Ivanti 博客: 作者

远程办公“常态化”下的企业服务管理思考

Mon, 13 Apr 2020 01:45:37 Z

经历了过去两个月时间的非常考验，相信企业管理者们都深刻意识到危机所带来的影响，开始更深入地思考如何更好地应对各种突发状况。毫无疑问，远程办公大规模大幅增加是一个重要方向。问题是，IT组织真正为此做好准备了吗？

Ivanti专家为服务管理者提出十条建议，帮助大家更好地思考和总结远程办公，确保员工的工作效率。这里首先重点介绍ITSM，同时也将介绍除了IT，服务管理方法和解决方案可以带来帮助的几个关键场景。

1. 保持员工生产力

继续完善支持员工远程办公的计划，确保他们随时随地都能获得一致的体验，这样才能确保生产力。服务管理者需要时刻做好准备，提供必要的支持。IT要有能力动态地了解设备、环境和需求等信息，深入洞察业务协同的各种形式，这样才能有的放矢，有针对性地调整策略，为未来做好准备。比如，不同业务线在家办公的特点有何不同，需要访问哪些应用程序，频度有多大？是否每个人都有足够稳定的网络连接环境？关于远程办公的IT策略和建议文档是否需要更新......这些问题的答案可能就是规划的新起点。

让员工在工作场所之外轻松访问和使用ITSM自助服务界面，作为他们获取帮助的第一通道。如果你的自助服务门户还不能被“互联网”访问，那么请考虑加快速度，进行转型。

2. 在家提供IT服务

不只是终端用户、员工和客户，还有你！强烈建议考虑云交付工具，因为未来很有可能还会经历部分或完全在家工作的情况。每个人都能远程工作吗？这就是云交付工具的强大之处：不仅无需本地安装，而且可以通过任何浏览器在任意位置进行访问。如果你的ITSM工具在本地，是否可以在防火墙之外访问？是时候汇总IT中的每个角色，他们工作所需的工具和数据，以及这些工具的远程可访问性如何等信息了。

3. 保持联系

没有了办公环境中的社交空间，个人很容易变得孤立无援。会议工具是大家的朋友。确保每位员工经理都能确认所有员工都能使用诸如Microsoft Teams、WebEx、Zoom等会议工具。然后利用这些工具推动定期会议。不要一周开一次，而是要计划好每天的会议，让每个人都保持高度联系。

并且强制使用摄像头。大家都不想要杂乱的背景，没关系，就是大家需要彼此看到对方，这是大家保持联系和沟通的方式。并且，这与下一个建议有关...

4. 持续领导

在移动办公场景下，员工比以往任何时候都更需要领导。通过会议保持定期联系，并一对一地与个人联系，直接打电话。领导要经常和员工联系，关心、支持员工，清楚他们的现状。非常时期，领导力非常重要。不要让员工陷入困境，创造条件让大家可以专注于工作。要非常清楚你的期望和操作规则。

5. 确保安全

从IT层面确保你所做的决定是安全的。不要为了让远程办公更轻松容易而贸然行动，移除VPN、禁用防火墙或者共享密码......这些动作都可能将公司置于危险之中。现在，企业可能必须放松一些最严密的安全限制，允许员工在家工作，但不能让他们置于攻击暴露的安全风险中。现在是一个检查对用户终端的安全管理功能，并开展防范潜在安全漏洞实践的好时机。

6. 沟通

IT可借助自助服务门户中非常棒的能力，为业务线就IT就绪情况、运营状态和支持服务等信息提供清晰的通信平台。使用它，来编辑和发布内容，以帮助解决业务中的问题和不确定性。现在就开始构建或更新你的IT FAQs、知识文章、记录、文档，甚至内部博客文章吧。这些对确保每个人的信息灵通和工作效率都很重要。

7. 提供实际支持

是时候减少支持人员游走于各业务线了。关闭“天才吧”，减少面对面的支持选项，更多地关注远程访问。远程控制工具比以往任何时候都更重要。即使你可以到现场帮忙修理，或许现在也不应该去那里。确保每个人都可以轻松地使用远程控制工具，仍然提供所需的帮助。

你使用Ivanti Voice或其他电话自动化工具吗？确保所有终端用户都可以在任何时间、任何地点通过电话提交、访问和更新他们的票据。无论白天还是晚上，即便在远程internet连接很困难的情况下也不例外。如果可以帮助远程工作人员更容易地处理来电，无需增加等待时间或放弃，就使用和设置这些工具吧。

8. 重设优先级

有些事情现在很重要，有些事情可以等待。回顾当前的项目，并检查是否可以暂停某些项目，以便让团队将精力集中在更重要的项目上。比如，与计划中的数据库平台长期升级相比，展示如何在家工作的新操作视频和常见问题解答可能更加紧迫。如果需要，请迅速行动。一些长期运行的项目现在可能需要加速。例如，新的自助服务内容可能需要更早地发布，运行新的知识管理工作流可能也会更重要。

9. 要积极主动

从以上几点开始，发展你的计划，并把它们与你建议的步骤和优先事项放在一个文件中。将其提交给管理团队审批，然后与自己的团队共享。你现在能做的最糟糕的事情就是假设保持现状会起作用。更好的方法是计划、准备、采取行动，并在前进过程中做出任何必要的调整。即使当前的情况不会立即对业务产生重大影响，但毫无疑问，你也在做正确的准备。

10. 帮助其他部门

由于服务管理工具在企业服务管理模型中被许多其他业务部门广泛使用，而这些部门的领导可能还没有完全认识到他们正在使用的服务管理工具的价值。所以，联系他们，分享你的IT计划，然后主动帮助他们完成他们的计划。提供自助服务选项，分享常见问题和知识文章，也许他们也可以在家使用服务管理工具并从中受益。IT部门之外的领导应该采用与IT部门相同的方法，充分利用服务管理的力量。

分析完远程办公场景下的服务管理行动策略，最后需要注意一点，当前大规模扩展的远程工作模式提醒大家：必须定期检查和更新业务连续性计划。未来，一个重要的方向可能是将大量远程工作策略和功能标准化，以更好地为下一个未知的破坏性事件做好准备。

Ivanti云中三部曲之一： Pulse问诊助运营无忧

Thu, 08 Nov 2018 08:36:40 Z

想在云上享用Ivanti厉害的IT管理高招？没问题！现在，Ivanti已经有能力在云端为用户提供服务，就像Office 365一样。

服务管理、IT资产管理、安全和用户设备管理......这些原本安装在用户本地环境使用的方案，现在已经可以搬到云上使用。

今后，云会是Ivanti服务运营的一个重要分支。Ivanti还能在云端通过机器学习、人工智能等技术为用户带来更多增值服务，包括与其他云相关堆栈的集成和对接，如AWS、Azure等，在不同云服务之间实现更高效的协同，方便用户使用Ivanti Cloud与其他云服务对接，更便捷、高效地享受云环境带来的好处。

Ivanti Cloud不仅为Ivanti带来了大量新客户，更为用户带来的非常显著的收益：

集成最多最新的Ivanti创意方案
极高的安全运转率--99.999%
云数据的安全设计
无需考虑应用升级和迁移
企业无需维护后台基础架构
符合国际标准的云：GDPR/FedRAMP/ISO 27001等

Ivanti现在已经提供的云服务包括：

Help Desk Essentials 服务台基础版
ITAM Essentials IT资产管理基础版
Smart Advisors 智能顾问
License Optimizer 许可证优化器
Pulse 问诊

Pulse问诊是一套面向终端设备的、实时的运营监控方案。现在，很多的用户设备不单单是放在公司内部使用的，设备信息很难及时获取。这就给IT带来了挑战，很难实时掌控设备信息和状态。现在，Ivanti Cloud可以提供相关服务，让用户可以实时地快速检查诊断，并且可以利用到自然语言处理，包括机器学习和物联网技术在内的先进技术支持。

简单理解，这是一项云端的，可轻松对主机状态进行监控和问诊的服务。（基于互联网环境下的实时安全监测管理）

如何使用Pulse问诊？第一步，部署客户端，即监测器（点击安装即可用）。装好监测器后，第二步，系统就可以帮助定位。用户可以对防火墙、防病毒、账户、流程等信息进行定向查询和操作。在此基础上，系统提供示警和趋势分析功能，包括自动化修复。

换句话说，用户只需安装检测器，在接入互联网的情况下，机器便会自动上线接受管理，实时上报主机的各类健康信息，提供Pulse运营问诊的相关功能。

Ivanti Pulse用户界面采用极简主义的设计风格，初始页面只有简单的交互窗口，没有任何多级菜单的设置。用户可以直接在对话框输入想法和命令，对AI进行提问。

Ivanti是将平时跟用户交互的组件--Hub组件嵌入Pulse，提供一个可本地化的智能中心，用户可以获取帮助，查看信息，管理他们的资产和IT服务内容等。毫无疑问，Ivanti Hub正在改变用户自助服务的游戏规则。

现在，Ivanti Hub可以帮助用户完成很多操作，功能非常强大：

快速简单的进行故障请求
更快地进入服务目录（IT、HR等）
可获得状态的更新
查询知识库
可以通过会话与智能AI进行交互
支持快捷动作按钮，达成自动化

Pulse系统智能机器人Bot将持续进化，未来可帮助用户实现更多自动化功能：

请求支持
创建事件工单/更新工单状态
搜索和发现知识库
获取状态的更新
可驱动自动化引擎
讲会话传递到分析师

Pulse还可为IT提供直观、清晰的终端安全仪表盘，全面展现当前主机安全与健康的相关内容，包括防间谍、防病毒、防火墙、自动升级、IE浏览器控制、用户账号控制等，支持明细查看和历史记录追溯。比如，某账户于何时打开/关闭了防火墙，有哪些多余的用户拥有管理员权限等，获知类似信息对IT安全非常重要。

资产状态仪表盘则可向用户展示各个设备的实时位置，包括操作系统信息、已安装/未使用的软件信息等，同时可对违规软件进行阻止。

目前，Pulse云服务已快进入公开测试阶段，相关研发正在紧锣密鼓地进行中。“吃自己的狗粮”，Ivanti已经在公司内部自己先行使用Pulse云服务，相关服务功能正陆续完善优化中，整体效果令人满意。

Ivanti Cloud来啦，你准备好了吗？

更多关于Pulse问诊的详细内容，请点击此处，观看视频回放。

欢迎关注Ivanti官方微信，确认过眼神，这个号有用！

华住数据泄漏：内部防御薄弱是元凶

Mon, 10 Sep 2018 09:04:36 Z

8月28日，暗网突然爆出公开兜售华住旗下酒店的客户数据，包括汉庭、诺富特、CitiGO、桔子、全季、宜必思在内十几家酒店，共计5亿条客户信息，包括官网注册信息、入住登记身份信息、酒店开房记录三大类，这意味着客户的身份证号、手机号、邮箱、家庭住址等隐私信息都有可能被泄露。

更加讽刺的是，兜售者为了确保数据的真实有效，开放了一万条数据供购买者测试，总数据标价为8个比特币（520个门罗币），约合37万元人民币。此次数据泄漏疑似华住公司程序员将数据库连接方式上传至GitHub所致。

华住数据泄漏，既出乎意料，也在意料之中。因为它不是第一起。在8月初，台积电因人为疏忽，新机台在连接网络前没有隔离，导致病毒侵入公司网络，三条生产线因此停摆，造成经济损失2.5亿美元。接连发生的网络安全事件，又一次给所有企业敲响了警钟。

数据泄露——内部防御薄弱是罪魁祸首

华住数据泄漏与台积电病毒入侵——两起事件都是内部“人”的因素导致的。据Ivanti安全专家、中国区首席架构师罗琦分析，这类事件的发生可能包括以下几种原因：

首先，不排除内部人员出于利益的诱惑，或者对公司的仇视而故意泄漏数据或引入病毒。罗琦解释，传统的IT架构，安全方面都是多层防护，黑客若想从防火墙外侵入企业内部，是相当困难的一件事。尤其像台积电这样的大型制造企业，安全措施更加专业。

其次，员工缺乏安全意识而导致的无意识行为。对于哪个网站、哪封邮件、哪个程序潜藏着病毒，不是所有员工都有较高的敏感度，可以识别出风险的存在。就如台积电的这位员工一样，他可能并不知道新机台接入网络前需要隔离，也不知道如何隔离。

第三，员工权限设置不合理造成的。当员工的职能改变、环境改变或地理位置改变，理想的情况下，企业IT管理员应及时对员工的权限做出更改，但现实是企业并不能总是及时处理，导致某些人权限超出范围，就可能致使数据泄漏。

“无论企业员工是恶意的，还是无意的，不可否认的事实是，企业内部的安全防御薄弱，正严重威胁着企业的网络安全。”罗琦指出，内部存在的安全隐患往往是罪魁祸首。企业IT建设不能只关心对外安全防御，更要重视内部的安全管理。

Cybersecurity Insiders发布的报告《2018年网络内部安全威胁报告》显示，在网络安全事件中，90%的受访人表示来自内部的威胁更易发生。

内部安全防御——不要亡羊补牢

在安全建设方面，企业需要将内部安全防御提到日程的最顶端。企业内部安全中“人”的漏洞，本质上就是人所使用设备的漏洞，也就是端点的安全问题。针对终端设备的安全防护，企业普遍会采取一些常规措施，包括禁止企业员工将设备带出工作场所，定期组织对系统、应用程序进行更新升级等等。

这些措施，确实一定程度上避免了内部安全问题的出现，但也牺牲了移动办公的便利性，同时又要投入一定量的人力，增加了运维成本，而且企业不能100%确保所有员工实施更新操作。事实上它们大部分也还是依赖于人的操作。

而随着云计算、大数据、人工智能技术的成熟，将企业内部安全防御更多交给“机器”来做已成为共识，而且，企业可以借助先进的工具去辅助实现，这样不仅可以避免人为漏洞，还可以降低成本，提升效率。为此，罗琦建议企业要具体从以下三个方面进行防御：

第一，补丁管理是重中之重，企业必须要及时检索系统中的漏洞，并预先安装经过测试的补丁。Ivanti补丁管理器可以及时检测Windows、Mac OS、Linux 以及数百种第三方应用程序如Oracle、ICP的漏洞，并在任何用户所需的位置，自动安装经过专家预先测试的补丁。

第二，环境管理必不可少，企业要加强对自身的个性化配置与环境相关策略的精细化控制。Ivanti环境管理器可将用户设定分离，使其独立于桌面进行管理。无论人位置怎么变化，只要规则预先写好，员工所进入的系统环境就是既定的，安全的防御也是既定的。

第三，权限管理方面，要按需求为员工提供适合的操作权限，尽可能实现根据所处环境自动完成优化，比如部署在物理环境、虚拟环境或云端皆可，这样便能有效避免因权限分配不合理导致的安全问题。Ivanti工作区控制能够给不同员工提供适合的操作权限，此外，Ivanti统一端点管理解决方案将帮助企业云化、自动化、智能化融入内部安全防护之中，可以做到防患于未然。

古人言，亡羊补牢，未为迟也。对于养羊人，这是可行的。但对于现代化企业来说，安全出现“窟窿”后再补牢，却并不可取，因为付出的代价是巨大的。所以，企业需要的是一种提前预测漏洞、预先修补的方案。Ivanti的统一端点管理解决方案，可以让企业在信息安全方面做到未雨绸缪。

欢迎关注Ivanti官方微信

跨国航运巨头再遭攻击，警钟长鸣背后的网络安全思考

Fri, 03 Aug 2018 03:13:09 Z

日前，有消息爆出，中远海运集团(Cosco Shipping)遭遇网络攻击，影响了公司的日常运营。中远海运在其网站和各大社交平台上发布声明称，该公司美洲地区网络发生故障，邮箱及电话(IP)均无法正常使用。

“我们已经并将继续评估发展情况并采取相应措施，以尽量减少当前事件对业务的影响，”Cosco Shipping在给客户的说明中表示。

网络安全保护滞后，可能造成严重后果

随着行业数字化的快速发展，网络攻击日益成为重要威胁。2017年，丹麦航运巨头马士基曾遭遇大规模网络攻击，损失高达3亿美元。同年11月，全球最大的航运经纪商Clarkson PLC也遭遇了黑客攻击。

对于快速拥抱互联网的航运业而言，大量设备通过互联网互通，大量数据通过互联网传递，这加剧了航运业的网络安全风险；更值得航运业关注的是，随着越来越多的供应链服务依靠网络实现，航运业遭受网络袭击的风险正日益加剧。

除了勒索病毒袭击外，黑客甚至已经准备好利用一些正在研发的全新技术发起网络袭击，比如3D打印技术。另外还有的典型案例是，索马里海盗就曾通过自制的电脑系统侵入船舶系统，了解所有装载货物的舱单信息，确定了哪些集装箱装载了货值较高的货物，并有针对性地进行抢劫。此外，海盗还会设法入侵船舶导航系统，篡改天气模式；还有走私贩入侵了港口的数据库方便走私毒品。

就算不被勒索、不被抢劫，航运业遭遇黑客攻击也有可能被扰乱航运秩序。

由于船舶的使用寿命很长，在海上航行的时间较长，速度较慢，因此很容易与互联网发展脱节。一项调查显示，40%的管理人员甚至在知道船上被安装了恶意软件的情况下，还在出海航行。很多航运公司即便发生了数据泄漏事件，也不会说出来。有业内人士称，航运业的网络安全保护和其他行业比起来，至少还有20年的差距。

2017年12月，JOC Port港口绩效会议上，主办方表示，现在网络攻击很可能会变得更加频繁，因此港口、码头运营商、航空公司和托运人必须采取预防措施，减少风险，企业应该制定相应的恢复计划。

事实上，网络攻击愈演愈烈，不断上升的态势正在全球各行各业上演，航运业只是缩影。2017年，调研公司Opinium在采访各大公司的IT决策者后发现，78%的企业至少遇到了一次勒索软件攻击，93%的数据违规事件会在数分钟或者更短时间内危害到企业。

Ivanti针对网络安全威胁的五大建议

如果没有集中的安全战略，设备蔓延将带来沉重的代价，最终会让IT失去控制。现实是，IT 团队已经为管理这些设备花费了太多时间。

如何有效应对网络威胁，防范攻击事件？Ivanti的策略方法是：通过多层保护方案组合，确保环境中没有任何一个安全控制会成为故障点，提供集“监测、预防、修复”于一身的全方位安全防护能力。其中，修补和应用程序控制是最关键的，可最大程度降低风险并减少攻击面积。

面对日益增长的网络安全威胁，Ivanti给出五大指导建议：

1. 快速、便捷地研究、评估、测试和部署补丁

IT需要有能力快速、便捷地研究、评估、测试和部署整个企业内的补丁。

由于绝大多数漏洞会影响到第三方应用，因此，仅是修补和更新操作系统还不够。

Ivanti工具可帮助用户，根据其制定的策略自动发现、评估和补救企业中的Windows、macOS、Linux及UNIX 系统，修补从操作系统和应用程序到虚拟机(VM)、虚拟模板的所有内容，同时，提供SCCM插件，通过控制台自动化并简化第三方应用程序补丁的发现与部署。这样，可有效记录、修复和报告跨组织机构环境中的所有漏洞。

2. 引入更大规模的安全生态系统

广泛集成，将修补作业引入更大规模的安全生态系统。

Ivanti高级API堆栈可与安全解决方案、漏洞扫描程序、配置管理工具（如 Chef 和 Puppet）及报告工具集成，这不仅能将修补作业引入更大规模的安全生态系统，还可以帮助弥合安全、IT 与DevOps之间的差距，让IT运营更有效地保护企业。

3. 阻止未授权的应用程序

通过应用程序白名单和权限管理等工具，阻止未授权的应用程序。

如何堵上无法修补的漏洞：零日漏洞、传统系统以及可能对环境造成破坏的补丁？应用管理器提供白名单功能，只将企业了解并信任的进程和应用程序加入白名单，所有形式的恶意软件(甚至包括零日攻击)都被排除在外。

Ivanti解决方案可有效防范未经授权的代码执行，无需IT手动管理详尽的列表，同时不会牺牲和影响用户生产力。系统可自动阻止执行不受信任的所有者(如常见的user帐户)引入的任何代码，甚至是未知的代码。IT可以轻松、精细地管理用户权限和策略，同时允许在发生异常时自行上报。

Ivanti还将对SCCM环境的支持扩展到了应用程序控制。使用集中式控制台控制端点上的应用程序和最终用户操作。并且利用系统中心操作管理器(SCOM)收集应用程序控制的事件和审计细节。

4. 全局思维构建整体防护框架

形成全局式安全策略思维，构建整体防护框架。

通过结合自动化补丁管理和应用程序控制，以及强大的集成式端点安全管理——全局策略、安全诊断、远程端点控制、安全仪表盘和报告等，Ivanti方案还可增加高级防病毒和防恶意软件功能，提供设备控制和高级保护，防范无文件攻击等。

5. 广泛集成，进一步提高效率

与ITSM等工具集成，进一步提高效率。

通过单一界面方便管理，远程控制高效清查端点，实时信息快速找到问题源......当然，Ivanti安全工具还可与系统管理等工具集成，进一步提高效率，增强对IT环境的控制。

好方法，一套就够了！

Ivanti 首席架构师罗琦：云时代IT管理呼唤“统一的力量”

Wed, 07 Mar 2018 00:12:04 Z

当IT步入云时代，当我们曾经认真的以为云会改变一切的时候，企业中的IT管理者正面临着新一轮的挑战。爆发式增长的终端数量，新型网络威胁，各类漏洞(Intel漏洞、勒索软件等)……各种IT威胁扑面而来。包括IT人员配备不合理、基础设施升级困扰......慢慢的，我们发现云时代下的IT挑战似乎比以前更加严重，有时会让人措手不及。

所以，我们呼唤新环境下的解决方案，需要能有效帮助IT解决目前的各类问题。

问题一：如何有效聚合

复杂的IT环境，需要更多的IT管理工具。移动用户管理、防病毒管理、补丁管理、网络管理、身份安全管理、IT资产管理、ITSM服务管理等等。如何才能减少各类工具，简化复杂的IT环境，尽可能聚合所有的IT工具于一体？

问题二：如何提升效率

人员组织的繁多，用户需求的差异，工具软件的分离，导致一系列的复杂化。最好的工具是流程管理，但是各自独立的管理软件无法有效整合，没有带来自动化的提升。

问题三：如何在新环境下实现安全合规

云端用户的增多，软件的获取使得授权的合规更难控制，加上设备的随意使用，用户身份的权限无法有效控制，如何确保正确的人员使用正确资源？

问题四：如何提高客户满意

公司规模的不断扩大，员工岗位的更换，员工的入职离职，都有可能让IT陷入一种无奈的状态。如何让这些更加便捷，如何尽可能让员工自己解决自己的问题？

所有的一切都不简单，时代需要的解决方案，必须具备以下特点：

完整性

一套能包括IT日常运维，安全管理，服务管理的统一平台。

整合能力

除了完整的IT，还应该包括整合尽可能多的周边服务的能力，比如，智能语音，AI，应用接口，HR，财务等多类型服务。

自动化

能使用自动化服务，让员工自动完成所需要的服务。例如，自助修改密码，软件安装申请，操作系统自动升级，员工入职的自动工作流，离职后的权限自动回收与清理。能通过自动化服务，使IT活起来，不再使用呆板的人工维护。

IT现代化

需要提供美观时尚的用户界面，提供丰富的可视化IT服务目录，创新的堪比Siri的AI智能服务，和IT数据智能分析和展现。

用户需要一个能将上面四大需求进行 “统一” 的解决方案，”Unified IT” 则成为新时代中人们期望IT能达到的一种新的标准。那将如何达到呢？

2018注定是Ivanti不平凡的一年，Ivanti推出了业内首个“Unified IT”的标准定义，给用户描绘了一幅适应现代化IT运维的思路和方法，统一IT不再是一个管理理念，是切实的可以落实在用户环境中的解决方案。

Ivanti先通过“统一”自我，将其下所有的解决方案LANDESK HEAT SAVLIK WAVELINK APPSENS RES等软件产品进行整合，统一成五大系列：UEM(统一端点管理)，ITAM(IT资产管理)，ITSM(IT服务管理)，Security(运维安全)和Identity(身份管理) ；再推出与之匹配的“Unified IT”套件，用户可以根据自身现状自由组合，灵活购买。

Ivanti从EPM到UWM（三）：以用户为中心，UWM是未来权限管理的方向

Thu, 14 Dec 2017 02:12:34 Z

在Application Manager产品之前，Ivanti也有类似的权限管理策略，只不过那时候是针对主机的，不是针对User（用户）的，比如不管是谁，登录到这台电脑的人都不能使用某些软件，所以那时并不是真正的权限管理的完整方案。而Application Manager则是从用户角度诞生，和之前的产品实现了互补。

当然，我们的Application Manager产品不只针对Windows平台，还包括Mac、Unix和Linux等端点，其中都包含了权限管理和应用程序控制两部分。

但在我看来，走到这一步还远远不够。现在Ivanti还提出了一个新的概念，叫“User Workspace Manager”，简称“UWM”。顾名思义，UWM仍然是从用户角度出发，但它比EPM要高一个层级。UWM的最大特点在于用户工作场景的识别。比如有位员工到二楼开会，让管理员帮忙连接了二楼的打印机，等他到五楼之后，还需要再连接五楼的打印机，电脑并不能自动连接到最近的打印机，这就涉及到场景识别的问题。UWM就会要求电脑具备用户工作场景的区别能力，这个例子中员工在不同楼层就会有不同的策略。

再比如系统检测到某个员工正在设计图纸，这时为了防止图纸外泄，员工只能访问服务器的某个区域，某些具有传输功能的软件如QQ则不能使用。这种策略并不是在所有情况下都会触发，只是特定用户，在使用特定的应用程序时才会。这也需要具备场景识别的能力。这种UWM所具备的能力就是基于EPM基础之上的、要求更高的、更灵活的一项技术，叫做环境技术。从这个意义上来讲，EPM其实属于UWM的一个分支。

UWM无论对Ivanti还是业界来说，都是新生事物，Ivanti明年会在该领域重点发力，推出更加完整的UWM解决方案，可以更好地覆盖用户/端点权限管理过程中所遇到的各种难题。

Ivanti从EPM到UWM（二）：脱离“域”架构，权限管理更自如

Thu, 14 Dec 2017 01:58:03 Z

通过第一篇的阐述，我们已经获悉权限管理的升和降同样重要，不能一刀切。 Ivanti就拥有针对EPM功能的产品Application Manager，其前瞻性的设计——不但能够降权，还会帮用户考虑在某些情况下提升权限。

那么Ivanti又是如何具体做到权限升降的自如结合呢？下面由我继续为大家进行解读。

Ivanti最大的秘诀在于Application Manager在架构上并不像传统的一些解决方案必须依赖于微软的“域”，而是单独开展服务。加域其实是限制了你的功能，你很难去做策略的提升。而没有域的限制，不仅有利于企业全局的管控，对用户来讲也是很大的一个扩展。

我们把Windows策略研究得非常细、非常透，它有哪些功能，每一个字段、每一个服务的位置，我们都很清楚，然后用我们自己的代码去控制激活这个功能所需要的权限。我们可以把权限的帐号和密码预先输入在某一个位置下，当这个员工是相应的用户时，他就可以用管理员去执行起这个任务了。简单来说Application Manager就是把一些权限细化到每一条操作里面去了，特定用户在进行某些操作时是可以享有管理员权限的。

但当这些操作完成后，该用户就不再拥有管理员权限了。Application Manager脱离了Windows这套管理的域，又单独为每个权限、每个细致的条目设立了一个策略，相当于重写了一次Windows主机的用户策略，因此能对每一个主机都有掌控，可以让他的权限降下来，也可以按照需求升上去。

而这一系列细致的、独立的策略，也使得Application Manager的权限管理不仅仅局限于传统的软件控制，而是实现了对整个Windows系统层面的把控。无论是更改日期和时间，设置字体大小、桌面背景分辨率，还是设置打印机等等，都可以进行权限控制和管理。因此，它是基于一个比软件的安装和使用更加广阔的应用场景。

Ivanti从EPM到UWM（一）：权限管理的升降同样重要，切勿一刀切

Wed, 13 Dec 2017 09:45:21 Z

对于企业来讲，员工一次不经意的下载安装，可能会让整个公司看似完备的安全策略功亏一篑。正是在这样的背景下，端点权限管理已成为企业越来越关注的话题。

近日，知名市场研究机构 Gartner 在其发表的《用端点权限管理，降低Windows本地管理员的访问权限》报告中指出，“降低对本地管理员的访问权限是加强Windows安全最有效的措施之一，但兼顾本地的访问权限管理和用户体验却是许多公司都未能处理好的一个难题，一刀切的禁止措施，会让用户体验急剧下降。而端点权限管理（Endpoint Privilege Management，简称EPM）技术，则为这一难题提供了最佳解决方案。这项技术也是Ivanti所关注和擅长的。

为什么要尽量降低本地管理员的访问权限？Gartner 在《用端点权限管理，降低Windows本地管理员的访问权限》报告中指出，“很多安全风险与本地管理员权限息息相关。倘若本地管理员访问被滥用或误用，就会导致安全削弱、数据丢失、支持成本高昂和用户体验糟糕等问题，如恶意软件的执行和传播。而据Avecto开展的《2016年微软安全漏洞调查：通过取消用户权限来缓解风险》显示，如果取消管理员权限，就可以缓解94%的微软重大安全漏洞。”

但是，完全取消本地管理员权限显然行不通，不仅会严重影响用户体验（行为习惯大受限制），还会给IT管理员增加负担。那么，如何才能兼顾本地的访问权限管理和用户体验呢？ EPM技术就致力于解决这一问题，其理念是将应用程序控制和本地的访问权限管理相结合，确保只有可信赖的应用程序才能运行，并在最小权限的情况下运行。借助EPM技术，企业就可能实现对本地管理员的访问权限进行限制或阻止，同时确保减小对最终用户的影响。

作为Ivanti安全专家，我认为其实现在一些公司对待EPM技术的态度比较复杂：做的话担心权限管理控制太严，用户不满意，同时也给IT管理员增加了工作量，用户的任何一个装驱动、卸载输入法等小需求也都要去找管理员；不做的话又担心安全风险太大。出于安全以及实现方面的考虑，目前大部分EPM产品提供商都偏重于降权，即严格控制权限，这是比较容易实现的，但对用户体验肯定会有影响。由于权限被严格控制，很多行为习惯都要被迫改变，原来能上网可能现在不能上了，原来能自己安装软件，现在都要求助于IT管理员。

而Ivanti针对EPM功能的产品Application Manager，则有一个前瞻性的设计——不但能够降权，还会帮用户考虑在某些情况下提升权限。比如某个员工因为工作需求，需要在特定情况下使用某个应用程序，这时管理员便可以给该员工提升权限，让员工可以自主安装这一应用程序，而不是一刀切。这种设计便于企业细粒度控制，也能很好地提升用户体验。