Эрик Ракс (ebrux@mvps.org) — старший администратор сети Windows в крупной консалтинговой компании

* Выпускается как локальный редактор GPO или программное обеспечение как служба (SaaS)

* Безупречная интеграция с Windows 7

* Вариант SaaS очень удобен для мобильных сотрудников

* Не все функции работают с Windows XP

Назначение пользователей домена локальными администраторами собственных компьютеров — неудачный, но распространенный подход. Положение усугубляется, если группа «Пользователи домена» является членом группы локальных администраторов, и пользователи имеют административные права на каждом компьютере в домене. Администраторы знают о возникающих при этом опасностях, но загруженные повседневными неотложными делами, часто не имеют времени для исправления ситуации.

Располагая временем, администраторы могли бы блокировать компьютеры пользователей, а затем развернуть любые программные продукты по запросу с помощью объекта групповой политики (GPO) или инструмента развертывания. А если пользователю требуется инструмент или старая программа, для которой необходимы права локального администратора, можно было бы применить такой инструмент, как Process Monitor, чтобы смягчить (через объект GPO) разрешения безопасности реестра или NTFS. Развертывание программных продуктов и смягчение разрешений — несложные задачи, но они могут отнимать много времени. В результате администраторы часто сдаются и предоставляют пользователям доступ локального администратора на собственных компьютерах, чтобы иметь возможность заняться неотложными делами.

. Viewfinity — не первая программно-техническая компания, которая выпустила такое решение. Несколько лет назад был рассмотрен аналогичный продукт Bit9 Parity. Однако у Viewfinity появилась новая грань. Помимо локального административного инструмента (редактора GPO), запускаемого в сети компании, Privilege Management представлен моделью SaaS (программное обеспечение как служба). Как у GPO Editor, так и у SaaS есть свои достоинства и недостатки.

Тестовая сеть

Испытания Privilege Management проводились в тестовой сети, состоящей из домена Windows Server 2008, клиента Windows XP и клиента Windows 7. Для тестирования выпуска GPO Editor в домен был добавлен сервер для размещения продукта.

Обзор

Выпуски GPO Editor и SaaS функционируют в основном одинаково. Приложения, необходимые пользователям, делятся на две группы:

* приложения, установленные в настоящее время; эти приложения управляются с помощью политик;

* приложения, которые, вероятно, будут использоваться в дальнейшем; эти приложения управляются с помощью функции под названием Policy Automation

Если пользователям в повседневной работе необходимо задействовать определенное приложение или инструмент, можно подготовить соответствующую политику. Например, в защищенной компьютерной среде пользователь, не имеющий административных прав, не может запустить служебную программу Disk Defrag, изменить параметры электропитания, дату, время или часовой пояс. Можно создать политику, разрешающую ему выполнять эти действия. Кроме того, если необходимая пользователю старая программа требует прав локального администратора, можно настроить политику, позволяя запускать эту программу с расширенными правами, но исключив пользователя из группы безопасности «Локальный администратор».

Несомненно, это хорошее начало. Но в конечном итоге неизбежно возникает упомянутая выше проблема: администратору не хватает времени для анализа и подготовки политики для каждого отдельного приложения, необходимого пользователям. В этом случае пригодится функция Policy Automation.

Policy Automation активно отслеживает приложения, которые пытаются запускать пользователи. В диалоговом окне пользователь должен дать краткое обоснование, почему ему нужны конкретный инструмент или приложение. Запрос регистрируется в Privilege Management, и администратор может быстро составить новую политику для использования запрошенной программы. Эту политику можно применить немедленно или в определенный день и время. Чрезвычайно широкие возможности Policy Automation объясняются тем, что агент клиента Viewfinity отправляет все данные, необходимые для создания политики для запрошенного приложения, на консоль управления. Достаточно щелкнуть правой кнопкой на событии (например, пользователь пытается установить дату и время), выбрать пункт Create Policy и следовать инструкциям мастера.

Выпуск GPO Editor

Если вы намерены самостоятельно управлять внутренним сервером, Privilege Management поставляется как обычный исполняемый файл, устанавливаемый на вашем сервере. Дважды щелкните файл VFGPOEditorSetup.exe, чтобы установить дополнительные компоненты, такие как Microsoft. NET Framework 3.5 SP1 и Microsoft Report Viewer 2010. Вся административная консоль построена как надстройка для консоли управления групповыми политиками (GPMC), как показано на приведенном экране.

 

Административная консоль GPO Editor
Экран. Административная консоль GPO Editor

Агент клиента должен быть установлен на каждом управляемом компьютере. Агент поставляется в форме msi-файла, поэтому не составит труда установить его с помощью объекта групповой политики, диспетчера SCCM или привычного стороннего инструмента развертывания.

Одно из преимуществ выпуска GPO Editor — тесная интеграция с групповой политикой и консолью GPMC. Благодаря такой интеграции удобно обслуживать определенных пользователей и компьютеры.

Другое преимущество перед моделью SaaS заключается в том, что только вы один контролируете продукт. Вам не нужно полагаться на администратора в чужом центре обработки данных («облаке»), чтобы обеспечить доступ пользователей к нужным программам.

Как выяснилось, GPO Editor удобен в использовании и чутко откликается на действия пользователя. Единственный недостаток по сравнению с моделью SaaS: более медленное обновление политик. У выпуска SaaS — очень узкое окно связи с каждым клиентом Windows, а в выпуске GPO Editor политики обновляются в стандартном цикле обновления объектов групповой политики. По информации на сайте TechNet, это происходит каждые 90 минут, с произвольным сдвигом от 0 до 30 минут. В ходе тестирования мне удалось сократить этот интервал, выполнив команду gpupdate /force из клиента, но вообще обновление происходит гораздо медленнее, чем при использовании модели SaaS.

Выпуск SaaS

Выпуск SaaS — служба, доступная через Интернет. Единственная локально устанавливаемая программа — агент клиента на каждом управляемом компьютере и подключаемый веб-модуль на компьютере, используемом для управления программой Privilege Management.

Как и агент GPO Editor, агент для выпуска SaaS представлен в 32- и 64-разрядной версиях и может быть установлен на клиентах с операционной системой XP SP3 или более новой. Агенты клиентов можно устанавливать тремя способами.

* Автоматизированное обнаружение ресурсов и развертывание агентов. После того, как агент вручную установлен на одном компьютере, эта же программа может обнаружить и установить агент на остальных компьютерах в домене. Обратите внимание, что в локальном брандмауэре каждого компьютера должны быть открыты TCP-порты 135, 139 и 445.

* Ручная установка или установка с помощью инструмента развертывания программного обеспечения. Агент поставляется упакованным в exe-файле для ручной установки на каждом компьютере и msi-файле для развертывания с помощью объекта GPO, SCCM или стороннего инструмента развертывания.

* Ссылка на пакет установки агента, передаваемая по электронной почте. По электронной почте пользователям высылается ссылка, с помощью которой они могут загрузить агента и самостоятельно установить его. Администраторы постоянно пытаются внушить пользователям, чтобы те не устанавливали программное обеспечение по ссылке в сообщении электронной почты. Это крайний вариант в безвыходной ситуации.

Я вручную установил агента на каждой клиентской машине (как локальный администратор) и к своему удивлению почти немедленно увидел объект в интернет-консоли SaaS. Чтобы протестировать программу, я выполнил запуск клиента от имени пользователя домена, который не является локальным администратором. Как в выпуске GPO Editor, управлять приложениями, которые были запрошены пользователями, очень просто.

Управление собственно компьютерами осуществляется через интерфейс браузера, а на сервере в вашем центре обработки данных не устанавливается никаких программ.

Выпуску SaaS присущи как достоинства, так и недостатки, также как выпуску GPO Editor. Прежде всего, как свойственно всем решениям SaaS, программные компоненты в центре обработки данных остаются вне вашего контроля. Убедительное подтверждение этому я получил в выходные дни, в сообщении с сайта Viewfinity: «Плановое обслуживание проводится каждое воскресенье с 9:00 до полудня по Гринвичу на платформе Viewfinity SaaS. В этот период возможны перерывы в обслуживании. Ответы на интересующие вас вопросы можно получить в службе поддержки Viewfinity по адресу support@viewfinity.com».

Я также заметил, что реакция сайта порой медленная. Веб-приложение зависало несколько раз без видимой причины. Это очень неудобно, особенно при подготовке политик. Интерфейс SaaS не столь интуитивно понятен, как у локального приложения, поскольку для работы приходится открывать несколько отдельных окон браузера.

Огромное преимущество выпуска SaaS перед GPO Editor — механизм связи. Вместо того чтобы открыть порты брандмауэра, все политики передаются по протоколу https (порт 443), открытый в большинстве брандмауэров. Кроме того, при использовании выпуска SaaS политики гораздо быстрее поступают клиентам. Новые политики передаются почти мгновенно, в большинстве случае в течение минуты, не дожидаясь следующего цикла обновления GPO. Выпуск SaaS может быть предпочтительным выбором для компаний, в которой продавцы до сих пор не поняли, для чего используется VPN.

Сравнение Windows 7 и XP

С помощью приложенного краткого руководства я без труда назначил политику, которая позволяет пользователям без прав администратора запускать встроенную служебную программу Disk Defrag. При попытке запустить программу или обратиться к системной функции с ограниченным доступом (например, изменить дату и время) я легко создал политику из журнала события.

Впечатление от работы с клиентом Windows 7 было положительным, но взаимодействовать с клиентом XP труднее. Примененные политики функционировали успешно. Но функция Policy Automation в XP не распознавала многие попытки доступа, обнаруженные в Windows 7. Как заверил Алекс Шойкет, вице-президент по управлению продуктами компании Viewfinity, этот недостаток будет устранен в следующей версии. Компаниям, у которых есть компьютеры XP, рекомендуется оставить их в стороне и внедрить Privilege Management при развертывании Windows 7 или Windows 8. Изменения, внесенные одновременно с развертыванием новой операционной системы облегчат пользователям переход к более строгим мерам безопасности.

Мощный инструмент

Разрешить пользователям выполнять функции локальных администраторов на собственных компьютерах — неважный подход к безопасности. С помощью Viewfinity гораздо проще определить, как смягчить разрешения в защищенной вычислительной среде. Учтите также возможность выбора между выпусками SaaS и GPO Editor, и вы поймете, что в вашем распоряжении — мощный инструмент.

Viewfinity Privilege Management

За: имеются локальный выпуск GPO Editor и выпуск SaaS; безупречная интеграция с Windows 7; выпуск SaaS очень хорош для мобильных сотрудников.

Против: реакция сайта SaaS порой медленная; медленное обновление политики в выпуске GPO Editor по сравнению с SaaS; не все функции работают с Windows XP, хотя компания заявила о совместимости с этой операционной системой.

Оценка: 4 из 5

Цена: От 20 до 40 долл. для клиента (в зависимости от выпуска); 25 % от рекомендуемой изготовителем цены за круглосуточные консультации и обслуживание (оба выпуска); оптовые скидки.

Рекомендации: Viewfinity Privilege Management облегчит задачу администраторов, которые используют Windows 7, но не имеют времени для тщательной настройки компьютеров, чтобы исключить необдуманные действия со стороны пользователей.

Контактная информация: Viewfinity, http://www.viewfinity.com