终端权限管理

终端权限管理（EPM）是一种安全方法，使组织能够通过控制用户和进程级权限，在终端上实施最小权限访问。EPM 最初是为防止用户拥有不必要的管理员权限而开发的，随着现代网络安全威胁的演变，如今已成为零信任架构的核心组成部分。

如果没有适当的权限管理，组织将面临更高的内部威胁、勒索软件和系统被攻破的风险。事实上，根据 Verizon DBIR 报告，74% 的数据泄露都涉及特权凭据滥用。

ManageEngine 的终端权限管理解决方案使 IT 团队能够分配临时或委派权限，而无需授予完整的管理员权限——在保持用户生产力的同时，最大限度地缩小攻击面。通过将重点从基于用户的控制转向基于应用程序和进程级别的控制，它能够在不阻碍运营的情况下确保安全性。

开始使用终端权限管理

在整个企业范围内管理权限需要精确性、灵活性和控制力。ManageEngine Endpoint Central 的终端权限管理（EPM）通过集中式策略创建、定向权限提升控制以及全面的管理员权限管理简化了这一过程——所有这些都旨在支持最小权限实施，同时不影响终端用户的工作效率。

• 细粒度权限策略配置 — 管理员可以通过将特定应用程序和进程加入允许列表来定义详细的权限策略，以进行权限提升。可以使用供应商、产品、文件哈希、商店应用或文件夹路径等参数，为全部或选定的应用程序定制允许提升的策略。这些策略可映射到用户组或设备组，从而在整个组织内实现精确控制。
• 带理由说明的权限提升 — 管理员可以允许用户通过提供理由说明，为允许列表中的应用程序自行提升权限。这些理由会被记录下来以供审计，并且可通过以下两种方式配置权限提升：
   
  • 所有已加入允许列表的应用程序。
  • 基于管理员定义规则的特定应用程序。
• 具有手动审批工作流的即时权限提升 — EPM 现支持用户为任何应用程序申请即时（Just-In-Time）权限提升，并可指定特定的时限，同时必须填写申请原因。每个请求都会提交给管理员审批，以确保在完全可追责的前提下进行受控提升。这种基于审批的工作流可防止权限被滥用，同时允许用户在无需永久管理员权限的情况下完成合法任务。
• JIT 提升请求的自动审批 — 为了减少管理开销，EPM 还支持对 JIT 提升请求进行自动审批。启用自动审批后，符合条件的请求会根据由设备安全状态决定的置信评分阈值被即时批准。这在确保及时访问的同时兼顾了运营效率与安全性，并维持治理与可审计性。
• 已批准应用程序的自动提升 — 可信应用程序可针对选定的用户组自动提升权限，无需手动发起请求，从而在安全性与流畅的用户体验之间取得平衡。
• 全局管理员权限概览 — “管理员权限摘要”选项卡提供所有本地管理员帐户的全面视图，显示每台计算机上的本地管理员数量。这有助于评估风险暴露并简化整个组织的权限修复工作。
• 带排除策略的管理员权限移除 — 可以手动或自动从终端撤销本地管理员权限，并可通过全局排除策略保留必要帐户。管理员可以选择性地保留内置管理员帐户、系统管理员帐户或任何其他关键帐户，同时移除所有不必要的权限。
• 用于临时提升的即时（JIT）访问 — EPM 支持即时访问，可为特定任务或时间段授予临时权限提升。策略可配置为固定时长或访问时间窗口，并应用于单台计算机或应用程序。这可限制持久性权限，并降低内部威胁和横向移动的风险。

在不影响生产力的情况下实施最小权限

定义精确的权限策略，移除不必要的管理员权限，并启用安全的自助权限提升。我们的终端权限管理综合指南涵盖了降低风险并在整个企业中保持控制的最佳实践。