Zatwierdzanie wniosków o dostęp uprzywilejowany
Ustawienia w Admin By Request pozwalają na elastyczne i precyzyjne przyznawanie dostępu uprzywilejowanego. Zapobiega to naruszeniom praw administratora.
Wnioski o dostęp uprzywilejowany
W przypadku instalacji oprogramowania lub uruchomienia aplikacji z uprawnieniami administratora, użytkownik korzysta z funkcji Admin By Request „Uruchom jako administrator”. Wówczas ma miejsce jeden z czterech scenariuszy, w zależności od wcześniej skonfigurowanych w panelu ABR ustawień:
Uprawnienia uprzywilejowane są przyznawane automatycznie. Aktywność w ramach sesji administratora jest jedynie audytowana.
Użytkownik zobowiązany jest do wprowadzenia w odpowiednim oknie powodu użycia uprawnień administratora, a dostęp nie wymaga autoryzacji.
Użytkownik wprowadza powód użycia uprawnień administratora i oczekuje na zatwierdzenie prośby. Wniosek może zostać zaakceptowany lub odrzucony.
Użytkownik otrzymuje powiadomienie, że dostęp nie może być przyznany. Wówczas może go otrzymać jedynie za pomocą jednorazowego kodu PIN.
Ustawienia przyznawania dostępu mogą być skonfigurowane na podstawie grup lub jednostek organizacyjnych Active Directory.
Poniższy schemat przedstawia kolejne kroki procesu przyznawania dostępu uprzywilejowanego.
Opcja „Uruchom jako administrator” z wymaganym zatwierdzeniem
Na filmie przedstawione są dostępne ustawienia i możliwości konfiguracyjne opcji „Uruchom jako administrator”. Oprócz tego, ukazany jest scenariusz korzystania z tej funkcji z perspektywy pracownika, a także zarządzania panelem jako administrator.
Konfiguracja podustawień
Zarządzanie dostępem w obszarze infrastruktury IT organizacji oparte jest często na ustawieniach domyślnych i globalnych. Ze względu na potrzebę zachowania bezpieczeństwa IT systemu organizacji, są to zwykle najbardziej restrykcyjne rozwiązania, a dostęp do zasobów jest możliwie najbardziej ograniczony. Nie gwarantuje to jednak pełnej elastyczności i wiąże się z licznymi problemami związanymi ze zbyt ograniczonym dostępem.
Admin By Request pozwala na zdefiniowanie tzw. „podustawień”, które w praktyce pozwalają na precyzyjne zarządzanie dostępem uprzywilejowanym.
Tak wygląda strona autoryzacji ustawień globalnych z menu „Ustawienia” portalu:
W panelu Admin By Request znajduje się zakładka o nazwie „Podustawienia”. Służy ona do definiowania reguł innych i bardziej precyzyjnych niż te globalne.
Podczas konfigurowania nowego podustawienia należy wprowadzić zakres jaki będzie obejmował. Może on obejmować daną grupę użytkowników, urządzeń lub wybraną jednostkę organizacyjną.
Dla każdej grupy użytkowników możesz zdefiniować wybrany sposób przyznawania dostępu poprzez opcję „Uruchom jako administrator”. W każdej chwili masz możliwość przywrócenia ustawień globalnych za pomocą jednego kliknięcia. Wszystkie zmiany w portalu dokonywane są w czasie rzeczywistym, bez względu na to, gdzie znajdują się urządzenia końcowe. Aktualizacje ustawień nie wymagają więc dostępu do sieci LAN.
Wstępne zatwierdzanie wniosków
Stałe kontrolowanie i przyznawanie lub odrzucanie wniosków o dostęp uprzywilejowany może być uciążliwe dla administratorów, którzy obsługują panel autoryzacyjny. Niektórzy użytkownicy mają uzasadnioną potrzebę ciągłego uruchamiania danych aplikacji z uprawnieniami administratora. Przykładem może być programista korzystający z Visual Studio i okazjonalnie mający potrzebę uruchomienia programu z podwyższonymi uprawnieniami. Rozwiązaniem dla takich użytkowników może być wskazanie aplikacji lub plików, z których często korzystają i użycie opcji wstępnego zatwierdzania wniosków. Wówczas dostęp będzie do nich przyznawany bez potrzeby autoryzacji, przy zachowaniu tego ograniczenia dla innych, niewskazanych w ustawieniach zasobów.
Cały proces odbywa się zakładce „Aplikacje” w panelu Ustawień narzędzia Admin By Request.
W zakładce możesz dodać nazwy aplikacji do których dostęp będzie automatycznie przyznawany. Istnieje jednak ryzyko, że użytkownik na swoim urządzeniu zmieni nazwę innego pliku na taką, która znajduje się na zdefiniowanej liście. Tym samym uzyska dostęp do ograniczonego dla niego zasobu. W tym przypadku należy objąć cały proces konfigurowania ustawień wstępnego zatwierdzania wniosków tzw. „Ochroną”:
Plik musi znajdować się w określonej lokalizacji tylko do odczytu.
Plik musi być zgodny z sumą kontrolną.
Plik musi posiadać określony certyfikat kodu.
Wstępne zatwierdzanie dostępu do plików instalacyjnych
Pliki instalacyjne są zwykle uważane za znacząco bardziej niebezpieczne niż pliki już zainstalowanej aplikacji. W tym wypadku ochrona wstępnego zatwierdzania powinna uwzględniać sprawdzenie podpisu cyfrowego lub sumy kontrolnej. Na filmie przedstawiony jest proces wstępnego zatwierdzania pliku od określonego dostawcy.
Wstępne zatwierdzanie dostępu do plików na dysku sieciowym
W niektórych firmach praktykuje się umieszczanie plików na dysku sieciowym, który współdzielony jest między pracownikami. Z tego miejsca mogą oni uruchamiać pliki instalacyjne niezbędne do pracy. Dzięki Admin By Request dostęp do plików udostępnianych w taki sposób, możesz objąć funkcją wstępnego zatwierdzania.
Każdy plik znajdujący się w zdefiniowanej w ustawieniach lokalizacji sieciowej może być autoryzowany, a dostęp do niego automatycznie zatwierdzany. Możesz także wskazać w ustawieniach certyfikat cyfrowy, który świadczy o tym, że plik od danego dostawcy (na przykład Microsoft Corporation lub Adobe Inc.) jest bezpieczny.
Na powyższym nagraniu przedstawiona jest sytuacja, w której użytkownik samodzielnie instaluje pliki z dysku sieciowego, bez uprawnień administratora.
Rejestrowanie dziennika kontroli
W Admin By Request istnieje możliwość audytowania przyznanych i odrzuconych wniosków o dostęp administratora, a także aplikacji uruchomionych w sesji administratora. Umożliwia to kontrolę nad aktywnością użytkowników korzystających z podwyższonych uprawnień. Nie zawsze jednak jest potrzeba wypełniania dziennika audytu wpisami, które dotyczą sprawdzonych aplikacji czy instalatorów. W trakcie konfiguracji ustawień wstępnego zatwierdzania plików możesz zdecydować, czy chcesz, aby aplikacja po uruchomieniu z podwyższonymi uprawnieniami trafiała do dziennika audytu.
Kod PIN jako sposób na przyznania dostępu administratora
Istnieje możliwość przyznania jednorazowego dostępu do sesji administratora przy użyciu wygenerowanego, unikalnego kodu PIN. Jest to opcja skierowana do osób, których urządzenie nie ma połączenia z Internetem. Dzięki temu pracownik nadal może podwyższać uprawnienia, w celu wykonania swoich obowiązków, przy użyciu jedynie kodu otrzymanego od zespołu help desk.
Zatwierdzanie wniosku o podwyższenie uprawnień poprzez aplikację mobilną
Administrator bezpieczeństwa w każdej chwili może zatwierdzić lub odrzucić wniosek z poziomu aplikacji mobilnej. Wszelkie prośby o dostęp administratora znajdujące się w panelu Admin By Request w zakładce „Wnioski” pojawią się także w aplikacji. Istnieje także możliwość skonfigurowania powiadomienia e-mail. Skrzynka pocztowa może być wówczas miejscem, z poziomu którego dział IT zajmujący się wnioskami może otrzymywać wszelkie powiadomienia.
Cały proces został przedstawiony poniżej:
