Właściciel urządzenia

Wielu użytkowników firmowej sieci, z szeregiem urządzeń, powoduje liczne obawy związane z bezpieczeństwem oraz zachowaniem poprawnych praktyk pracy w cyberprzestrzeni. Dzięki nowej funkcji Admin By Request, która pojawiła się wraz z ostatnią aktualizacją 7.4, możesz ustawić konkretnego właściciela dla urządzenia i zarezerwować w ten sposób dany punkt końcowy wyłącznie dla niego.

Czym jest funkcja „Właściciel urządzenia”?

W większych organizacjach, gdzie do sieci należy kilkaset, a nawet tysiące komputerów, a dostęp do pojedynczego urządzenia może mieć kilka osób, istotnym jest ograniczenie uprawnień uprzywilejowanych wyłącznie dla użytkownika głównego – „właściciela” danego komputera.

Taką funkcję oferuje teraz Admin By Request wraz z wprowadzeniem opcji „Właściciel urządzenia”.

Jak sama nazwa wskazuje, dzięki tej funkcji, istnieje możliwość zdefiniowania pojedynczego pracownika, jako właściciela danego urządzenia i tym samym rezerwacja możliwości poproszenia o uprawnienia administratora wyłącznie dla niego.

Jak to działa w praktyce?

Przypisanie właściciela urządzenia

Po instalacji Admin By Request na danym punkcie końcowym, właścicielem urządzenia staje się automatycznie pierwszy zalogowany użytkownik niebędący administratorem. Przez 24 godziny nie będzie to jednak wiążący wybór, a powodem takiego „okresu otwartego” jest uniknięcie ustawienia nieprawidłowego użytkownika jako właściciela (na przykład administratora IT pomagającego w konfiguracji po instalacji). Po upływie 24 godzin nastąpi ostateczne wybranie właściciela urządzenia.

Informacja o właścicielu urządzenia

Taką informację można znaleźć w dwóch miejscach panelu Admin By Request:

Na stronie Inventory, po wybraniu danego urządzenia

Informacja o właścicielu znajduje się w zakładce Owner (Właściciel). Pamiętaj, że jeśli właścicielem urządzenia nie jest ten sam użytkownik, który jest aktualnie zalogowany na komputerze, w zakładce tej będzie wyświetlony zarówno właściciel, jak i osoba zalogowana.

Na stronie Reports po przejściu do karty User Reports, a następnie Device Owners:

W tym miejscu są wylistowani wszyscy właściciele urządzeń:

Wybranie zakładki Non-Matching Users wyświetli wszystkich użytkowników, którzy zalogowali się na urządzeniu, ale nie są jego właścicielami.

Zmiana właściciela urządzenia

Czasami konieczna jest zmiana właściciela urządzenia ze względu na rotację pracowników lub inne czynniki. Możesz to zrobić na dwa sposoby:

Spraw, aby docelowy właściciel urządzenia zalogował się na komputerze. Wówczas zostanie on przypisany jako właściciel urządzenia.

W panelu Admin By Request przejdź do zakładki Inventory, a następnie Device -> Owner. W tym miejscu możesz zastąpić dotychczasowego właściciela urządzenia, użytkownikiem, który jest aktualnie zalogowany na komputerze.

Inną metodą na zmianę właściciela urządzenia jest całkowite wyczyszczenie konfiguracji opcji „Właściciel urządzenia” poprzez kliknięcie przycisku Release Ownership w sekcji Unlock Owner. Wybranie tej opcji powoduje zresetowanie ustawień, dzięki czemu następny użytkownik niebędący administratorem, który zaloguje się do urządzenia, otrzyma status właściciela. Nie dotyczy to jednak użytkownika, do którego przypisana była uprzednio rola właściciela.

Blokada punktu końcowego dla właściciela urządzenia

Funkcja „Właściciel urządzenia” ma zapewnić, że o dostęp administratora na danym urządzeniu, może poprosić osoba przypisana do niego.

W jaki sposób działa blokada?

Ustawienia ogólne

Pierwsza metoda polega na nadaniu dostępu do pojedynczego urządzenia, dla danego właściciela urządzenia za pomocą ustawień globalnych (ustawienie to będzie dotyczyć wszystkich użytkowników w Twojej sieci).

Przejdź do zakładki Ustawienia systemu Windows:

Z listy po lewej stronie wybierz Lockdown, a następnie wybierz zakładkę Owner:

W otwartej karcie zaznacz opcję ON oraz zapisz ustawienia. W ten sposób każdy użytkownik będzie miał dostęp wyłącznie do własnego urządzenia.

Ustawienia podrzędne

Uzupełniają one ustawienia globalne, pozwalając na zdefiniowanie „wyjątków od reguły”. Umożliwiają zastosowanie blokady dla określonych użytkowników i grup na podstawie tego, kto potrzebuje dostępu. Dzięki temu można uniknąć konfiguracji ustawień dla wszystkich użytkowników (tak jak w przypadku ustawień globalnych).

Istnieje kilka przypadków użycia, a do przykładowych z nich należą:

Możesz zablokować urządzenia zespołu zarządzającego, aby tylko oni mieli do nich dostęp. Inne urządzenia nie muszą być ograniczone, a dostęp do nich może mieć każdy użytkownik, niezależnie od tego, czy jest ich właścicielem.

Chcesz, aby użytkownicy mieli dostęp wyłącznie do swoich urządzeń. Wyjątkiem może być zespół wsparcia IT, który potrzebuje dostępu do wszystkich komputerów, w celu ewentualnego wsparcia technicznego.

Konfiguracja pierwszej opcji:

Odznacz opcję Lock device to owner w ustawieniach globalnych. Następnie możesz zdefiniować regułę w ustawieniach podrzędnych:

Przejdź do opcji Lockdown, a następnie do karty Owner. W tym miejscu zaznacz opcję ON przy Lock device owner.

Wszystkie urządzenia dla zespołu zarządzania są dostępne wyłącznie dla określonego właściciela.

Konfiguracja drugiej opcji:

W ustawieniach globalnych, pozostaw opcję Lock device to owner na ON.

W ustawieniach podrzędnych grupy wsparcia IT, przejdź do zakładki Lockdown -> Owner i ustaw opcję Overrule Global Settings na ON. Następnie ustaw opcję Lock device owner na OFF.

Użytkownicy z grupy wsparcia IT będą mieli wówczas dostęp do wszystkich urządzeń, podczas gdy inni użytkownicy w sieci mają dostęp wyłącznie do własnego urządzenia (ze względu na ustawienia globalne).

Podsumowanie

Możliwość uzyskania przez wielu użytkowników dostępu uprzywilejowanego do różnych urządzeń w Twojej firmie, stanowi poważne zagrożenia dla bezpieczeństwa IT. „Właściciel urządzenia” to nowa, elastyczna funkcja, która pomaga ograniczyć to ryzyko, uwzględniając jednocześnie specyfikę każdej organizacji.