客户使用管理权限政策(学院)
关于本政策
- 负责办公室
- 信息技术
目的
维护校园计算环境和大学数据的最高安全水平是校园社区共同的责任。此策略为实现安全环境建立了客户需求的基线。
所有大学购买的计算设备的默认特权是“标准”客户端特权。标准客户端特权允许用户使用与其设备一起提供的安装的应用程序。这包括在电脑上处理文档(创建、修改和保存)、打印和访问基于saas的应用程序(如Workday、Peoplesoft和Nest)的能力。标准级别的用户权限不允许用户:
- 安装没有通过信息技术部门或当地技术团队分发的软件
- 对操作系统进行更改
- 对应用程序执行升级
- 特定硬件设备的安装
通过创建分发到Mac和Windows平台的标准计算机映像,维护这些系统的完整性落在了您的支持小组的肩上。这些标准的计算机映像是利用应用程序,将允许我们推出更新和配置更改远程保护。
我们还要求所有用户遵守几项有关计算的政策,包括负责任使用计算的政策和数据分类和处理政策。
请求提升权限:
提高特权的请求是根据提交给信息技术部门或本地技术团队的经批准的业务理由来考虑的。适当的支持团队将与用户合作,确定允许用户在不授予其提升权限的情况下实现其需求的替代方法。这可能包括为通过IT管理的软件环境交付的自助服务软件安装提供选项。
如果确定有必要出现特权升级的异常,则将使用IT的标准命名约定,通过设置单独的特权帐户,向用户提供特权升级。(例如< NetID > _prv)。
为了授予提升权限,用户必须:
- 完成一个安全意识培训课程(保护人类)
- 确保所安装的应用程序/硬件/配件来自合法网站(例如,Microsoft Office应从Microsoft.com下载),并且仅用于处理与大学有关的业务。
- 确保对操作系统或浏览器的任何更改都得到批准。
- 只有在执行需要提升特权的任务时才使用特权帐户,例如当软件安装需要特权帐户时。
- 始终如一地维护和保护数据备份。
注意:用户不应使用特权帐户登录客户端进行日常计算机任务,例如浏览网站,使用社交媒体,检查电子邮件,处理文档,电子表格和数据库,这些都是传播恶意软件的载体。在使用特权帐户的同时承包恶意软件,将对计算机的管理控制权授予恶意软件。
被授予提升权限的用户不能:
- 禁用其他管理帐户
- 修改或禁用任何已配置的服务(防火墙、防病毒等)或安全配置(即不使用特权帐户来管理家长控制)
- 将计算机从Active Directory (AD)域中退出
请求程序
要请求标准访问权限的例外,用户必须填写“请求特权帐户-仅限学院”表格,其中包括一个区域,说明请求的原因。此表格将通过电子邮件发送到我们的事件管理系统ServiceNow (SNOW)。您将通过IT支持服务副总监或您当地的技术团队总监与您联系,他们将审查请求,以确定是否认为有必要。
- 我们将联系您的经理以获得额外的批准。
- 如果您被批准为特权帐户,一旦请求被提供,服务台将与您联系并提供进一步的信息。
- 如果您未被批准,那么您的事件将被标记为已解决,您将通过ServiceNow (SNOW)收到通知。
一般准则和特权的丧失
- 如果违反任何条件,信息技术部或您当地的技术支持团队保留暂停特权帐户的权利。
- 客户承认,受损的操作系统可能需要重新安装,这可能导致部分或全部文件丢失。
- 特权帐户不是永久提供的。我们将定期对它们进行检查,或者在您获得一台新的租用机器时对它们进行检查。