对于企业生产环境来说,在当今的安全环境下建立最小特权原则至关重要。同时,这种安全概念也带来了一定的复杂性。企业需要在安全性与生产力之间取得适当的平衡,以实现这一目标。通过对终端用户的权限进行管理能够确保企业在建立最小特权原则时不会遇到故障,同时也能够使用必需的功能。
以下两个方面是建立最小特权原则的关键:
·加强安全性
这意味着删除不必要的管理员权限,并将所有认证用户设置为标准用户。
·保持生产力
这提供了一种替代方法,允许标准用户在不提升其账户权限或影响管理许可的情况下执行普通任务。
为什么需要移除管理权限?
通过从计算机中移除不必要的账户来管理本地管理员权限可能是平衡系统安全的最佳方法。原因如下:
·针对用户的钓鱼网站与恶意邮件经常使终端用户在不经意间让自己的设备染上病毒。通过移除管理权限,可以降低系统被攻击的风险。因为这样用户就不再有安装大多数软件以及恶意程序的权限。
·来自外部的攻击可能通过某种方式获得本地管理员账户来访问终端,从而使整个系统遭受攻击。这可以通过移除不必要的特权账户来避免。
·级别较低的用户可能由于缺乏技术经验导致进行了错误的配置。错误的配置设置可能影响系统的正常功能运行,甚至可能使设备暴露在攻击的风险之下。移除管理权限是防止这种情况发生的有效方法。
·应用程序中的大多数漏洞都需要管理员权限才能被利用。相关研究表明,在没有管理权限账户下运行Windows可以减轻98%的关键漏洞对Windows系统造成影响。
ManageEngine卓豪提供的移除管理权限功能
在Endpoint Central中,终端特权管理功能能够让您集中移除所有您认为不必要的管理员账户,并在必要时仅提升用户对应用程序的特权。您可以免去使用多种第三方工具来构建最小特权原则的麻烦。下列步骤介绍了如何利用移除管理权限功能来消除系统被攻击的风险。
·发现用户
发现用户中的潜在风险至关重要。而在大量终端的环境中,管理员几乎不可能手动跟踪环境中创建的所有管理员账户。管理权限概览页面显示了与计算机对应的本地管理账户列表。单击用户数量可以显示有关账户的详细信息。
·分析用户
一旦我们获取到了有关用户权限的详细描述,系统管理员就要对他们进行分析,以确定他们的权限分配。最好将分配的权限控制在尽可能小的范围内。
·调整修复
为了尽量减少管理员在部署策略时可能发生的错误,修复分为以下两个部分:
·排除策略
可以在排除策略中从全局创建保留哪些管理账户的策略。这些账户将保留在他们存在的计算机中。系统管理员可以根据需要选择保留的账户。
·移除本地管理员
确定了排除策略后,系统管理员可以手动或自动删除剩余的不需要的用户。选择启用自动移除将立即从所选的计算机组中删除所有其他管理员账户。在管理权限概览页面中,可以选择要修改的计算机,并点击删除本地管理员。指定计算机中所有的本地管理员用户都将被删除,使用排除策略保留的用户除外。
删除所有不必要的本地管理账户后,系统管理员可以继续创建特权应用的列表。然后就可以将其与自定义组相关联,这些终端将允许选定的用户以管理员身份运行这些应用程序,即使他们只有标准用户的权限。