一些通常的抱怨关于微软Windows控制权限和安全方面的问题,这些工作仍然显得琐碎和笨拙。例如,如果你把一个用户放到简化特权的类别里,除了改变他们的组成员,很困难去选择性地允许他们提高权限。如果他们需要运行一个程序(或者一系列应用程序)需要管理员权限。这个管理员需要设计一个途径来来提高权限以允许他们去运行这些程序。
尽管在Windows内机器可以帮助做这些事情,但是现在也接近结束“你能做一些事情或者你不能。很难把例外情况分离出来,或者同意一次性的允许某些事情。”
这方面解决这个难题最好的第三方解决方案是Winternals Protection Manager。这个应用程序允许管理员定义很多更加精确、受约束的参数,以控制用户或者用户组能(或者不能)做一些事情。
每个程序能够进行四种控制级别的一种:拒绝、做为受限制用户运行、作为管理员运行或者通常允许。“阻止”功能不依靠组策略使用的那些黑名单/组策略使用的应用程序镜像(Application Image)技术。如果决定这么做,这将不用管理员特殊鉴定就阻止任何事情。你可以使用文件名、所有者和其它一些方式来定义允许文件。)这种方法提供一个额外的好处:因为任何没有进行特定允许的应用程序都将受限制,这样病毒和木马程序等将更难入侵。
另外一个特色功能是Windows默认并不支持的功能,能够进行“运行时间”访问允许的请求。“用户能够运行一个程序,如果是被禁止的,他们可以请求管理员给予他们进行这些操作的权限。并不需要重新写他们的安全策略”。管理员同样能够“获取”从系统运行程序去看什么人在使用,从这些信息来建立他们限制策略。这种方式下他们能够使用实时数据。
这个产品的一个免费评估版本(可以运行30天)现在可用,定价标注取决于工位和服务器需要的数量。
