SOFTWARE GARDEN Kontrollierter Wildwuchs bei lokalen Adminrechten www. .biz WILDWUCHS IN DER IT? KONTROLLIEREN SIE IHN! Geht nicht? Geht doch! Lokale Adminrechte auf PCs bieten Malware einen idealen Angriffspunkt zur Infektion des PCs und nachfolgend ganzer Firmennetzwerke. Die Folge: Hohe Investitionen in immer intelligentere Firewalls werden zunichte gemacht, weil die Malware einfach an ihnen vorbei getragen wird. GARDEN reduziert die Notwendigkeit für lokale Adminrechte drastisch. In vielen Firmen stellen Notebooks einen hohen Anteil der Standard-PCs. Dieser Anteil liegt bei einigen Firmen bereits bei über 50% und wächst weiter. Des Weiteren verfügen viele Anwender auf ihren Notebooks über lokale Adminrechte, z.B. zur Software- oder Treiber-Installation. Auch in anderen Szenarien werden Adminrechte verwendet: Steuerungs- und Mess-PCs, Anwendungsserver-Administration etc. Im Schnitt werden Adminrechte effektiv jedoch nur an 2 Stunden im Monat benötigt, dies entspricht nur 1,25% der Arbeitszeit. GARDEN stellt Anwendern dynamisch und umgehend, „auf Knopfdruck“ lokale Adminrechte zur Verfügung, sowohl online als auch offline. Dies erleichtert es den Anwendern, in den restlichen 98,75% der Arbeitszeit auf Adminrechte zu verzichten. Ist lediglich ein Programmstart mit erhöhten Rechten notwendig, so kann ASAP eingesetzt werden. ASAP ist eine GARDEN Komponente, die Programme mit einem administrativen Benutzerkonto startet. Fazit: ask:us liefert mit GARDEN eine Software, die das durch die Arbeit mit lokalen Adminrechten entstehende Risiko erheblich reduziert. STATIC TEMPORARY 1. „Benötige 2 Stunden Adminrechte für Programminstallation. OK?“ Anwender 2. Automatische Zuteilung der Admin rechte schnell und unbürokratisch ◄ © ASK:US GmbH 2011-2014 Anwender ◄ ◄ 1. „Benötige dauerh OK?“ 3. Automatischer Entzug der Adminrechte nach Ablauf der Zeit ◄ GARDEN 2. Liste der erlaubte pro Computer ◄ 3. Verwaltung der e Admins auf dem WÄHLEN SIE DIE ART UND DIE GARDEN REQUESTER: DAUER DER BENÖTIGTEN USER INTERFACE ZUR ADMINRECHTE EINFACH AUS BEANTRAGUNG LOKALER ADMINRECHTE SETZEN SIE IHRE ZIELE EINFACH UM. GANZ EINFACH. Kontrollierte Vergabe von Adminrechten: TEMPORARY - STATIC - EMERGENCY Der Leistungsumfang von GARDEN umfasst verschiedene Ansätze, um die Notwendigkeit lokaler Adminrechte zu reduzieren, sowie weitere Tools und zentrale Reporting-Möglichkeiten. Im Standard haben Anwender normale Benutzerrechte. Arten von Adminrechten Um lokale Adminrechte zu erhalten, ruft der Anwender die Client App von GARDEN, den Requester, auf. Im GARDEN ■■ TEMPORARY: Temporäre Adminrechte werden für Requester werden angegeben: kurze Zeit gewährt und automatisch zurückgezogen ■■ STATIC: Statische Adminrechte stehen dem Anwender ■■ Art der Adminrechte immer auf diesem PC zur Verfügung, auch nach einer ■■ Domain/Username Re-Installation ■■ Dauer der Adminrechte ■■ EMERGENCY: Notfallrechte, wie temporäre Admin- ■■ Grund für Adminrechte und, falls erforderlich, rechte, falls keine Verbindung zum GARDEN Server ausreichende Lizenzierung besteht ■■ ASAP: Alternative Adminrechte nur für die Laufzeit eines einzelnen Programms Helpdesk 1. „Hilfe! Bin in der Sahara – benötige Adminrechte für Wasserfinder.exe“ ◄ XFD-6ZU ◄ Active Directory 2. „Bitte folgenden Admin Code eintippen: XFD-6ZU!“ Admin Code XFD-6ZU ◄ erlaubten lokalen Computer 3. Entfernen der Adminrechte nach Ablauf der Zeit oder sobald der PC wieder online ist GARDEN GARDEN © ASK:US GmbH 2011-2014 ◄ en lokalen Admins Helpdesk ◄ hafte Adminrechte. EMERGENCY OHNE GEHT ES NICHT?! Zentrales Verwaltungsinterface für den Help Desk ■■ ZENTRALES DASHBOARD ■■ STATISTIKEN ■■ ROLLEN- UND RECHTEKONZEPT ■■ PROZESSVERFOLGUNG / RECHTEBEANTRAGUNG ■■ MANUELLE ERSTELLUNG VON REQUESTS ■■ REPORTING UND KONFIGURATION Zentrale Kontrolle über den Wildwuchs – geht nicht ohne eine zentrale Managementkonsole: GARDEN Monitor. Der GARDEN Monitor bietet dem Help Desk einen Zugang zur zentralen Verwaltung der lokalen Adminrechte. ■■ ■■ ■■ ■■ ■■ ■■ ■■ Dashboard mit Überblick über den aktuellen Systemzustand Prozess- und Ablaufverfolgung der Requests Emergency Codes und manuelle Requests erstellen Rollenkonzept Reporting und Alerting Konfiguration des GARDEN Servers Konfigurationsvorgaben für den GARDEN Client GARDEN = Software zur Reduzierung lokaler Adminrechte auf PCs, in Unternehmen und im Privatbereich. © ASK:US GmbH 2011 – Version: 1.9.6, Stand: Oktober 2014 Der GARDEN Monitor unterstützt Multi-Domain und Multi-Site Umgebungen. Pro Standort können unterschiedliche Regeln konfiguriert werden. TRAUE KEINER STATISTIK, AUSSER ... Neben der Rechteverwaltung bietet GARDEN eine Palette von Reporting- und Auswertemechanismen, die Ihnen helfen, den Wildwuchs bei lokalen Adminrechten in den Griff zu bekommen. Der auf dem Client installierte GARDEN Agent sendet regelmäßig einen Report über den aktuellen Status der lokalen Adminrechte an den zentralen Server. Der Server konsolidiert alle Berichte zu einer stundenaktuellen Aufstellung über Änderungen an den lokalen Adminrechten aller verwalteten PCs. Zusätzlich werden Statistiken über die Anzahl und das Verhältnis temporärer und statischer Adminrechte und normaler Benutzerrechte sowie über den Anteil der nicht verwalteten PCs erstellt. Sie können exportiert werden. Eine To-do-Liste weist auf PCs hin, die einen manuellen Eingriff durch den Help Desk benötigen (Pending Actions). GARDEN STATISTIK IM ÜBERBLICK Unmanaged PCs PCs mit Standard Rechten GARDEN Managed PCs Pending TEMPORARY STATIC EMERGENCY © ASK:US GmbH 2011-2014 100% aller PCs im Unternehmen SYSTEMVORAUSSETZUNGEN Client: ■■ GARDEN kann auf Windows Arbeitsplätzen ab Microsoft Windows XP/SP3 oder Windows Server 2003 SP 2 und höher eingesetzt werden ■■ GARDEN unterstützt UAC in Windows Vista, Windows 7, 8, 8.1 ■■ Microsoft .net 4 Client Framework oder höher Server: ■■ Microsoft Windows Server 2003 R2 oder höher ■■ GARDEN unterstützt UAC in Windows Server 2008/R2, Server 2012/R2 ■■ Microsoft .net 4 Client Framework oder höher Design & Konzept: NUTZMEDIA.DE · ASKUS-14-005 © ASK:US GmbH 2011-2014 Gesellschaft für Projekt- und Managementberatung mbH ask:us Heilbronn Allee 5 74072 Heilbronn ask:us Münster Roggenmarkt 10 (Eingang über den Hof Neubrückenstr. 72) 48143 Münster Tel.: 0800 920 18 18 Fax: 0800 920 18 11 E-Mail: [email protected] Web: www.askus.biz