面,大部分情況下用戶可能只有“求助”管理員這一個(gè)可選項(xiàng)。而問題的本質(zhì)其實(shí)是:誰來掌握用戶權(quán)限?
企業(yè)權(quán)限管理=權(quán)限管理(移除、提升或限制權(quán)限)+應(yīng)用控制(只允許受信任的應(yīng)用程序),以有針對(duì)性地運(yùn)行需要和受信任的內(nèi)容,并且以僅能少的特權(quán)運(yùn)行。
論及管理目標(biāo),收權(quán)or放權(quán),無論你是兩大管理流派中的哪一派,“安全”和“用戶滿意”都是殊途同歸的兩大根本目標(biāo)。
應(yīng)用控制和降權(quán)“事小”,有針對(duì)性地支持提權(quán)才是“真功夫”。
如何做到“一碗水端平”? Ivanti應(yīng)用+權(quán)限管理給出了答案,彌補(bǔ)了傳統(tǒng)AD管理中的一些弱項(xiàng):
基于用戶的權(quán)限模式
軟件安裝/卸載控制
應(yīng)用權(quán)限提權(quán)/降權(quán)
操作系統(tǒng)權(quán)限控制
應(yīng)用黑名單/白名單
網(wǎng)頁控件授權(quán)
用戶自助權(quán)限申請(qǐng)
Ivanti方法中有一個(gè)重要的概念----受信任的所有者(Trusted Ownership)。以軟件安裝授權(quán)為例,在Ivanti方案的框架下,即便本地管理員也不允許隨意安裝軟件,同時(shí)允許用戶安裝指定路徑下的軟件(支持本地/網(wǎng)絡(luò)路徑)。因?yàn)橹С中湃嗡姓?可以信任這個(gè)用戶所安裝或者復(fù)制的程序,我們只需要以這個(gè)信任者的名義給用戶復(fù)制或者安裝軟件,主機(jī)上的用戶就可以使用,這樣的設(shè)計(jì)改變了原來復(fù)雜的軟件配置,簡單的把對(duì)象變成了信任的所有者,降低了配置難度減少了配置步驟,是一個(gè)可以在企業(yè)廣泛推廣的新的技術(shù)標(biāo)準(zhǔn)。同時(shí),軟件授權(quán)管理還可支持按時(shí)間段控制,包括設(shè)置運(yùn)行實(shí)例個(gè)數(shù)等。
用戶在訪問網(wǎng)頁時(shí)可能需要申請(qǐng)插件/控件權(quán)限,這是另外一個(gè)典型的場景。比如財(cái)務(wù)人員在進(jìn)行網(wǎng)銀結(jié)算操作時(shí),瀏覽器需要安裝一個(gè)網(wǎng)頁插件,但當(dāng)前賬號(hào)不允許安裝,所以無法登陸,需要請(qǐng)管理員協(xié)助安裝,但是總不能每次都找管理員吧?使用Ivanti方案,管理員可在后臺(tái)這樣設(shè)置----當(dāng)某些用戶訪問特定網(wǎng)站時(shí),允許用戶提升權(quán)限來安裝網(wǎng)銀插件。當(dāng)然,提權(quán)僅限于經(jīng)授權(quán)的用戶和站點(diǎn),這就是所謂“以最少的特權(quán)運(yùn)行”。
同時(shí),Ivanti方案還允許用戶“自我提權(quán)”,對(duì)特權(quán)軟件提權(quán)(網(wǎng)銀、設(shè)計(jì)、財(cái)務(wù)等),并控制子進(jìn)程,無需通知管理員。
控制過程中,Ivanti方案提供豐富的策略應(yīng)用場景,觸發(fā)條件涵蓋時(shí)間、賬戶、位置等多個(gè)不同維度,甚至支持具體到個(gè)體用戶特定時(shí)間段的全部權(quán)限,過了授權(quán)時(shí)間段即恢復(fù)正常權(quán)限。
精確控制最終用戶權(quán)限、體驗(yàn)優(yōu)良的企業(yè)軟件部署方案、兼顧系統(tǒng)安全性和用戶需求、提升IT管理策略靈活性、提升IT滿意度......所有這些“亮閃閃”的收益,都是Ivanti權(quán)限管理能帶給你的無上價(jià)值。
作者:Ivanti大中華區(qū)首席架構(gòu)師 羅琦