Self Service+ consigne tous les évènements d’élévation des privilèges dans la catégorie PrivilegeElevation des journaux unifiés. L’activation du réglage Motif de l’élévation de privilèges (UserPromotionReason) crée un fichier journal ElevationReasons dans le répertoire des journaux Self Service+, qui indique l’utilisateur à l’origine de la demande d’élévation, la raison de l’élévation et l’horodatage de la demande d’élévation.
Une configuration de Self Service+ dans laquelle l’élévation des privilèges est activée.
Dans macOS, les administrateurs peuvent collecter les journaux d’élévation des privilèges localement via le binaire log. L’exemple de commande suivant permet d’afficher tous les messages du journal d’élévation des privilèges Self Service+ directement dans une fenêtre Terminal :
log stream --style compact --predicate '(subsystem == "com.jamf.connect.daemon.ssp") && (category == "PrivilegeElevation")'
log stream --style compact --predicate '(subsystem == "com.jamf.connect") && (category == "PrivilegeElevation")'Les administrateurs peuvent également utiliser les filtres de journaux unifiés de Jamf Protect pour collecter automatiquement les journaux des évènements d’élévation de privilèges de Jamf Connect et les envoyer directement de l’ordinateur à une intégration SIEM configurée. Consultez le référentiel jamf / jamfprotect (GitHub) pour connaître les filtres de journaux unifiés disponibles à ajouter à Jamf Protect. Les administrateurs SIEM peuvent analyser les journaux d’élévation des privilèges envoyés par Jamf Protect en interrogeant la source pour les messages suivants :
Checking for existing elevation timers for [user]
Failed to check elevation time remaining because no user elevation previously occurred.
No running elevation timers for [user]
User elevation time remaining: [duration in minutes:seconds]
[user] has reached their maximum amount of elevations for this month
Request Admin Privileges menu item selected
Privilege Elevation limit has been set
No promotion roles or groups found
Elevation blocked by group - user's roles are not listed in UserPromotionRole
Elevation duration specified by group lookup [duration in minutes] minutes
Elevation blocked by group lookup - default elevation time of 0
[user] elevated to admin for stated reason: [reason]
User [user] elevated to admin for [duration in minutes] minutes
Added user [user] to admin group.
[user]'s elevations this month: [no. of monthly elevations]
Removed user [user] from admin group
User [user] has been demoted back to standard macOS user
[user] has reached their maximum amount of elevations for this month.Dans le cas où un utilisateur tente d’activer l’élévation des privilèges en modifiant les préférences de sa bibliothèque personnelle, les journaux système l’indiqueront avec un message similaire au message suivant : 2024-03-07 09:38:01.529 E JCDaemon[246:21ee] [com.jamf.connect.daemon:PrivilegeElevation] Privilege elevation requested but not enabled at the device level. A user has likely attempted to enable elevation without admin knowledge. Le daemon de lancement de Self Service+ ignore les préférences au niveau utilisateur et empêche les élévations inattendues.
Jamf recommande de ne déployer la fonctionnalité d’élévation des privilèges que pour les utilisateurs qui ne risquent pas de mettre votre organisation en danger avec des privilèges d’administrateur.
L’accès aux informations du journal d’élévation des privilèges permet désormais d’identifier tous les enregistrements d’élévation dans votre organisation.