即时访问

即时访问说明

Endpoint Central 中的即时（JIT）访问使管理员能够仅在特定任务需要时，为用户提供临时且有范围限制的权限，从而无需长期授予管理员权限。JIT 访问支持两种提权模型：一种是由管理员配置策略，根据预定义条件主动授予访问权限；另一种是基于请求的模型，用户可按需发起提权请求，并提供理由和明确的时长。在这两种情况下，访问权限都受到严格控制、具有时间限制，并且可通过供应商、文件哈希、文件夹路径等多种条件限定到特定应用程序。

即时访问的重要性

授予永久性管理员权限是导致安全漏洞的最常见因素之一——它会扩大攻击面，并增加内部威胁和未授权访问的风险。JIT 访问通过确保仅在需要时、仅授予合适的用户、且仅在必要时长内授予提升后的权限，直接解决了这一问题。基于请求的提权模型进一步增强了问责性，因为用户在访问获批前必须提供理由，从而形成清晰且可审计的权限使用轨迹。综合来看，这些能力有助于组织贯彻最小权限原则、增强整体安全态势，并显著降低数据泄露的可能性。

配置即时访问

可通过以下步骤为特定计算机提供临时访问：

• 在“策略”下导航至“即时访问”。
• 点击创建以委派新的 JIT 访问策略，并选择应用程序提权。
• 提供策略的名称和说明。
• 提供要为其提供 JIT 访问的计算机名称，并选择用户名。
• 选择特定用户；如果要向此计算机上的所有用户授予访问权限，请选择所有用户。

• 选择持续时间类型：固定或时间窗口。如果持续时间类型为固定，请提供访问持续时间；如果为时间窗口，请提供要授予 JIT 访问的时间范围。
   

  

• 在“访问设置”中，用于自助提权的即时访问选项将允许用户将其权限自助提升到所有允许的应用程序或特定应用程序。如果选择所有允许的应用程序，用户可以对任何已列入允许名单的应用程序进行自助提权。如果选择特定应用程序，用户只能对所选应用程序进行自助提权。可使用供应商、产品、已验证可执行文件、文件哈希、CLSID 和文件夹路径等规则类型添加可提权的特定应用程序。

  

• 点击立即部署。

用户发起的提权请求

除了由管理员配置的 JIT 策略之外，Endpoint Central 还支持基于请求的提权模型，用户可以自行发起权限提升请求。这使终端用户在需要时能够灵活申请临时访问，同时让管理员对批准内容保持完全控制。

当用户尝试运行需要提升权限的应用程序时，系统会提示其提交即时提权请求。用户必须指定访问时长，并提供请求理由。

审查和管理请求

所有待处理的提权请求都会显示在即时访问选项卡中，管理员可在此查看用户的理由，并根据组织要求批准或拒绝请求。

• 已批准的访问会在所请求的时长到期后自动撤销。

• 管理员还可以随时直接从控制台手动撤销当前有效的访问权限。

  

自主审批

为了简化对受信任用户或低风险应用程序的审批流程，管理员可以启用自主审批。配置后，符合条件的提权请求将自动获得批准，无需管理员手动干预。此选项可在设置 → 自主审批下启用。

即时事件报告

可通过点击所需策略并选择审计选项卡来访问每个 JIT 策略下发生的事件。