Ivanti从EPM到UWM，管理员权限管理可升可降

不明所以的用户一个想当然的点击，就会轻易中招。而对于企业来讲，员工一次不经意的下载安装，可能会让整个公司看似完备的安全策略功亏一篑。正是在这样的背景下，端点权限管理已成为企业越来越关注的话题。诚然，当普通员工不再拥有随意安装程序的权限时，那企业的IT系统自然能够避过很多危险。

近日，知名市场研究机构 Gartner 在其发表的《用端点权限管理，降低Windows本地管理员的访问权限》报告中指出，“降低对本地管理员的访问权限是加强Windows安全最有效的措施之一，但兼顾本地的访问权限管理和用户体验却是许多公司都未能处理好的一个难题，一刀切的禁止措施，会让用户体验急剧下降。而端点权限管理(Endpoint Privilege Management，简称EPM)技术，则为这一难题提供了最佳解决方案。这项技术也是Ivanti所关注和擅长的。

权限管理的升降同样重要，切勿一刀切

为什么要尽量降低本地管理员的访问权限?Gartner 在《用端点权限管理，降低Windows本地管理员的访问权限》报告中指出，“很多安全风险与本地管理员权限息息相关。倘若本地管理员访问被滥用或误用，就会导致安全削弱、数据丢失、支持成本高昂和用户体验糟糕等问题，如恶意软件的执行和传播。而据Avecto开展的《2016年微软安全漏洞调查：通过取消用户权限来缓解风险》显示，如果取消管理员权限，就可以缓解94%的微软重大安全漏洞。”

但是，完全取消本地管理员权限显然行不通，不仅会严重影响用户体验 (行为习惯大受限制)，还会给IT管理员增加负担。那么，如何才能兼顾本地的访问权限管理和用户体验呢? EPM技术就致力于解决这一问题，其理念是将应用程序控制和本地的访问权限管理相结合，确保只有可信赖的应用程序才能运行，并在最小权限的情况下运行。借助EPM技术，企业就可能实现对本地管理员的访问权限进行限制或阻止，同时确保减小对最终用户的影响。

“其实现在一些公司对待EPM技术的态度比较复杂：做的话担心权限管理控制太严，用户不满意，同时也给IT管理员增加了工作量，用户的任何一个装驱动、卸载输入法等小需求也都要去找管理员;不做的话又担心安全风险太大。”Ivanti安全专家罗琦坦言，出于安全以及实现方面的考虑，目前大部分EPM产品提供商都偏重于降权，即严格控制权限，这是比较容易实现的，但对用户体验肯定会有影响。由于权限被严格控制，很多行为习惯都要被迫改变，原来能上网可能现在不能上了，原来能自己安装软件，现在都要求助于IT管理员。

而Ivanti针对EPM功能的产品Application Manager，则有一个前瞻性的设计——不但能够降权，还会帮用户考虑在某些情况下提升权限。比如某个员工因为工作需求，需要在特定情况下使用某个应用程序，这时管理员便可以给该员工提升权限，让员工可以自主安装这一应用程序，而不是一刀切。这种设计便于企业细粒度控制，也能很好地提升用户体验。

脱离“域”架构，权限管理更自如

Ivanti是如何做到权限升降的自如结合呢?罗琦指出，最大的秘诀在于Application Manager在架构上并不像传统的一些解决方案必须依赖于微软的“域”，而是单独开展服务。“加域其实是限制了你的功能，你很难去做策略的提升。而没有域的限制，不仅有利于企业全局的管控，对用户来讲也是很大的一个扩展。”

“我们把Windows策略研究得非常细、非常透，它有哪些功能，每一个字段、每一个服务的位置，我们都很清楚，然后用我们自己的代码去控制激活这个功能所需要的权限。我们可以把权限的帐号和密码预先输入在某一个位置下，当这个员工是相应的用户时，他就可以用管理员去执行起这个任务了。”罗琦解释，简单来说Application Manager就是把一些权限细化到每一条操作里面去了，特定用户在进行某些操作时是可以享有管理员权限的。

但当这些操作完成后，该用户就不再拥有管理员权限了。“Application Manager脱离了Windows这套管理的域，又单独为每个权限、每个细致的条目设立了一个策略，相当于重写了一次Windows主机的用户策略，因此能对每一个主机都有掌控，可以让他的权限降下来，也可以按照需求升上去。”

而这一系列细致的、独立的策略，也使得Application Manager的权限管理不仅仅局限于传统的软件控制，而是实现了对整个Windows系统层面的把控。无论是更改日期和时间，设置字体大小、桌面背景分辨率，还是设置打印机等等，都可以进行权限控制和管理。因此，它是基于一个比软件的安装和使用更加广阔的应用场景。

以用户为中心，UWM是未来权限管理的方向

“当然，我们的Application Manager产品不只针对Windows平台，还包括Mac、Unix和Linux等端点，其中都包含了权限管理和应用程序控制两部分。”罗琦介绍，在Application Manager产品之前，Ivanti也有类似的权限管理策略，只不过那时候是针对主机的，不是针对User(用户)的，比如不管是谁，登录到这台电脑的人都不能使用某些软件，所以那时并不是真正的权限管理的完整方案。而Application Manager则是从用户角度诞生，和之前的产品实现了互补。

但在罗琦看来，走到这一步还远远不够。“现在Ivanti还提出了一个新的概念，叫‘User Workspace Manager’，简称‘UWM’。顾名思义，UWM仍然是从用户角度出发，但它比EPM要高一个层级。”罗琦解释，UWM的最大特点在于用户工作场景的识别。比如有位员工到二楼开会，让管理员帮忙连接了二楼的打印机，等他到五楼之后，还需要再连接五楼的打印机，电脑并不能自动连接到最近的打印机，这就涉及到场景识别的问题。UWM就会要求电脑具备用户工作场景的区别能力，这个例子中员工在不同楼层就会有不同的策略。

再比如系统检测到某个员工正在设计图纸，这时为了防止图纸外泄，员工只能访问服务器的某个区域，某些具有传输功能的软件如QQ则不能使用。这种策略并不是在所有情况下都会触发，只是特定用户，在使用特定的应用程序时才会。这也需要具备场景识别的能力。“这种UWM所具备的能力就是基于EPM基础之上的、要求更高的、更灵活的一项技术，叫做环境技术。从这个意义上来讲，EPM其实属于UWM的一个分支。”

UWM无论对Ivanti还是业界来说，都是新生事物，罗琦透露道，Ivanti明年会在该领域重点发力，推出更加完整的UWM解决方案，可以更好地覆盖用户/端点权限管理过程中所遇到的各种难题。

+++