Przejdź do treści
Polski
Zaloguj się
Kontakt z nami
  • Brak sugerowanych wyników, ponieważ pole wyszukiwania jest puste.

Najczęściej zadawane pytania (FAQ) – Admin by Request

FAQ – Admin by Request

Pytanie 1: Jeśli sesja administratora jest aktywna – czy można odinstalować aplikację lub program za pomocą PowerShell? Czy możemy zablokować takie działania poprzez Tray Tools?
Pracownicy czasami muszą zmienić coś w ustawieniach kart sieciowych, ponieważ system się zawiesza i wtedy dostają tymczasowy dostęp administracyjny. Zdarza się jednak, że niektórzy używają PowerShell do odinstalowania agenta Admin by Request. Czy mamy możliwość zablokowania tego?

Odpowiedź:
Aby użytkownik mógł uruchomić PowerShell z uprawnieniami administratora, musi mieć możliwość jego podniesienia. Dopiero wtedy jest w stanie wykonywać polecenia (np. WMIC) w celu odinstalowania aplikacji. W ABR nie ma możliwości selektywnego blokowania lub dopuszczania konkretnych poleceń w PowerShell. Jeśli aplikacja została zainstalowana, pojawi się w inwentarzu – a ten można sprawdzić poprzez API. Samo odinstalowanie będzie również widoczne w logach audytowych.

Pytanie 2: Czy można generować kody/PIN-y przypisane do konkretnych pracowników/laptopów, które działałyby jak dodatkowe uwierzytelnienie, aby potwierdzić ich tożsamość?
Firma chce zabezpieczyć się przed nieautoryzowanym dostępem do komputera i pobieraniem plików bez jej wiedzy i zgody. Chodzi o coś w rodzaju podania online PIN-u w celu zatwierdzenia pobrania aplikacji.

Odpowiedź:
Najlepszym rozwiązaniem jest włączenie trybu MFA UAC oraz funkcji przypisania właściciela urządzenia. Trwają prace nad systemem PIN dla trybu offline MFA. Warto pamiętać, że pobieranie plików nie wymaga uprawnień administratora, dlatego ABR EPM nie może tego kontrolować. Pracujemy nad nowym produktem typu „download by request”, który odpowiada na takie potrzeby – spodziewana dostępność to końcówka 2025 roku (wersja beta wcześniej).

Pytanie 3: Systemem, którego używają, jest Autodesk. Jeśli instalowane są dodatkowe paczki o różnych nazwach, czy można whitelistiować wszystkie pliki instalacyjne, aby nie wymagały każdorazowej akceptacji?
Problem polega na tym, że paczki instalowane są często poza godzinami pracy, np. późnym wieczorem, i nie zawsze wiadomo z wyprzedzeniem, jaka aplikacja będzie instalowana.

Odpowiedź:
Można zastosować whitelistowanie certyfikatu producenta – w tym przypadku wszystkich plików i dodatków tworzonych przez Autodesk. Warto też przypomnieć, że ABR posiada produkt Remote Access (SRA), który umożliwia zdalne wsparcie i udostępnianie ekranu bez konieczności instalacji dodatkowych agentów czy plików (wykorzystuje tego samego agenta ABR).

Pytanie 4: Czy podczas trwania sesji administracyjnej możemy zablokować użytkownika, jeśli zauważymy, że próbuje odinstalować lub zainstalować określone aplikacje?

Odpowiedź:
Obecnie nie ma takiej możliwości w trakcie sesji. Na roadmapie znajduje się jednak funkcja „remote kill session”.

Pytanie 5: Jakie funkcjonalności oferuje moduł Tray Tools?

Odpowiedź:
Dostępny jest materiał wideo opisujący Tray Tools: zobacz film.

Pytanie 6: Jeśli umożliwimy instalację aplikacji/systemów bez zatwierdzania w określonym folderze, co się stanie, jeśli pracownik umieści tam wirusa lub złośliwe oprogramowanie? Jak zareaguje system?

Odpowiedź:
Rozwiązanie OPSWAT powinno uniemożliwić uruchomienie znanej złośliwej aplikacji przez ABR. Użytkownik nie może umieścić pliku w chronionym obszarze (np. Program Files) bez przyznanych uprawnień administratora. Jeśli funkcja „Run As Admin” została użyta do zainstalowania np. AnyDesk, użytkownik może uruchomić instalację AnyDesk, ale nie będzie w stanie ręcznie wprowadzić pliku do folderu AnyDesk – chyba że złośliwy kod byłby częścią samej aplikacji. Wtedy OPSWAT powinien go wykryć.

Pytanie 7: Jeśli przyznamy pracownikowi sesję administracyjną poza godzinami pracy (np. na nocnej zmianie), co się stanie, jeśli zrestartuje komputer? Czy sesja wygaśnie po ponownym uruchomieniu?

Odpowiedź:
Jeśli użytkownik otrzyma sesję administracyjną na 6 godzin, to będzie ona aktywna również pomiędzy restartami, dopóki czas nie upłynie. Po włączeniu laptopa, jeśli pozostała 1 minuta, użytkownik zobaczy licznik pokazujący 1 minutę do końca sesji. Jeśli użytkownik zakończy sesję przed czasem (np. po 2 godzinach), dostęp zostaje wyłączony i trzeba wystąpić o nową sesję.

Pytanie 8: Czy w ramach integracji z Intune i innymi systemami możliwe będzie włączenie uwierzytelnienia dla pracowników łączących się do sesji administracyjnych lub korzystających z Run as Admin?

Odpowiedź:
Tak – można skorzystać z trybu MFA UAC wspomnianego w pytaniu 2.

Pytanie 9: Jak zarządzać dostępem dla pracowników pracujących nocą? Jak cofnąć im dostęp? Czy pracownik może mieć indywidualny PIN?

Odpowiedź:
Standardowo przy zatwierdzaniu sesji wymagana jest interakcja człowieka. Można jednak stworzyć rozwiązanie API, które automatycznie zatwierdza sesje poza godzinami pracy, np. w oparciu o słowa kluczowe w uzasadnieniu – i wówczas akceptować lub odrzucać dostęp. Do tego celu służy API wniosku o sesję.

Pytanie 10: Niektóre systemy są wykrywane jako zagrożenia, mimo że nimi nie są. Czy można sobie z tym poradzić?

Odpowiedź:
Rzadko zdarza się, aby OPSWAT błędnie oznaczył plik jako złośliwy, jeśli faktycznie nim nie jest. Warto w takim przypadku sprawdzić plik przy pomocy VirusTotal. Jeśli jesteś w 100% pewien, że plik jest bezpieczny, możesz skorzystać z pre-aproval – ta funkcja nadpisuje blokadę OPSWAT.

Pytanie 11: Co się stanie, jeśli agent zostanie zainstalowany na stacji roboczej, a później ta stacja ulegnie zniszczeniu?

Odpowiedź:
Ponieważ stacja stanie się bezużyteczna, licencja ABR zostanie zwrócona po 60 dniach braku aktywności (domyślne ustawienie).

Pytanie 12: Czy można ograniczyć dostęp pracowników, np. do plików?

Odpowiedź:
Możemy ograniczyć dostęp do konkretnych plików poprzez blokowanie sum kontrolnych. Możemy blokować całych dostawców poprzez blokowanie ich certyfikatów, blokować lokalizacje (niedostępne na macOS ze względu na polityki producenta) oraz stosować blokadę always, która dotyczy dowolnego pliku, nawet niezwiązanego z podnoszeniem uprawnień administracyjnych.

Pytanie 13: Jeżeli mamy kod PIN do odinstalowania agenta, co się stanie, gdy użytkownik otrzyma uprawnienia administracyjne na swojej stacji roboczej?

Odpowiedź:
Maksymalny poziom uprawnień, jakie użytkownik może samodzielnie uzyskać poprzez ABR, to Admin Session, a ta nie pozwala na odinstalowanie ABR. Aby odinstalować agenta, należy użyć kodu PIN do deinstalacji albo systemu MDM, który został użyty do wdrożenia ABR, korzystając z komendy deinstalacyjnej opisanej w IT Admin Guide.

Pytanie 14: Czy możliwe jest tworzenie grup na podstawie ról w organizacji. Jeśli tak — czy odbywa się to poprzez grupy domenowe, czy jest konfigurowane bezpośrednio w ABR?

Odpowiedź:
Zakładam, że mówiąc „Azure AD w chmurze”, mają na myśli Entra. W takim przypadku tak — możemy odczytywać ich istniejące grupy zabezpieczeń z ich dzierżawy Entra. Mogą one być używane do tworzenia sub-settings, aby różne grupy użytkowników miały różne ustawienia ABR. Muszą jedynie utworzyć konektor z uprawnieniami tylko do odczytu w naszym portalu (instrukcje są przejrzyste).
Nagrania wyjaśniające:

  1. https://www.youtube.com/watch?v=WmUj6HvHw5c&t=58s
  2. https://www.youtube.com/watch?v=lGH4wPqPCMY&t=56s

Pytanie 15: Modułu SRA: "gdy zwalnia się pracownika i odbiera się mu dostęp do poufnych danych, czy możliwe byłoby — używając SRA Remote/Support — podłączenie się do jego stacji roboczej i uniemożliwienie np. usuwania poufnych danych?

Odpowiedź:
ABR zarządza jedynie lokalnymi uprawnieniami administratora. Jeżeli do usunięcia danych wymagane są uprawnienia administracyjne, funkcja Owner jest tutaj bardzo przydatna. Jeśli w odpowiednich ustawieniach zostanie ona aktywowana, można odebrać użytkownikowi prawa właściciela — wtedy nie będzie już mógł korzystać z ABR).