Defendpoint 權限守護神

About Avecto Defendpoint

能夠讓企業在不影響使用者日常工作,不增加MIS工作負擔的情況下,輕易收回所有的Windows作業系統管理員權限,做到:

◆保護作業系統

◆增加IT生產力

◆軟體環境和企業資料的安全

對絕大部分的企業而言,收回使用者的Windows管理員權限是一項極其艱鉅的不可能任務。原因在於,絕大部分使用者在工作上確實有需要變更電腦的設定,執行企業應用程式以及安裝授權軟體。因此,如何既能管控使用者,而又不致影響其工作和日常所需的作業,成為所有企業MIS部門必須面對的重大挑戰。

特權帳號徹底消失

讓標準使用者帳號登入仍得以完成所有工作,依合法工作需求給予使用權限,完全不中斷工作流程下完成需要特殊權限的工作

應用程式權限管理

以標準使用者角色登入下,使用者合法申請即自動提升應用程式的權限,讓日常工作得以完成

 

應用安裝管控

安裝與執行應用程式辨識的方式靈活且穩當,防堵員工安裝違法或來源不明的應用程式,合規或允許的應用程式自動判別精確不須額外人力

 

Out Of Box 佈署流程

以不干預日常使用的回收特權帳號佈署為目的,跳出框架的監控需要特權帳號的日常工作,數百萬端點的佈署經驗與切合企業佈署模版讓迅速回收特權帳號得以實現

 

Out-of-Box設計幫助企業簡單快速回收特權帳號

幫助企業將特權帳號回歸最小權限原則

Defendpoint讓所有員工都以標準使用者角色登入,授予使用者對授權作業或應用程式安裝與執行的權限,不需再直接授予任何人Windows管理員(或Run as Admin)權限。讓MIS部門可以拿回對企業端點(Windows desktop、Notebook、Server)的掌控權,而不影響使用者的日常作業。除了能夠創造一個更安全的IT環境之外,也能夠完整記錄任何被授權的作業。

客戶可透過政策,設定執行哪些應用程式時需要提高權限(例如ERP系統),甚至包括應用程式執行時的相關指令。有了Defendpoint,企業使用者的Windows管理員權限雖然已經收回,他們的日常作業以及使用經驗卻都與過去完全一樣。Defendpoint包括三個緊密整合的模組-Privilege Management,Application Control和Reporting。

IDENTIFY

避免特權帳號的不當使用造成會對企業致命衝擊

  • 能夠讓企業在不影響使用者日常工作,不增加MIS工作負擔的情況下,輕易收回所有的Windows作業系統管理員權限,做到:

    ◆保護作業系統

    ◆增加IT生產力

    ◆軟體環境和企業資料的安全

與微軟Windows Server AD緊密結合 可藉著Windows Group Policy集中管理

Defendpoint可和Windows Group Policy緊密結合在一起,並不需要額外的管理介面。它可以結合AD Group Policy在短時間內完成使用者的權限設定並執行佈署。佈署後,企業的權限政策能夠立即生效並儲存在用戶端電腦上,即便當用戶端無法與中心連線時,還是能夠確保政策繼續執行。企業也可將權限政策匯出成XML檔案,並透過軟體派送機制部署至非AD的電腦上。

簡易的政策設定

企業可透過Defendpoint輕易管控應用程式的安裝與執行。先定義應用程式的識別方式,如檔案名稱、雜湊、軟體發行的單位或指令列;然後將使用者需要的權限和其他選項指派給這個應用程式,像是用戶端的訊息或啟動監控機制等。Defendpoint的權限政策會自動併入Ad Group Policy中,在下次Group Policy更新時自動部署。

對權限使用的監控

為了協助企業制定權限政策,企業可先將Defendpoint以被動模式佈署到用戶端。透過Privilege Monitoring記錄使用者對應用程式的使用模式與狀態,據以訂定最能滿足管理法規、安全性以及便利性的企業權限政策。

用戶端明確的特權使用提示

在允許或封鎖應用程式之前,企業可以讓Defendpoint顯示額外的訊息,如警告視窗。Defendpoint提供多國語言的客製化訊息,也可要求使用者提供理由或重新驗證身分。

排除不當與不法的應用程式
Defendpoint除了管理應用程式的執行權限外,還可管控是否允許用戶安裝或執行應用程式。應用程式的白名單系統可包括下列任何組合:信任的路徑(資料夾位置)、檔案名稱、雜湊或軟體發行的單位。任何未被授權的應用程式,包含軟體安裝檔和Script將被監督及封鎖。使用者可檢視完整的個人訊息以知道封鎖的理由,也可透過電子郵件的方式針對被封鎖的應用程式即時提出使用申請。
即時授權
針對部分工作需求較高的用戶,Defendpoint可以結合Windows介面,提供使用者「OnDemand」的授權選項,讓這些用戶可以臨時用管理員的身分執行應用程式。Defendpoint會持續監控這些行為,確保用戶不會濫用這項權限。(註:為了避免用戶的混淆,一般Windows系統中Run as和Run as administrator的選項也能夠被隱藏。)
離線及遠端用戶支援

對於經常外出公司的使用者,Defendpoint提供Challenge/Response機制,可以給予一次性、暫時或永久性的權限去執行程式或軟體安裝。

Defendpoint特色

透過AD Group Policy集中管理

  • 可以針對個別應用程式取消或提升系統管理員權限
  • 可以透過白名單建立信任應用程式

應用程式辨識的方式靈活且穩當,防堵員工安裝違法或來源不明的應用程式,合規或政策允許的應用程式同時自動判別允許

使用者可以透過OnDemand的方式提升應用程式權限