Run As Admin – Uruchom jako administrator
Najbardziej skomplikowaną kwestią związaną z odebraniem praw administratora użytkownikom Twojego systemu jest fakt, że w wyjątkowych sytuacjach, przywileje te potrzebne są do wykonania pewnych obowiązków.
Zapoznaj się z narzędziem Admin By Request
Admin By Request odpowiada za bezinwazyjne odebranie praw administratora lokalnego. Dlaczego bezinwazyjne? Cały proces nie ingeruje w aktywność użytkownika końcowego. Nie zaburza to efektywności pracy i nie opóźnia wykonywania obowiązków.
Zapomnij o skomplikowanych konfiguracjach i czasochłonnym zarządzaniu
Wdrożenie i zarządzanie narzędziem jest niezwykle proste. Nie ma potrzeby zatrudniania informatyków, przeprowadzania skomplikowanych konfiguracji czy definiowania licznych ustawień.
Praktyczny przykład działania – WebEx Desktop
Pracownik, chcący zainstalować aplikację WebEx, służącą do organizacji konferencji internetowych, natrafia na problem związany z brakiem dostępu administratora. Do instalacji niezbędne są uprawnienia uprzywilejowane. Zakładamy, że użytkownik nie jest doświadczoną w tym temacie osobą. Nieświadomie pobiera on plik instalacyjny, ale w ostateczności – bez uprawnień administratora lokalnego – nie ma możliwości kontynuowania procesu instalacji.
Odpowiedzią jest Admin By Request
Po wdrożeniu Admin By Request scenariusz jest podobny, ale efekt finalny różni się od powyższej sytuacji. Instalacja WebEx, za sprawą kilku niezbędnych działań, odbywa się bez problemu, a raport tej aktywności trafia do dziennika audytu ABR. W ten sposób administrator bezpieczeństwa IT posiada stały wgląd w podjęte kroki użytkowników końcowych.
Audyt i kontrola aktywności
Po przechwyceniu próby podwyższenia uprawnień, na ekranie pojawia się okno, gdzie użytkownik może wprowadzić powód i cel rozpoczęcia sesji administratora. Na tym etapie pojawi się także komunikat z kodeksem postępowania, jeśli był on wcześniej skonfigurowany. Zazwyczaj zawiera on informacje na temat audytowania aktywności czy kontakt do help desku.
Aktywna sesja powoduje pojawienie się w zakładce AuditLog wpisu ze statusem „Running”, a jej zakończenie wywoła status „Finished”. W raporcie będą znajdowały się informacje takie jak: lista zainstalowanych lub odinstalowanych programów, uruchomione procesy i aplikacje oraz wprowadzone komendy.
Wnioski o sesję administratora
Użytkownicy, dla których niezbędny jest dostęp administratora do wykonania obowiązków, mogą skorzystać z opcji „Uruchom jako administrator”. Mogą oni wówczas uruchomić pojedynczy plik z uprawnieniami uprzywilejowanymi. Taki proces określa się mianem podniesienia poziomu aplikacji.
W przypadku, gdy użytkownik wprowadzi własne, nieuprzywilejowane poświadczenia oraz powód rozpoczęcia sesji, aplikacja zostanie uruchomiona z podwyższonymi przywilejami. Sam użytkownik jednak nie posiada uprawnień administratora.
Konfiguracja programu
Aby dokonać konfiguracji narzędzia, należy przejść do zakładki „Ustawienia”. W ramach Admin By Request istnieją dwa rodzaje konfiguracji:
Podniesienie poziomu aplikacji…
poprzez funkcję „Uruchom jako administrator” lub wykrycie przez Admin By Request żądania sesji administratora.
Sesja administratora lokalnego…
w trakcie której użytkownik ma uprawnienia uprzywilejowane przez ograniczony czas. Uruchamiana jest ona poprzez ikonę na pasku zadań lub za pomocą skrótu na pulpicie.
W zależności od potrzeb, możesz pozostawić te funkcje włączone bądź nie. Masz także możliwość zdefiniowania grup dostępowych użytkowników, urządzeń lub jednostki organizacyjnej.
Zdefiniowanie “czarnej listy”
Lista aplikacji z ograniczonym dostępem
Istnieje grupa programów, do których dostęp z góry powinien być ograniczony. W ustawieniach Admin By Request masz możliwość zdefiniowania tzw. „czarnej listy” i uniemożliwienia w ten sposób otrzymania dostępu administratora do wybranych plików i programów.
Na „czarnej liście” możesz umieścić aplikacje, takie jak: cmd, regedit i powershell. Jednym kliknięciem możesz zabronić uruchamiania dowolnych plików systemowych z podwyższonym poziomem uprawnień.
Procedura zatwierdzania wniosków o dostęp uprzywilejowany
W ustawieniach Admin By Request znajdują się także opcje „Wymagaj zatwierdzenia” i „Wymagaj powodu”. Aktywowanie tych funkcji jest dodatkową warstwą ochrony – wymusi autoryzację prośby o dostęp do sesji administratora. Zarządzanie tym procesem odbywa się w zakładce „Wnioski”, gdzie zgłoszenie może być rozpatrzone pozytywnie lub zostać odrzucone.
Panel zarządzania jest także dostępny w aplikacji mobilnej Admin By Request. Cały proces autoryzacji wniosków o uprawnienia uprzywilejowane jest szczegółowo wyjaśniony poniżej:
Poświadczenia administratora
Zdarzają się sytuacje, w których musisz uruchomić daną aplikację jako administrator, będąc zalogowanym jako zwykły użytkownik. Dzięki Admin By Request możesz to zrobić w prosty sposób, zgodnie ze standardami działania systemu Windows. Wystarczy kliknąć prawym przyciskiem myszy na aplikację, a następnie wybrać opcję “Uruchom jako administrator”.
Dobranie najlepszych ustawień
Wybór ustawień zależy w pełni od specyfikacji Twojej firmy, a w szczególności od polityki jaką się kieruje, ilości czasu jaką możesz przeznaczyć na zarządzanie dostępem uprzywilejowanym oraz wielkości przedsiębiorstwa. Najczęściej dobieraną opcją na początku współpracy z Admin By Request jest opcja z zatwierdzeniem wniosków, implementowana z zamiarem kontroli wszelkich próśb o dostęp uprzywilejowany. W praktyce jednak, okazuje się, że raportowanie, dokumentowanie oraz audytowanie aktywności użytkowników końcowych jest wystarczające. Nadużycia związane z prawami administratora ustają, ze względu na stałe monitorowanie działań.
Ustawienia w Admin By Request są w pełni konfigurowalne i pozwalają na elastyczne oraz przejrzyste zarządzanie dostępem uprzywilejowanym. Jeśli potrzebujesz wsparcia w zdefiniowaniu odpowiednich ustawień lub masz pytania dotyczące podnoszenia uprawnień – skontaktuj się z nami. Oferujemy pełne wsparcie we wdrożeniu i późniejszym kontrolowaniu Admin By Request. Zadbaj o świadome zarządzanie dostępem uprzywilejowanym już dziś.