组织内的权限通常分为两个等级:标准用户和管理员。域管理员通常被赋予最高级别的特权,可以修改和获得对所有标准用户计算机的访问权限,而本地管理员可以完全访问特定终端及其中的数据。通常,管理员还具有专有特权,可以以提升的特权运行某些应用程序。
现在,假设标准用户需要运行仅在管理员模式下才能工作的应用程序。传统上,企业仅向该用户提供管理员凭证或提升该特定用户到整个组织级特权,但是,这不仅使他们可以访问该特定应用程序,而且还会授予该用户所有顶级特权。
在理想的无网络犯罪世界中,这是没问题的。但是,最近的研究表明,在2018年发生的所有安全漏洞中,高达34%的漏洞是由内部攻击造成的,这凸显了向任意标准用户授予管理员凭证的风险有多大。那么,管理员可以做点什么呢?ManageEngine Application Control Plus内置的终端特权管理解决方案从根本上解决了这一威胁。
终端特权管理是管理特权的过程,确保用户不会获得过高的权限。这样可以防止用户利用超出其职能的权限这种增加用户帐户特权的常见风险。由于80%的安全漏洞涉及特权凭证,因此终端特权管理对于安全防护至关重要。如果攻击者获得了一组特权凭证,他们将能够访问组织中存在的所有终端,从而轻松窃取数据或注入恶意软件。
Application Control Plus终端特权管理工具
使用Application Control Plus的终端特权管理功能,管理员可以允许所选自定义组的用户在从特权应用列表中运行应用程序时自助提升其特权。
在策略部署期间,可以将需要对应用程序进行特权访问的所有最终用户设备集中到“自定义组”中,并与“特权应用程序列表”相关联。
管理员还可以使用最高安全级别和自定义的应用程序白名单和黑名单。