Implementación de la aplicación SAP Privileges Auto con el Comprobador de privilegios

  • EF

¿Qué es SAP Privileges?

SAP Privileges es una herramienta de código abierto para macOS que permite a los usuarios elevar temporalmente sus cuentas de usuario de estándar a administrativas cuando sea necesario. Esto es especialmente útil en entornos en los que las prácticas recomendadas de seguridad sugieren que los usuarios deben operar con los privilegios mínimos necesarios para las tareas diarias, pero en ocasiones necesitan derechos administrativos para acciones específicas.

¿Cómo funciona SAP Privileges?

La aplicación SAP Privileges for macOS permite a los usuarios elevar sus privilegios para realizar tareas administrativas de forma temporal. La funcionalidad incorporada de SAP Privileges admite la caducidad de derechos basada en el tiempo, pero solo si los privilegios se otorgan primero haciendo clic con el botón derecho en el icono del Dock y seleccionando la opción "Alternar privilegios". Esto significa que la aplicación revertirá al usuario a los privilegios estándar después de un período establecido si usa este método específico para elevar sus derechos.

Sin embargo, los usuarios también pueden iniciar la aplicación SAP Privileges completa para elevar sus privilegios, lo que omite el método del icono del Dock. Para solucionar este problema, hemos publicado código complementario que aplica el tiempo de espera incluso cuando los privilegios se escalan a través de otros métodos, como el inicio de la aplicación completa.

Configuración de privilegios de SAP en Kandji

Requisitos

  • Script de auditoría del Comprobador de privilegios (enlace de GitHub)

  • Script de corrección del Comprobador de privilegios (GitHub Link)

  • Una herramienta para la creación de perfiles personalizados, como iMazing Profile Editor

  • Los privilegios de SAP Auto App, el script personalizado y el perfil personalizado deben agregarse al mismo Blueprint(s)

  • La opción Degradar cuentas de usuario a Parameter estándar debe estar deshabilitada en cualquier Assignment Maps o Classic Blueprints en el que se asignen privilegios

Adición de la Auto App de privilegios de SAP

Este Auto App despliega un perfil de configuración que permite elementos en segundo plano para SAP Privileges y Privileges Checker. Esto es para garantizar la funcionalidad principal del complemento y no tiene ningún impacto si el Comprobador de privilegios no está presente.

  1. Haga clic en Biblioteca en la barra de navegación de la izquierda.

  2. Haga clic en Agregar nuevo en la esquina superior derecha.

  3. Escriba Privilegios en la barra de búsqueda o desplácese hacia abajo hasta la sección Auto App y busque Privilegios de SAP.

  4. Haga clic en Agregar y configurar en el elemento Privilegios de SAP .

  5. Asigne el Auto App a un Blueprintde prueba .

  6. Seleccione el método de instalación deseado y presione Guardar.

Adición y configuración del script del comprobador de privilegios

Una vez que se implementa este script, Privileges Checker revocará los derechos del usuario que haya iniciado sesión después de que haya expirado el tiempo de espera establecido.

Agregar un script personalizado Library Item

  1. Vaya a Biblioteca en la barra de navegación de la izquierda.

  2. Haga clic en Agregar nuevo en la parte superior derecha y elija Script personalizado.

  3. Haga clic en Agregar y configurar.

  4. Asigne un nombre al nuevo acceso Library Item almacenamiento y acceso. 

  5. Asigne a su Assignment Maps o Classic Blueprintsdeseado .

  6. Seleccione Ejecutar cada 15 minutos como Frecuencia de ejecución

  7. Pegue el script de auditoría que descargó anteriormente en el campo de texto Script de auditoría. Edite el script en la línea 65 para establecer un valor booleano para USE_PROFILE_TIMEOUT y un valor de cadena para USERS_TO_EXCLUDE.

    • Para USE_PROFILE_TIMEOUT:

      1. Establecido en Verdadero o Falso: aplica un tiempo de espera en minutos desde el conjunto de claves DockToggleTimeout en el perfil de configuración de privilegios (consulte a continuación).

      2. Si el valor está marcado como True pero no hay ningún perfil instalado, o si la clave DockToggleTimeout no está definida, el tiempo de espera se establecerá de forma predeterminada en MINUTES_TO_WAIT. De lo contrario, el perfil de configuración invalidará el valor establecido localmente MINUTES_TO_WAIT.

    • Para USERS_TO_EXCLUDE:

      1. Si no se define ningún administrador, todos los administradores serán degradados.

      2. Los nombres de los administradores deben colocarse entre comillas dobles. 

  8. Pegue el script de corrección que descargó anteriormente en el campo de texto Script de corrección. Edite el script en la línea 56 para establecer un valor entero para MINUTES_TO_WAIT. Este es el número de minutos que se le deben permitir a un usuario final los derechos de administrador una vez otorgados.

  9. Edite el script en la línea 64 para establecer un valor booleano para USE_PROFILE_TIMEOUT.

    1. Establecido en Verdadero o Falso: aplica un tiempo de espera en minutos desde el conjunto de claves DockToggleTimeout en el perfil de configuración de privilegios (consulte a continuación).

    2. Si el valor está marcado como True pero no hay ningún perfil instalado, o si la clave DockToggleTimeout no está definida, el tiempo de espera se establecerá de forma predeterminada en MINUTES_TO_WAIT. De lo contrario, el perfil de configuración invalidará el valor establecido localmente MINUTES_TO_WAIT.

  10. Edite el script en la línea 72 para establecer un valor de cadena para USERS_TO_EXCLUDE.

    1. Los nombres de los administradores deben colocarse entre comillas dobles.

  11. Haga clic en Guardar

Crear un perfil personalizado

Los pasos de creación de perfiles son opcionales si está configurando el tiempo de espera de derechos a través de un script. También puede revisar las opciones de perfil adicionales que admite SAP Privileges en su página de GitHub.

Si la clave EnforcePrivileges en el perfil personalizado se establece con cualquier valor, deshabilitará PrivilegesCLI usado en el Comprobador de privilegios e invalidará su capacidad para degradar a los usuarios.

  1. Abrir el editor de perfiles de iMazing

  2. En el lado izquierdo, busque y haga clic en Privilegios de SAP en Dominios de sistema disponibles.

  3. Haga clic en Agregar carga útil de configuración.

  4. Introduzca un valor para Dock Toggle Timeout.

    • Si Privilegios está configurado con la carga DockToggleTimeout, pero el Comprobador de privilegios no está implementado, la revocación de derechos cronometrada solo se producirá si un usuario hace clic con el botón derecho en el icono del Dock de privilegios y selecciona Alternar privilegios.

  5. Opcionalmente, configure los ajustes adicionales para los privilegios de SAP según lo desee.

  6. Haga clic en la sección General ; rellene los valores necesarios para Nombre e Identificador.

  7. Pulsa Comando+S para guardar tu perfil. 

Agregar y configurar el perfil personalizado

  1. En la aplicación web Kandji , haga clic en Biblioteca en la barra de navegación de la izquierda.

  2. Haga clic en Agregar nuevo en la esquina superior derecha.

  3. Haga clic en Perfil personalizado en la ventana Agregar nuevo.

  4. Asigne un nombre al perfil.

  5. Asigne su perfil personalizado a un Blueprintde prueba.

  6. Establezca las familias de dispositivos en Mac.

  7. Cargue el archivo .mobileconfig que personalizó y guardó anteriormente.

  1. Guarde su perfil personalizado.

Los detalles técnicos sobre Privileges Checker se pueden encontrar en nuestro repositorio de GitHub de soporteKandji.