1. 產品介紹
  2. 特權管理系統 ~ BeyondTrust
  3. 最小權限Endpoint Privilege Management

最小權限Endpoint Privilege Management









最小權限
Endpoint Privilege Management


滿足法規及使用者需求,完成現實與管控的平衡

主要功能:
— Windows管理員權限收回,不影響使用者執行應用程式
— 依需求變更權限管制政策
— 企業等級之變動追蹤及管理
— 客制化條件設定
— 依環境套用應用程式之授權
— 應用程式網路存取控制
— 軟體授權管理
— 只稽核、不阻擋
— 整合性的稽核事件

主要效益:
— 依需求動態式管理
— 應用程式授權管理
— 管制軟體授權,完成法規遵循
— 降低支援服務成本
— 提高使用者接受度
— 隨環境變化之管理彈性
— 支援Windows 10


Endpoint Privilege Management
功能 :

— 權限管理
可依使用者群組或是角色做應用程式,其權限可依使用者、應用程式,或以控制台儀表板之 "提升"、"降低"之管制動態改變之。
在本地權限收回之狀態下,使用者仍能執行獲得授權但需要權限之應用程式。權限查找功能運用快速掃描功能,可以查找出使用者電腦上所有需要本地權限的應用程式清單,以便加速完成授權管理。

— 依環境套用應用程式
不論使用者環境是實體機或是虛擬環境、桌機還是伺服主機,只能執行有授權的程式,其餘任何形式的未知軟體,均無法執行。
軟體授權是現今IT管理上的難題,在共用環境上,更是複雜,現有限制程式的解決方案,無法應付複雜的程式腳本(Script)或是黑/白名單的問題。
Endpoint Privilege Management可以依使用者的環境參數 : 位置(IP)、Port、時間/日期等,動態的限制應用程式的執行。例如 : 某特定程式,只能在公司網內時才能開啟。

— 權限查找功能
運用快速掃描功能,可以查找出使用者電腦上所有需要本地權限的應用程式清單,以便加速完成授權管理。

— 端點使用分析
可依特定的設備或是群組,收集所有可執行檔案的使用狀況,快速的建立權限及非授權的政策。可套用在使用者、群組、電腦及電腦群組上。

應用程式使用分析可以掃描某個設備得知該設備上每個登入之使用者使用過哪些程式,或是哪些程式從未被使用;進而,可以得知未買許可證的軟體清單,以達到限制軟體之授權數量,減少軟體的購置成本。

— 信任的擁有者
Endpoint Privilege Management運用安全、核心層過濾及微軟NTFS安全政策,以辨識應用程式或檔案之擁有權(某個檔案擁有者是否有列在"信任的擁有者"之內),攔阻未知程式的執行。運用此方法,也可快速完成授權的政策。除了一般檔案外,此方法也可以運用在ActiveX、VBscripts、批次檔、MSI包裝和註冊組態檔案等方面。

— 離線管制
員工動態移動工作愈趨頻繁,不在公司內之管制功能也愈顯得重要。Endpoint Privilege Management管制機制對於離線設備之管制依然是生效的。

— 軟體許可證管理
Endpoint Privilege Management也可用在許可證的管理方面,並已獲得微軟的認證。可管制哪個使用者、或是設備可以執行哪些程式、使用的數量,以及使用多少時間…等,不論是在實體或是虛擬環境下完成軟體許可證的稽核管理。

— 快速設定的樣本
運用Endpoint Privilege Management的設定樣本,可快速完成政策的設定。可接受"匯入"方式,加入大量的檔案,或是運用"common prohibited items" 及 "end-point analysis"。

— 自主提權功能
因應臨時使用需求,可以通過簡易的權限申請功能,使用者原本不能執行的程式可獲得臨時(限時)的,或永久的使用權限。

— 只監控狀態
也可以不執行阻擋,只啟動背景監控功能,收集某個使用者、設備或是群組之程式執行資料,了解其使用行為或是程式之使用率,以協助制定後續的管理政策。

— 建立黑/白名單
未列在白名單的程式,例如某些需要本地權限的管理工具,如: cmd.exe or ftp.exe,自動會被阻擋;或是,只有建置在白名單的信任程式才能執行。
也支援黑名單,可阻擋特殊群組不能使用已信任的Trusted Vendor或Trusted Owner允許的程式。

— 數位簽章
以SHA-1、SHA-256 or ADLER32之數位簽章保證白名單程式之完整性;仿冒或夾帶之任何程式,是不能執行的。

— 支援檔案擴充格式
支援各式 .exe檔案、程式腳本、批次檔和註冊檔,可建立其數位簽章並套用之避免被竄改。

— 限制程式執行時間
可建立每個使用者使用應用程式的時間(周幾、哪個時段),也可套用在每個設備上。

— 應用程式網路存取路徑
可限制設備連線網路的政策,參數包含:UNC路徑(含檔案、目錄及硬碟代號)、Hostname、設備之IP位置、URL位置...等,動態地管制使用者或設備的連網方式及應用程式之執行。

— URL Filtering (URL 轉向設定)
可建立URL轉向之規則,將使用者瀏覽之網頁,指向企業指定之網址。提供URL轉向功能,將使用者瀏覽網頁指定至設定網址,限制其可允許瀏覽之網址。

— 自我授權之彈性
允許某些特權使用者自行新增程式白名單,但是,會留下完整的稽核記錄,包含 : 程式名稱、時間/日期和使用的設備。管控網頁程式安裝及授權可管控哪些

— 網頁程式安裝及授權
使用者可以安裝網頁下載之程式,例如: www.adobe.com & www.gotomeeting.com
,有授權的使用者就不用麻煩IT人員再個別處理開放權限。

— 個別應用程式之授權
某些企業要開放Adobe Reader的使用權,但不希望能使用www.adobe.com網站上的其他模組,可個別將指定的adobe程式版本及ActiveX ID建於白名單上,完成此類之管控。

— 企業等級之變更追蹤及管制
Endpoint Privilege Management提供詳細的日誌訊息,包含白名單之建立及授權之規則,而此日誌資料有密碼保護,防止竄改。

— Policy 版本管理 (Configuration version Control)
可留下各種不同的Policy版本,當Policy版本異動造成管理異常時,可立即還原至之前正常運作的Policy版本,可先快速讓系統恢復正常運作,不會因不同版本的設定不同,而找不到當初正常運作的Policy設定。省下臨時review Policy及手忙腳亂的時間,事後,再花時間比對不同版本的差異找到問題點,再次設定新的Policy時可修正會造成異常的部分,大幅減少對使用者的負面影響。

DataSheet 產品型錄

PRIVILEGE MANAGEMENT FOR DESKTOPS

PRIVILEGE MANAGEMENT FOR UNIX & LINUX



Demo Videos 連結

Demo: Privilege Management for Unix and Linux

Demo: Privilege Management for Windows and Mac