为什么远程支持访问控制会随着时间的推移而失效
远程支持使 IT 团队能够连接到最终用户设备进行实际故障排除和维护,即便用户和技术人员处于不同位置。随着团队的壮大,控制谁可以访问哪些设备以及他们在会话中可以做什么变得越来越难管理。
远程支持工具通常仅从几个管理员开始,但很快就会发展为共享权限、“临时”访问变为永久访问,以及职责和权限的杂乱无章,使问责成为一个挑战。
现在,对精细控制的访问需求更大了。公司需要管理的合同工增多,IT团队分布更加广泛,审计期望更高,因此有必要对谁能访问什么进行严格控制。
关键在于定义角色,如Tier 1、Tier 2、团队领导、管理员和承包商,然后将每个角色与所需的最低范围和会话能力相匹配。
什么是远程支持的精细控制访问权限?
精细控制管理三个重要因素用于远程访问:
谁可以访问哪些设备(以及哪些设备组)
他们在会话期间可以做什么
他们可以在控制台中管理的内容(例如用户、组或策略)
这些控件通常依赖最小特权原则、职责分离和基于角色的访问控制 (RBAC) 来管理访问。这意味着对所有用户的访问权限限制在最低基线上,直到根据用户的角色授予更�大的访问权限,每个用户都有明确的职责。
通常,遠端支援中的精細控制包括:
设备或终端范围,通过组、部门、客户或地区设定定义的边界。
会话能力控制,包括仅查看与完全控制、文件传输权限、剪贴板访问、远程重启功能等。
管理员和管理权限,例如谁可以创建组、邀请用户或更改设置。
日志记录和监督权限用于管理谁可以查看会话日志、录音、报告等。
有时间限制或条件的访问,特别是针对承包商和随叫随到的轮值班。
委托管理,使团队领导能够独立管理其部分,而无需依赖全局管理员。
粒度访问控制对远程支持的好处是什么?
精细控制访问权限在围绕实际支持工作流程设计时最为有效。以下是他们通常在日常遠程電腦支援中改进的内容。
精细访问控制的好处包括:
降低风险而不减缓支持速度: 控制措施将文件传输和系统更改等高影响操作限制在更高信任级别的角色中,从而降低了代理滥用这些功能的风险。
缩小错误的爆炸半径: 访问控制限制了个人代理和组可以访问的内容,从而防止意外访问错误的客户、部门或敏感设备。
提高问责制:访问权限将操作与特定角色和用户绑定,而不是共享管理员账户,这使得查看谁在何时做了什么更加容易。
加快入职与离职流程:通过将角色分配给组并一致地应用,可以加速入职和离职流程。一旦用户被添加到或从�组中移除,他们的权限会相应改变。
支持简洁的升级路径:精细控制访问权限可以定义哪个级别的技术员具备哪些能力。例如,一级技术人员可以安全地进行分类,二级技术人员可以采取控制措施,而管理员则处理策略更改。
加强审计准备: 精细控制提供了清晰的访问审查和简单的证据,说明谁可以访问什么以及为什么,这使得在审计期间更容易提供文档和证据。
启用大规模委派:精细控制的访问权限使团队领导能够在不授予全球控制权限的情况下管理其领域。
您应该首先定义哪些远程支持角色?
当您准备为您的远程支持软件添加精细控制时,从哪里开始?根据需要访问的内容定义角色很重要,因此在设置角色时请记住这些要点。
从真实的支持工作流程开始,而不是职位名称
与其专注于头衔,不如考虑你需要承担的任务和责任。角色应对应任务,例如分类、补救、升级、管理、供应商支持和报告。了解哪些角色管理哪些任务将帮助您更好地组织您的访问控制并相应地分配访问权限。
您可以复制的角色模板
幸运的是,你不需要重新发明轮子。这些常见角色通常在组织内部有类似的职责,因此在设置访问控制时可以考虑以下定义:
第一级支持(初步检视)
他们能做什么:启动和接收分配设备组的会话,基本的远程控制,以及在需要时查看系统信息以进行分类。
他们不能做的事情:文件传输、剪贴板同步、远程重启、超出其指定范围的无人值守访问或更改全局组织设置。
范围: 仅限于特定部门或客户群体。
二级支持(升级)
他们可以做什么:根据需要提供高级纠正措施,具有比一级更广泛的设备组覆盖范围。
他们不能做什么:除非明确要求并被授予,否则无法进行用户管理或全局策略更改。
范围: 升级组和更高信任的端点。
团队负责人/调度员
他们可以做什么:管理技术员组,分配会话,查看与其团队相关的操作仪表盘和日志。
他们不能做什么:无法管理全局管理员设置或无限制访问设备。
范围:主要是团队级别的群体。
管理员(平台/策略)
他们可以做什么:管理用户、组、权限、安全设置、集成以及报告配置。
他们不能做的事情:除非需要,否则日常支持操作不会进行。
范围:组织级别。
承包商/供应商
他们能做什么:在有限的时间窗口访问特定设备,并具有有限的会话功能。
他们不能做什么:获得对其他组、导出或管理员操作的横向访问权限。
范围:一个定义明确的设备组,仅限于一个较短的、定义明确的时期。
审计员/合规查看器
他们可以做什么:查看必要的日志和报告(仅查看)。
他们不能做的事情:启动会话、修改权限或更改设置。
范围:仅报告。
如何逐步配置��精细访问控制
当您准备设置精细控制时,使用一种可重复的方法,先从范围开始,然后是角色,再到会话功能。以下步骤帮助您在不拖慢支持的情况下定义每个角色的访问权限和范围。
盘点您的远程支持用例,例如检查、升级和供应商支持,并列出每个用例所需的操作。
定义你的范围,使用类别,如按部门、客户和敏感性划分的设备组。
创建角色定义,与任务关联,例如一级、二级、管理员、承包商和审计员。
将会话功能映射到每个角色,为每个角色在会话中的活动设定清晰的指导方针。
将控制台管理与会话工作分开,以维护权限控制,避免授予通用管理员权限。
使用组分配角色来设置基准访问权限,避免出现“角色蔓延”。暂时不用担心个别例外情况。
与一个团队进行试点,以测试其运作方式,并验证您的代理仍然可以轻松解决问题和升级工单。
添加升级路径, 包括移交工单或重新分配工作流的功能,而不是扩展一级权限。
用清晰、准确的一句话阐明每个角色的目的,解释其存在的原因以及面向的人群。
定期安排访问权限审查(每月或每季度)以确保权限按预期运行,并取消您不再需要的例外。
在远程支持会话中,您应该最限制什么?
接下来,考虑你的限制。并非所有会话功能的风险水平相同,因为有些可能会传输数据或造成不可逆的更改。功能对影响越大或潜在误用的可能性越高,��就越需要进行管理。
高影响权限包括:
文件传输,包括向 远程设备 发送和从中接收
剪贴板同步
远程重启和其他电源操作
行、脚本或其他高级工具(如果可用)
更改系统设置
安装软件
查看或导出超出定义受众的日志/录音
对管理计算机的无人值守访问(在您的环境中支持的情况下)
访问敏感端点组,例如财务、执行或生产系统。
如何在不减慢支持速度的情况下保持角色清晰?
虽然精细控制使远程支持更加安全,但由于它们施加的限制,可能会引起对效率的担忧。这也可能导致个人随着时间的推移获得越来越多的额外访问权限例外,从而导致“角色蔓延”。
然而,精细控制可以改进流程并简化工作流程。他们确保工作保持在其范围内,并在需要时更容易升级工单,同时将所有内容组织在适当的组中。
通过遵循这些简单的指导方针,您可以保持角色明确,工作流高效。
将默认新用户设置为最低权限角色。
使用限时/及时访问来授予给承包商和随叫随到需求的权限。
要求提供例外的理由,并按计划进行审查。
尽量保持“Admin”和“Support”的分离,以保持不同的权限。
保持一小组标准角色,而不是为每个极端情况创建一个新角色。
定期审查设备组成员,以避免范围漂移。
Splashtop 如何支持远程支持团队的精细访问控制
Splashtop通过允许团队定义符合实际支持运行��方式的访问边界和权限,支持远程支持的最小特权原则。与其让每个技术人员拥有广泛的访问权限,不如限定谁可以访问哪些设备,并按角色控制可用的会话和管理功能。
实际上,这意味着您可以使用 Splashtop 来:
按用户和组限定访问范围,以便技术人员只能看到他们负责的终端。
使用基于角色的权限,以便更高影响的会话功能保留给更高信任度的角色。
委派管理权限,以便团队领导可以管理他们的部分,而无需全局管理员访问权限。
保持更清晰的责任制,通过将访问权限与指定用户和明确角色绑定,而不是共享权限。
通过标准化角色和范围来保持治理可控,并定期审核访问权限,以便团队扩展时依然有效。
Splashtop 使远程支持访问变得可预测、可审查,并与升级工作流程保持一致,因此一级支持可以安全地进行分类,而二级支持和管理员在需要时拥有所需的权限。
在不授予过多权限的情况下扩展远程支持的实用方法
远程支持并不意味着授予无限访问权限。定义范围、角色和能力对确保安全和高效的支持体验,同时让IT代理和支持团队能够随时随地工作非常重要。
通过 Splashtop,你的代理和技师可以无缝连接到远程设备进行实际操作支持,同时根据角色和权限严格控制访问。这为企业提供了安全的控制,让他们可以进行安全远程办公,同时为IT代理提供他们需要的工具,以帮助各地的最终用户。
如果您正在为远程支持标准化角色和范围,Splashtop可以帮助您在不拖慢技术人员的情况下将最小特权原则运用于操作。开始免费试用,评估基于角色的权��限和范围访问如何适合您的支持工作流程。
