У 2022 році безпека є головним пріоритетом для кожної організації, включаючи підприємства та навчальні заклади, які використовують комп’ютери Mac. Хоча комп’ютери Mac дуже безпечні, вони все ще вразливі до загроз, зокрема фішингових атак і шкідливого програмного забезпечення. Безпека більше не є проблемою технологій. Тепер це проблема бізнесу. Більшість дискусій щодо безпеки macOS обертається навколо оновлень програмного забезпечення, програмного забезпечення для захисту кінцевих точок та інших систем високого рівня.
Що недостатньо згадується, так це права користувачів. Кожен CISO повинен запитати свій ІТ-відділ, чи працюють кінцеві користувачі з правами локальних адміністраторів на своїх Mac. Якщо так, їм слід запитати команду, чи це дійсно необхідно порівняно з критичними ризиками, які можуть створити такі підвищені привілеї.
Якщо проаналізувати потреби пересічного працівника, то висновок зазвичай буде таким: користувачам Mac не потрібно мати адміністративні повноваження 24/7.
З точки зору IT команди, правильне керування правами користувачів з самого початку вашого розгортання та поточного керування парком існуючої техніки може стати значною частиною безпеки ваших Mac. Особливо у віддаленому та гібридному робочому середовищі ІТ-адміністратори можуть не мати такого контролю над локальною мережею, як у традиційному офісі. Нова сучасна модель роботи означає, що найкращі практики безпеки повинні розвиватися. Замість того, щоб зосереджуватися на безпеці корпоративної мережі, кінцева точка (він же пристрій) тепер має важливе значення для вашої безпеки.
Ви можете подумати: «Звичайно, моїм користувачам потрібен доступ рівня адміністратора до локальної машини. Я не можу допомогти їм, якщо вони потраплять у ситуацію, коли їм потрібен обліковий запис адміністратора». Можливо, ви маєте рацію, але таке мислення також створює потенційні виклики та прогалини в безпеці.
Адміністратори можуть створювати та керувати іншими обліковими записами користувачів, інсталювати програмне забезпечення, змінювати параметри системи, вимикати важливі функції безпеки, отримувати доступ до всіх файлів на Mac і багато іншого. Зрештою, локальний адміністратор може змінити будь-яке налаштування, інсталювати будь-що та робити майже все, що йому заманеться.
Виходячи з цього, облікові записи адміністраторів є головними цілями для хакерів. Тому що коли комп’ютер зламано, коли користувач працює як адміністратор, шкідливе програмне забезпечення (і хакер) отримує повний доступ до всіх файлів Мас як адмін. Це еквівалентно тому, щоб носити всі свої заощадження готівкою в кишені, якщо вам потрібно витратити лише кілька десятків гривень на каву. Ви просто напрошуєтеся на проблеми.
Як бачите, даючи користувачу обліковий запис з правами адміністратора, ви несете велику відповідальність.
Негайною реакцією на розуміння цієї реальності є просто змусити користувачів використовувати стандартний обліковий запис з обмеженим доступом до системи. Таким чином, стандартний користувач з обмеженими правами в системі допомагає захистити ваш Mac від серйозних пошкоджень у разі зараження шкідливим п.о. Крім того, менша кількість дозволів для користувача забезпечує меншу ймовірність небажаних змін і неправильних налаштувань.
В ідеальному світі співробітники завжди повинні працювати як найменш привілейований варіант користувача на пристрої. Користувачеві іноді може знадобитися встановити на свій Mac програму, яка потребує прав адміністратора, або внести зміни у файлову систему, але таких потреб небагато.
Давайте будемо чесними, скільки нових програм ви щомісяця встановлюєте вручну? Права адміністратора тим більше непотрібні в бізнес-середовищі, враховуючи, що програми та конфігурації зазвичай автоматично розгортаються через рішення MDM, усуваючи будь-які дії вручну з боку кінцевого користувача.
Проте в окремих випадках у користувача можуть виникнути цілком виправдані потреби в правах на рівні адміністратора, щоб вирішити потенційну проблему, змінити дозволи програм, краще контролювати оновлення програмного забезпечення тощо. Після поглибленого дослідження фахівці Mosyle визначили, що середньому користувачеві Mac потрібні права адміністратора приблизно на п’ять хвилин на місяць. Ні, не на годину, не на день – НА МІСЯЦЬ.
І через ці виняткові п’ять хвилин на місяць користувачі отримують повноваження адміністратора назавжди, що створює суттєвий ризик для безпеки, непропорційний реальним потребам бізнесу.
Отже, як вирішити цю дилему? Як ви можете переконатися, що користувачі можуть мати права адміністратора лише тоді, коли вони їм потрібні, і протягом того періоду, коли ці права їм дійсно потрібні?
На початку 2022 року Mosyle нарешті вирішив цю проблему. Компанія розробила нове рішення «Admin On-Demand», яке дозволяє ІТ-спеціалістам дозволяти своїм користувачам працювати від імені адміністратора протягом заданого періоду та автоматично повертатися до стандартного користувача.
Завдяки Admin On-Demand від Mosyle користувачі мають повний доступ адміністратора, коли їм це потрібно. Mosyle Admin On-Demand автоматично перетворить адміністраторів на стандартних користувачів і дозволить лише авторизованим користувачам тимчасово підвищувати свої привілеї за конкретної потреби. Протягом періоду ескалації Mosyle Admin On-Demand збиратиме докладні системні журнали та автоматично повертатиме користувача назад до стандартного рівня безпеки наприкінці періоду.
За допомогою Admin On-Demand ІТ-адміністратори можуть контролювати кількість ескалацій привілеїв на день, дозволену тривалість і вимагати від користувача обґрунтування використання адмінських прав.
Mosyle Admin On-Demand надає ІТ-командам ідеальний баланс між захистом комп’ютерів Mac і гарантією того, що співробітники будуть відчувати комфорт під час використання своїх пристроїв.
Admin On-Demand доступний у Mosyle Fuse, інноваційному рішенні, яке революціонізує ринок корпоративного управління та безпеки Apple. Mosyle Fuse поєднує в собі найповніший на ринку Apple MDM, складні інструменти безпеки кінцевих точок, єдині рішення конфіденційності та безпеки в Інтернеті, створені для пристроїв Apple, систему Single Sign-On на рівні пристрою та автоматизоване керування програмами для macOS, iOS та iPadOS.
Бажаєте протестувати Mosyle MDM з нашою підтримкою? Залиште запит з корпоративної e-mail адреси у формі зворотнього зв’язку нижче
