BeyondTrust - Privilige Manager (ehemals DesktopStandard - PolicyMaker Application Security)

Der Traum eines jeden Administrators ist es, nur Anwender in einem Netzwerk zu haben, die exakt nur das ausführen können, was man Ihnen erlaubt. Leider gibt es Programmieren die das Benutzerkonzept von Microsoft nicht verstanden haben und deren Programme sich weigern, als eingeschränkte Benutzer ausgeführt zu werden.
Ein weiteres Szenario ist: Warum soll ein Mitarbeiter der IT-Abteilung immer als Administrator angemeldet sein, nur damit er seine Aufgaben erfüllen kann?

Für beide Szenarien gibt es von Microsoft schon die Zentrale Vergabe lokalen Benutzerrechte (siehe Artikel) oder auch die Möglichkeit der Objektdelegation (siehe Artikel).
 
Der Privilige Manager von BeyondTrust geht einen Schritt weiter und ist eine Form der Kombination von beiden oben genannten Möglichkeiten und den Software Restriction Polcies von Microsoft, die mit Windows 2003, bzw. XP eingeführt wurden.

Man möchte einem Benutzer zB erlauben eine bestimte Software zu installieren. Was als Recht nicht existiert und mit Bordmitteln nicht möglich ist. Software Installation ist genaugenommen gleichbedeutend mit AdminiBerechtigungen. Microsoft kann den MSI Installer grundsätzlich mit erhöhten Rechten (elevated rights)  ausstatten, dann gilt es aber für jedes MSI.

BeyondTrust kann das in folgender Form realisieren:

• nur wenn das MSI aus einer bestimmten Quelle kommt (Ordnerregel)
• dann werden nur für diesen Moment dem Benutzer elevated rights zugesichert.
• Das Security Token des Administrators wird an das des Benutzers angehangen.
• im Gegensatz zu jeder "runas" Lösung, ist es völlig transparent für den User
• Der Benutzer kennt kein einziges Passwort und die Admin Berechtigung betrifft nur die einzelne Anwendung

Ausser der MSI Ordner Regel sind folgende Einstellungen möglich:

• Pfad zu einer ausführbaren Datei
  • Platzhalter und Variablen möglich
  • Optional: Nur Dateien, deren Besitzer der Administrator ist.
  • Optional: Nur in Verbindung mit definierten Commandline Parametern
  • Optional: Unterprozesse einschliessen oder nicht
• Ordner mit einer oder mehreren ausführbaren Dateien
  • Platzhalter und Variablen möglich
  • Optional: Nur Dateien, deren Besitzer der Administrator ist.
  • Optional: Unterordner und darin enthaltene einschliessen
  • Optional: Unterprozesse einschliessen oder nicht
• Hash Regel
  • SHA1 hash generierung der ausführbaren Datei
  • Optional: Nur in Verbindung mit definierten Commandline Parametern
  • Optional: Unterprozesse einschliessen oder nicht
• MSI Pfad Regel
  • Windows Installer, Installation definierten Pakete
  • Optional: Unterprozesse einschliessen oder nicht
• MSI Ordner Regel
  • Windows Installer,  Installation aller Pakete im angegebenen Pfad
  • Optional: Unterordner und darin enthaltene einschliessen
  • Optional: Unterprozesse einschliessen oder nicht
• ActiveX rule
  • Bestimmte Komponenten als Insallation im Internet Explorer zulassen
  • Optional: Einschränkung aufgrund einer definierten URL
  • Optional: Integration aller Unterordner der definierten URL
  • Optional: Auswahlkritierium anhand vom Dateinamen, Versionsangabe, CLSID und/oder MIME type
  • Optional: Unterprozesse einschliessen oder nicht

 

Hersteller:
	BeyondTrust Corporation 125 Brewery Lane, Bldg. 320 Portsmouth, NH 03801 USA
Homepage	http://www.beyondtrust.com
Free Trial	http://www.beyondtrust.com/products/FreeTools.aspx
Overview	http://www.beyondtrust.com/products/PrivilegeManager.aspx