AppSense

AppSense Environment Manager

ניהול סביבת המשתמש מעולם לא היה דינאמי יותר

AppSense Environment Managerappsense הוא הפתרון היחיד המאפשר ניהול אחיד של סביבות המשתמשים המסובכות ביותר, אפליקציות ומידע, נהל 10,000 משתמשים כמשתמש אחד.

כיום בארגונים גדולים קיימת בעיה מרכזית של ניהול סביבת המשתמש, בשוק קיימים פתרונות רבים בעולם זה אך AppSense Environment Manager הוא הפתרון היחיד המאפשר ניהול של הגדרות פרופיל, GPO, Registry, File System, Application Personalization, מיפוי כוננים ומדפסות ועוד.

בעזרת ה-Environment Manager ניתן לספק למשתמשים סביבת עבודה אחידה ללא תלות במחשב ומערכת ההפעלה(Microsoft) עליה עובד המשתמש, בצורה דינאמית, נוחה ובטוחה.

יכולות

• ניהול מרוכז של הגדרות המשתמשים בארגון

• מאפשר שדרוג ומעבר פשוט בין מערכות הפעלה

• Application Personalization

• גיבוי ושחזור הגדרות פרופיל מבוססות Executable (ניתן לשחזר הגדרות של אפליקציה בודדת)

• עבודה ב-Offline

• מנגנוני שליטה מקדמים המאפשרים דינאמיות בניהול סביבת המשתמש, לדוגמא: ניתן להחיל GPO מסוים על בסיס קיום קובץ בשרת או רק כאשר קיים Network Disconnection , ניתן גם לכתוב Custom Condition בשפת PowerShell

• ניהול Group Policy – Administrative Template (מבוסס ADMX)

• מיפוי כוננים ומדפסות

• Folder Redirection/Synchronization

• קיים ממשק Self-Service מבוסס Web המאפשר למשתמשים לשחזר את הגדרותיהם באופן עצמאי.

יתרונות עיקריים

• מעניק חווית משתמש אחידה ללא תלות במחשב ומערכת ההפעלה (Microsoft)

• ניהול כלל סביבת המשתמש במוצר אחד

• מפשט שדרוגי מערכת הפעלה

• מאפשר עבודה ב-Offline

• גיבוי ושחזור של הגדרות המשתמשים לפי אפליקציה בכל רגע נתון

• מקטין משמעותית את התקלות בפרופילי המשתמשים

• המוצר עובד בשיטה של Versioning ולכן מתאפשרת חזרה לאחור באופן מיידי.

איך זה עובד

המוצר מורכב משני חלקים:

Policy:

מאפשר יצירת סט הגדרות הכולל הגדרות GPO,File System,Registry,מיפוי כוננים ומדפסות ועוד.

את כל אחת מההגדרות ניתן להחיל כמעט בכל שלב (Login/Logoff, Process Start/Stop, Network Connection/Disconnection ועוד) בנוסף ניתן להגדיר Condition-ים מתקדמים שיקבעו על גבי אילו משתמשים/מחשבים ובאילו מקרים יחולו אותן הגדרות, לדוגמא ניתן להגדיר כי ההגדרות יחולו רק אם מערכת ההפעלה כתובת ה-MAC וה-Published Application אליה ניגש המשתמש תואמות לדרישה.

User Virtualization (Personalization)

מאפשר לכידה של הגדרות אפליקציות המשתמש אל מסד נתונים (SQL), המידע נשמר על בסיס Executable, בכל פעם שתתבצע גישה אל ה-Executable הנתונים שנשמרו במסד הנתונים ישתלו ב-Session של המשתמש, כך שהמשתמש יקבל את אותה סביבה לא הוא רגיל מכל עמדה/שרת ממנה יעבוד ללא תלות במערכת ההפעלה.

מנגנון ה-Personalization מאפשר ללכוד מידע לגבי פרופילים קיימים, בפעם הראשונה שיפתח יישום מסוים תתבצע קריאה של כלל ההגדרות ושליחתן את מסד הנתונים, החל מפתיחת היישום הבאה, יתקבלו אותן הגדרות.

המוצר מאפשר לבצע גיבויים ושחזורים של הגדרות המשתמש לפי אפליקציה.

קיימת אפשרות ל"מצב למידה" בה המוצר ינטר את פעילות היישומים ויאפשר בלחיצת עכבר להגדיר אפליקציה אותה ניטר, בנוסף ניתן לבצע הגדרה אוטומטית לכל אותם יישומים שימצאו.

ניתן להגדיר סט של הגדרות שונות עבור כל משתמש.

AppSense Performance Manager

שיפור ביצועים מיידי.

appsense2ככל שסביבות ה-Terminal וה-Virtual Desktops גדלות, כך גדל גם הצורך לוודא כי השירות אותו אנו מספקים יהיה זמין למשתמש בכל רגע נתון, עם מנגנוני הבטחת Memory ו-CPU, אפשרות להגבלת יישומים וניהול דינאמי של משאבי המערכת,

AppSense Performance Manager עוזר בהשגת מטרה זו.

יכולות

• ניהול מרוכז של משאבי השרתים

• ניהול חכם המאפשר הקצאה דינאמית/ קבועה בראש של משאבים

• ניהול משאבים על פי חוקים גמישים המבוססים על מצב ה-אפליקציה/Session (לדוגמה: הקצאת המשאבים תהיה שונה אם האפליקציה נמצאת במצב Minimize או לא)

• מנגנון CPU Throttling היודע לזהות מצב בו המערכת צורכת 100% CPU, במצב כזה ללא Performance Manager המערכת תקרוס, בעזרת ה-Performance Manager היישומים שצורכים הרבה CPU יוגבלו למספר שניות בכדי למנוע מצב שכזה.

• מנגנון CPU/Memory Shares/Reservations

• מנגנון Trimming המקטין את השימוש ב-Memory Working Set

• מנגנון איחוד DLL-ים (בדומה ל-Citrix Memory Optimization)

יתרונות עיקריים

• שיפור של User Scalability על גבי שרי Terminal

• חסכון בשימוש ב-Memory

• מונע קריסה של מערכת ההפעלה

• הקצאה דינאמית של משאבים בזמן אמת עפ"י מנגנונים חכמים – משפר ביצועים

• אפשרות לשייך סט הגדרות שונה לכל משתמש

איך זה עובד

המוצר מורכב משלושה חלקים:

Resource Allocation:

בעזרת חוקים דינאמים ונוחים לתפעול ניתן להגדיר עבור כל משתמש איך תתבצע חלוקת המשאבים, לדוגמה ניתן להגדיר כי יתבצע Trim ליישום Internet Explorer שידוע כצרכן Memory מרכזי, בנוסף ניתן להגדיר כי ה-Internet Explorer יקבל הקצאת CPU גבוהה יותר כאשר יופיע ב-Foreground, לאחר שינוי הפוקוס רמת העדיפות שלו ב-CPU תרד באופן אוטומטי.

קיימות גם השיטות: Share/Reservation המוכרות מעולם הווירטואליזציה.

Memory Optimization:

מאפשר להקטין את השימוש ב-Memory על ידי יצירת Shared Dlls – בסביבת טרמינל משתמשים רבים פונים לאותן אפליקציות, במקרים רבים האפליקציות אינן מתוכננות לעבודה בסביבה שכזו ולכן נטען עותק של קבצי ה-DLL לזיכרון עבור כל משתמש, AppSense Performance Manager מנטר מצבים אלו ובשעה מוגדרת מראש משנה את ההפניה כך שהמשתמשים יעבדו אל מול DLL משותף שיטען רק פעם אחד אל הזיכרון.

Thread Throttling

מונע קריסה של מערכת ההפעלה ומאפשר עבודה רציפה ע"י נטור מצב בו המערכת מנצלת 100% CPU, במצב כזה AppSense Performance Manager יגביל את כמות הקצאת ה-CPU עבור ה-Thread-ים שדורשים כמות רבה של משאבים כך שמערכת ההפעלה תגיע ל-90% ניצולת CPU ותוכל להמשיך לתפקד.

AppSense Application Manager

בקרה ושליטה על הרצת יישומים בארגון

AppSense Application Managerappsense3 מאפשר בקרה ושליטה מלאה על הרצת היישומים בארגון, שליטה בגישה למשאבים חיצוניים (ברמת תקשורת), ביטול הרשאות Admin מיותר למשתמשים והעלאת רמת אבטחת המידע בארגון.

בעוד הדרישות לאבטחת מידע הולכת וגדלה משתמשי הקצה עדיין זקוקים להרשאות גבוהות לביצוע הפעולות היום-יומיות, AppSense Application Manager פותר את הסוגיה הזו ע"י אפשרות למתן הרשאות להרצת יישומים ופעולות ספציפיות, במקביל AppSense Application Manager מאפשר נעילה חכמה של הגישה ליישומים רגישים ע"י ניהול רשימה דינאמית (White-List) של קבצים מורשים, כל שאר הקבצים נחסמים ולא ניתנים להרצה.

AppSense Application Manager רץ ברמת Kernel ולכן אמין ובטוח יותר מפתרונות כדוגמת Group Policy.

עם Application Manager רמת האבטחה בארגון עולה, ומובטח כי הגישה למשאבים מתאפשרת רק עבור מי שמורשה לכך.

יכולות

• ביצוע Elevation להרשאות המשתמש, מייתר את הצורך בהענקת הרשאות חזקות למשתמשים

• ניהול Black & White Lists לצורך ניהול גישה ליישומים, קיימת אפשרות ל"מצב למידה" המאפשר לצפות מראש לאילו יישומים מתבצעת גישה ולהגדיר מראש את הרשימות כך שבפועל המעבר יהיה שקוף למשתמשי הקצה

• Trusted Vendors – אפשרות להגדרה של יישומים מ-Vendor מסוים כיישומים בטוחים להרצה, מתבצע באמצעות בדיקת Certificate

• Trusted Owners – אפשרות להגדרת משתמשים וקבוצות משתמשים בהם אנו נותנים אמון, בכל הרצה של יישום נבדק מיהו ה-Owner של הקובץ, רק אם היישום מוגדר ב-White List ובנוסף ה-Owner מוגדר כ-Trusted תותר ההרצה של היישום, מנגנון זה מבטיח כי לא יהיה ניתן לזייף קבצים שהותרו להרצה ע"י התחקות אחרי שם היישום

• חסימת גישה למשאבי רשת

יתרונות עיקריים

• משפר משמעותית את רמת אבטחת המידע בארגון

• מאפשר ביטול הרשאות מיותר המהוות פרצת אבטחה

• נתמך בכלל מערכות ההפעלה המבוססות Windows החל מ-XP\Windows Server 2003

• התממשקות ל-Active Directory

• מאפשר שליחת הודעות SMTP/ SNMP לצרכי ניטור

• שקוף למשתמש הקצה

• ניהול מרכזי של כלל היכולות

• ניתן לשייך כל אחד מהיכולות לקבוצה/למשתמש מסוים

איך זה עובד

המוצר מורכז משלושה רכיבים מרכזיים:

User Rights Management

מבוסס על רשימת יישומים (White & Black List) אשר רצים באופן אוטומטי עם הרשאות חזקות, מאפשר ביטול הרשאות Admin לכלל משתמשי הקצה ולאפשר להם הרצת יישומים מסוימים עם הרשאה זו.

User Rights Management מאפשר גם לבצע Self-Elevation, אפשרות המקנה למשתמש את היכולת להריץ כל יישום בהרשאות Admin, ניתן לדרוש מהמשתמש לספק סיבה להרצה בהרשאות אלו וכך לבצע את המעבר באופן שקוף למשתמש לאחר למידה של היישומים הדורשים הרשאות Admin.

יכולת נוספת התורמת למטרה זו היא, User Rights Discovery, ממשק המאפשר לבצע Monitoring לעמדות הקצה ולקבל דוח לגבי האפליקציות המצריכות הרשאות Admin.

Application Control

כמו ה- User Rights Managementגם מנגנון ה-Application Control מבוסס על Black & White List המגדרים אילו יישומים ניתן להריץ. ניתן לשייך כל משתמש/קבוצה לרשימה המתאימה לצרכיה.

חלק בלתי נפרד מה-Application Control הוא ה-Trusted Vendors/Owners.

Trusted Vendors:

מאפשר להגדיר אילו יצרנים מוגדרים כבטוחים והפעלת היישומים החתומים ע"י ה-Certificate שהוגדר להם תתאפשר.

Trusted Owners:

מאפשר להגדיר אילו משתמשים מוגדרים כבטוחים, כאשר מתבצעת גישה ליישום מסוים נבדק מיהו ה-Owner של אותו יישום, רק אם ה-Owner קיים ברשימת ה-Trusted Owner תתאפשר הגישה אל היישום, יכולת זו מבטיחה כי לא יהיה ניתן להתחקות אחר שמות יישומים הקיימים ב-White List ובכך לעקוף את מנגנון האבטחה.

ניתן להפעיל את היכולת ב"מצב למידה" ובכך לראות אילו ישומים צפויים להחסם מבלי לבצע חסימה בפועל.

Network Restrictions:

מאפשר להגדיר לאילו משאבי רשת ניתן לגשת, מתפקד כסוג של Firewall אפליקטיבי

השילוב של שלושת הרכיבים מספק אבטחה מקיפה לשרת.