端点本质上是充当用户访问公司网络及其资产的入口点的任何设备。从 IT 安全的角度来看,每个端点都被视为潜在的网络安全漏洞。组织倾向于将本地管理员权限分配给公司范围内的员工,以减少 IT 管理员的工作量并提高工作效率。
本地管理员权限本质上是终结点的密钥,这赋予最终用户运行任何类型的应用程序或在其设备上安装任何软件的完全权限,这反过来又使整个组织的机密数据面临风险。最重要的是,分散的管理员访问还导致后台运行的进程和应用程序的可见性较差,使IT安全团队在滥用权限时无法采取适当的补救措施。
另一方面,从端点中删除本地管理员权限会增加员工对 IT 团队的依赖,因为员工会进行日常活动,从而增加 IT 管理员的工作量,并对整体生产力产生负面影响。
例如,使用Microsoft Visual Studio的Windows开发人员需要管理员权限才能有效地执行其工作,从其设备中删除管理员权限意味着他们必须依靠 IT 来安装与开发相关的扩展、驱动程序和执行日常任务所需的其他资源。删除管理员权限还会严重影响需要访问各种系统任务、流程和应用程序的用户,需要 IT 干预才能成功完成所有此类活动。
什么是权限管理
端点权限管理是一种网络安全方法,专注于为组织中的所有用户设备提供有效的免疫防御,这些设备通常充当攻击者访问公司敏感资产的入口点,在当前远程工作时代,在设备级别限制和管理用户和应用程序权限变得更加重要,因为传统的网络边界被打破,边界由用户身份和数据流定义。
Gartner分析师将端点权限管理定义为:端点权限管理(EPM)技术结合了应用程序控制和用户权限管理,以确保只有受信任的应用程序才能运行,并且它们以尽可能低的权限运行。借助 EPM,组织可以删除本地管理员访问权限,而对最终用户的影响最小。
换句话说,终结点权限管理是通过删除终结点上的本地管理员权限并强制实施用户和应用程序权限的最小权限原则来降低权限滥用风险的过程。这将创建一个环境,在该环境中,用户仅获得访问特定受信任应用程序所需的权限,并在执行任务所需的指定时间内使用。IT 团队通过按需特权提升和精细的应用程序控制来实施此控制。
在应用程序和进程级别而不是在用户级别解决特权提供了更量身定制的控制,并且撤销本地管理员权限后,用户将无法安装、访问和运行应用程序,除非应用程序用于其角色。通过采用正确的策略和解决方案,公司可以确保生产力不会因访问限制而受到阻碍,而无需向用户提供本地管理员权限或过多的权限。
有效 Windows 权限管理的步骤
现在已经了解了端点权限管理以及企业为什么需要它,让我们深入研究组织如何为其 Windows 生态系统部署端点权限管理。下面列出了组织可以遵循的一些快速步骤,以设计和整合跨其 Windows 系统的有效权限管理:
- 发现并创建终端节点清单
- 跨终结点删除本地管理员权限
- 分配精细的应用程序控制
- 采用策略驱动的方法来强制实施最小特权
- 授予实时 (JIT) 管理员访问权限
- 管理非域终结点
- 权限监控
- 风险检测和分析
发现并创建终端节点清单
强制实施 Windows 权限管理的第一步是发现并隔离网络中需要最低权限强制实施的终结点。创建设备清单后,创建用户特权提升策略并在必要的终结点上强制实施应用程序控制要容易得多。
跨终结点删除本地管理员权限
本地管理员帐户是非个人帐户,提供对相应本地主机的管理访问权限。滥用管理权限是网络犯罪分子用来访问网络中关键任务系统的一种流行技术。删除端点上的本地管理员权限并将其替换为标准用户帐户会剥夺用户安装和运行影响其本地计算机安全性的应用程序的权限,从而减少攻击者渗透网络的机会。
分配精细的应用程序控制
创建终端节点清单并删除本地管理员权限后,识别并隔离生态系统中需要管理员权限的应用程序。为单个应用程序分配精细权限,包括完全管理员权限。使用基于信任的应用程序白名单阻止对未经授权的应用程序(尤其是恶意应用程序)的访问。按需提升列入白名单的应用程序允许标准用户在需要时访问应用程序,而无需管理员凭据。
采用策略驱动的方法来强制实施最小特权
通过定义应用程序控制策略来集中实施最低权限。创建精细策略以定义用户在什么情况下可以执行的操作。策略可帮助您根据上下文评估对特定应用程序的访问请求,并相应地提升应用程序。这样,您可以确保跨应用程序的最小权限访问,而不会对员工的工作效率产生负面影响。
授予实时(JIT)管理员访问权限
对于绝对需要管理员权限才能运行的应用程序,请通过提升标准用户在特定终结点或整个域上的权限来向标准用户授予有时间限制的临时管理员访问权限。这可以通过将用户添加到设备的本地组和/或选定的 AD 安全组来完成。
实时(JIT)特权访问可以按需授予,也可以通过策略自动授予。通过合并适当的会话监视和影子控制,全面审核以提升的访问权限运行的会话。这有助于标准用户在完全监督下,只需在所需的时间内无缝访问应用程序和流程,而无需管理员凭据。
管理非域终结点
除了控制用户对公司网络中应用程序的访问外,最小特权原则还需要应用于第三方用户设备,例如合作伙伴、供应商和承包商设备,以便于访问敏感的公司数据。这可以通过在设备上部署代理来完成。代理可帮助管理员以与企业域中映射的权限相同的灵巧性和精度监视和控制权限。有效管理非域终结点对于防止累积不必要的权限和阻止未经授权的访问至关重要。
权限监控
通过集中式工具持续监控和审核所有托管端点上的可执行事件,以便可以从单个控制台搜索、查看和分析日志,以实现更好的关联。统一报告仪表板对于一目了然地了解终结点、重要活动日志和数据的状态特别有用,可以进一步向下钻取以获取更多信息。此外,需要持续跟踪来自非域终结点的代理活动,以检测任何异常用户活动。
风险检测和分析
结合 ML 和 AI 驱动的行为分析来检测用户活动中的异常,以掌握权限提升攻击,每次提升权限时,计算威胁分数并将其分配给单个用户,以便跟踪潜在的恶意用户并快速采取适当的补救措施。
PAM360 企业 PAM 解决方案,可帮助 IT 团队控制其特权访问例程。