Планирование и подготовка к развертыванию Управление привилегиями на конечных точках

В этой статье рассматриваются сведения, необходимые для планирования развертывания Управление привилегиями на конечных точках (EPM), включая требования, важные понятия, рекомендации по безопасности и управление доступом на основе ролей.

Контрольный список планирования

• Ознакомьтесь с техническими условиями и предварительными условиями лицензирования в клиенте.
• Определите целевые пользователи, чтобы вы могли создавать правила с логической группировкой по этим пользователям.
• Убедитесь, что вы хорошо понимаете параметры повышения прав и политики правил повышения прав, в том числе:
  • Параметры повышения прав по умолчанию и сбор диагностических данных.
  • Определение файлов повышения прав с помощью хэша файлов, метаданных или сертификатов.
  • Как правила сертификатов могут разрешить любому приложению, подписанному этим сертификатом, повысить уровень. Соблюдайте осторожность для поставщиков, которые могут подписывать все свои приложения с помощью одного сертификата.
  • Поддержка аргументов правил и параметры поведения дочернего процесса.
  • Типы повышения прав.
  • Как обрабатываются конфликты правил при наличии перекрывающихся назначений правил.
• Найдите правильный баланс между безопасностью и гибкостью вашей организации и пользователями.
• Убедитесь, что у вас есть надежная стратегия развертывания. Сюда входят управление заинтересованными лицами, планы коммуникации и обучения конечных пользователей, а также мониторинг.

Предварительные условия

Дополнительные сведения см. в разделе Microsoft Intune описание службы GCC для государственных организаций США.

Важные понятия для Управление привилегиями на конечных точках

При настройке параметров повышения прав и политик правил повышения прав , упомянутых ранее, необходимо понимать некоторые важные понятия, позволяющие настроить EPM в соответствии с потребностями вашей организации. Прежде чем широко развертывать EPM, должны быть хорошо изучены следующие понятия, а также их влияние на вашу среду:

• Запуск с повышенным уровнем доступа — контекстное меню, которое появляется при активации EPM на устройстве. Если используется этот параметр, политики правил повышения прав устройств проверяются на соответствие, чтобы определить, можно ли и как этот файл быть повышен для запуска в административном контексте. Если применимое правило повышения прав отсутствует, устройство использует конфигурации повышения прав по умолчанию, определенные политикой параметров повышения прав.

• Типы повышения прав и прав файлов — EPM позволяет пользователям без прав администратора запускать процессы в контексте администрирования. При создании правила повышения прав это правило позволяет EPM проксировать целевой объект этого правила с правами администратора на устройстве. В результате приложение имеет полные административные возможности на устройстве.

За исключением Повышения в качестве текущего пользователя, EPM использует виртуальную учетную запись для повышения уровня процессов. Это изолирует действия с повышенными привилегиями от профиля пользователя, уменьшая уязвимость к данным пользователя и снижая риск повышения привилегий.

При использовании Управление привилегиями на конечных точках существует несколько вариантов поведения повышения прав:

• Автоматически. Для правил автоматического повышения прав EPM автоматически повышает уровень этих приложений без ввода со стороны пользователя. Широкие правила в этой категории могут оказывать широкое влияние на состояние безопасности организации.

• Пользователь подтвердил: с правилами, подтвержденными пользователем, пользователи используют новое контекстное меню Запуск с повышенными привилегиями. Правила, подтвержденные пользователем, также могут требовать проверки с проверкой подлинности или бизнес-обоснованием. Требование проверки обеспечивает дополнительный уровень защиты, заставляя пользователя подтвердить повышение прав.

• Повышение прав как текущего пользователя. Этот тип повышения прав выполняет процесс с повышенными привилегиями под собственной учетной записью пользователя, вошедшего в систему, сохраняя совместимость со средствами и установщиками, которые используют активный профиль пользователя. Для этого пользователь должен ввести свои учетные данные для проверки подлинности Windows. Это позволяет сохранить пути к профилям пользователя, переменные среды и персонализированные параметры. Так как процесс с повышенными привилегиями поддерживает одно и то же удостоверение пользователя до и после повышения прав, журналы аудита остаются согласованными и точными.

  Тем не менее, поскольку процесс с повышенными привилегиями наследует полный контекст пользователя, этот режим предоставляет более широкую область атаки и снижает изоляцию от данных пользователя.

  Ключевые вопросы

  • Потребность в совместимости. Используйте этот режим только в том случае, если повышение прав виртуальной учетной записи приводит к сбоям приложения.
  • Область действия. Ограничьте правила повышения прав доверенными двоичными файлами и путями, чтобы снизить риск.
  • Компромисс по безопасности. Поймите, что этот режим увеличивает уязвимость к данным пользователя.

  Совет

  Если совместимость не является проблемой, предпочитайте метод, который использует повышение прав виртуальной учетной записи для более надежной безопасности.

• Запретить. Правило запрета определяет файл, который EPM блокирует выполнение в контексте с повышенными привилегиями. Правила запрета могут гарантировать, что известные файлы или потенциально вредоносное программное обеспечение не могут быть запущены в контексте с повышенными привилегиями.

• Поддержка утверждена. Для поддержки утвержденных правил конечные пользователи должны отправить запрос на запуск приложения с повышенными разрешениями. После отправки запроса администратор может утвердить его. После утверждения запроса пользователь получает уведомление о том, что он может повторить повышение прав на устройстве. Дополнительные сведения об использовании этого типа правила см. в разделе Поддержка утвержденных запросов на повышение прав.

• Элементы управления дочерними процессами . Когда EPM повышает уровень процессов, вы можете контролировать, как создание дочерних процессов управляется EPM, что позволяет иметь детальный контроль над любыми подпроцессами, которые могут быть созданы приложением с повышенными привилегиями.

• Клиентские компоненты. Чтобы использовать Управление привилегиями на конечных точках, Intune подготавливает на устройстве небольшой набор компонентов, которые получают политики повышения прав и применяют их. Intune подготавливает компоненты только при получении политики параметров повышения прав, а политика выражает намерение включить управление привилегиями конечных точек.

• Управляемые и неуправляемые повышения прав. Эти термины могут использоваться в наших отчетах и данных об использовании. Эти термины относятся к следующим описаниям:

  • Управляемое повышение прав: любое повышение прав, которое Управление привилегиями на конечных точках облегчить. Управляемые повышения прав включают все повышения прав, которые EPM в конечном итоге облегчает для обычного пользователя. Эти управляемые повышения прав могут включать повышения прав, которые происходят в результате правила повышения прав или в рамках действия по повышению прав по умолчанию.

  • Неуправляемое повышение прав: все повышения прав файлов, которые происходят без использования Управление привилегиями на конечных точках. Это может произойти, когда пользователь с правами администратора использует действие Windows по умолчанию запуск от имени администратора.

Политики EPM

✅ Общие сведения о типах политик EPM

Управление привилегиями на конечных точках использует два типа политик, которые настраиваются для управления обработкой запроса на повышение прав файлов. Вместе политики настраивают поведение для повышения прав файлов, когда обычные пользователи запрашивают выполнение с правами администратора.

Ниже приведены следующие политики:

• Политика параметров повышения прав
• Политика правил повышения прав

EPM также поддерживает группу повторно используемых параметров для хранения сертификатов издателя, на которые можно ссылаться в нескольких правилах или политиках правил.

Обработка конфликтов политик для Управление привилегиями на конечных точках

✅ Сведения о конфликтах политик

За исключением следующих ситуаций, конфликтующие политики для EPM обрабатываются так же, как и любой другой конфликт политик.

Политика параметров повышения прав Windows:

Когда устройство получает две отдельные политики параметров повышения прав с конфликтующими значениями, клиент EPM возвращается к поведению клиента по умолчанию до тех пор, пока конфликт не будет разрешен.

Политика правил повышения прав Windows:

Если устройство получает два правила, предназначенные для одного приложения, оба правила используются на устройстве. Когда EPM отправляется для разрешения правил, которые применяются к повышению прав, он использует следующую логику:

• Правила с типом повышения правзапрещено всегда имеют приоритет, а повышение прав файла запрещено.
• Правила, развернутые для пользователя, имеют приоритет над правилами, развернутыми на устройстве.
• Правила с определенным хэшом всегда считаются наиболее конкретным правилом.
• Если применяется несколько правил (без определения хэша), выигрывает правило с наиболее определенными атрибутами (наиболее конкретным).
• Если применение логики выполнения приводит к созданию нескольких правил, поведение повышения прав определяется следующим порядком: Пользователь подтвердил, Повышение прав как текущего пользователя, Поддержка утверждена, а затем Автоматически.

Управление привилегиями на конечных точках и контроль учетных записей пользователей

✅ Общие сведения о взаимодействии между EPM и контролем учетных записей пользователей

Управление привилегиями на конечных точках и встроенный контроль учетных записей (UAC) Windows — это отдельные функции с разными функциональными возможностями.

При перемещении пользователей в качестве стандартных пользователей и использовании Управление привилегиями на конечных точках вы можете изменить поведение по умолчанию для обычных пользователей. Это изменение может уменьшить путаницу, когда приложению требуется повышение прав и улучшить взаимодействие с пользователем. Ознакомьтесь с поведением запроса на повышение прав для обычных пользователей , чтобы получить дополнительные сведения.

Рекомендации по безопасности

✅ Основные сведения о наиболее безопасном способе использования EPM

Чтобы обеспечить безопасное развертывание Управление привилегиями на конечных точках, учитывайте эти рекомендации при настройке поведения и правил повышения прав.

Настройка безопасного ответа на повышение прав по умолчанию

Задайте для ответа на повышение прав по умолчаниюзначение Требовать утверждение поддержки или Отклонить , а не Требовать подтверждение пользователя. Эти параметры гарантируют, что повышение прав контролируется с помощью предопределенных правил для известных двоичных файлов, что снижает риск повышения пользователей произвольных или потенциально вредоносных исполняемых файлов.

Требовать ограничения пути к файлам во всех типах правил

При настройке правила повышения прав укажите необходимый путь к файлу. Хотя путь к файлу необязателен, он может быть важным проверка безопасности для правил, которые используют атрибуты на основе автоматического повышения прав или подстановочных знаков, когда путь указывает на расположение, которое стандартные пользователи не могут изменить, например защищенный системный каталог. Использование защищенного расположения файла помогает предотвратить изменение или замена исполняемых файлов или зависимых двоичных файлов перед повышением прав.

Эта рекомендация применяется к правилам , автоматически созданным на основе сведений из отчета о повышении прав или утвержденного запроса на поддержку , а также к правилам повышения прав, созданным вручную.

Дифференцировать повышение прав установщика и среды выполнения

Преднамеренный подход к повышению прав файлов установщика по сравнению со средой выполнения приложения. Чтобы предотвратить несанкционированную установку программного обеспечения, необходимо жестко контролировать повышение прав установщиков. Повышение прав среды выполнения должно быть сведено к минимуму, чтобы уменьшить общую область атаки.

Применение более строгих правил к приложениям с высоким риском

Используйте более строгие правила повышения прав для приложений с более широкими возможностями доступа или сценариев, таких как веб-браузеры и PowerShell. В PowerShell рассмотрите возможность использования правил, зависящих от скриптов, чтобы гарантировать, что только доверенные скрипты могут выполняться с повышенными привилегиями.

Начните с нуля, даже при миграции со стороннего продукта

EPM работает по-разному, чем сторонние продукты, и поэтому мы рекомендуем начать с политики аудита. Затем вы можете создать новые правила из отчетов и воспользоваться преимуществами поддержки утвержденного повышения прав, если в файле нет правила, но пользователю необходимо повысить уровень этого файла, чтобы выполнить свою работу.

Управление доступом на основе ролей для Управление привилегиями на конечных точках

✅ Узнайте, как делегировать доступ к EPM

Для управления Управление привилегиями на конечных точках вашей учетной записи должна быть назначена роль Intune управления доступом на основе ролей (RBAC), которая включает следующее разрешение с достаточными правами для выполнения требуемой задачи:

• Управление привилегиями на конечных точках политика. Это разрешение требуется для работы с политикой или данными и отчетами для Управление привилегиями на конечных точках и поддерживает следующие права:

  • Просмотр отчетов
  • Чтение
  • Create
  • Обновление
  • Удалить
  • Назначение

• Управление привилегиями на конечных точках запросов на повышение прав. Это разрешение требуется для поддержки утвержденных запросов на повышение прав, которые отправляются пользователями на утверждение, и поддерживает следующие права:

  • Просмотр запросов на повышение прав
  • Изменение запросов на повышение прав

Это разрешение можно добавить с одним или несколькими правами для собственных пользовательских ролей RBAC или использовать встроенную роль RBAC, предназначенную для управления Управление привилегиями на конечных точках:

• Endpoint Privilege Manager — эта встроенная роль предназначена для управления Управление привилегиями на конечных точках в консоли Intune. Эта роль включает все права на создание политик Управление привилегиями на конечных точках и запросы на повышение прав Управление привилегиями на конечных точках.

• Читатель привилегий конечной точки. Используйте эту встроенную роль для просмотра политик Управление привилегиями на конечных точках в консоли Intune, включая отчеты. Эта роль включает следующие права:

  • Просмотр отчетов
  • Чтение
  • Просмотр запросов на повышение прав

Помимо выделенных ролей, следующие встроенные роли для Intune также включают права на создание политик Управление привилегиями на конечных точках:

• Endpoint Security Manager. Эта роль включает все права на создание политики Управление привилегиями на конечных точках и Управление привилегиями на конечных точках запросов на повышение прав.

• Оператор только для чтения . Эта роль включает следующие права:

  • Просмотр отчетов
  • Чтение
  • Просмотр запросов на повышение прав

Дополнительные сведения см. в разделе Управление доступом на основе ролей для Microsoft Intune.

Модуль PowerShell EpmTools

✅ Узнайте, как использовать модуль PowerShell EPM

Каждое устройство, получающее политики Управление привилегиями на конечных точках, устанавливает агент Microsoft EPM для управления этими политиками. Агент включает модуль EpmTools PowerShell, набор командлетов, которые можно импортировать на устройство. Командлеты из EpmTools можно использовать для:

• Диагностика и устранение неполадок с Управление привилегиями на конечных точках.
• Получите атрибуты файла непосредственно из файла или приложения, для которых требуется создать правило обнаружения.

Установка модуля PowerShell EpmTools

Модуль PowerShell инструментов EPM доступен с любого устройства, на которое была получена политика EPM. Чтобы импортировать модуль PowerShell EpmTools, выполните следующие действия:

Import-Module 'C:\Program Files\Microsoft EPM Agent\EpmTools\EpmCmdlets.dll'

Ниже приведены доступные командлеты.

• Get-Policies. Возвращает список всех политик, полученных EPM для заданного PolicyType ("ElevationRules" или "ClientSettings").
• Get-DeclaredConfiguration. Извлекает список документов WinDC, определяющих политики, предназначенные для устройства.
• Get-DeclaredConfigurationAnalysis: извлекает список документов WinDC типа MSFTPolicies и проверяет, присутствует ли политика в агенте Epm (обработанный столбец).
• Get-ElevationRules: запрос функции подстановки EpmAgent и извлекает правила, заданные подстановкой и целевым объектом. Подстановка поддерживается для FileName и CertificatePayload.
• Get-ClientSettings. Обработайте все существующие политики параметров клиента, чтобы отобразить действующие параметры клиента, используемые EPM.
• Get-FileAttributes. Извлекает атрибуты файла для файла .exe и извлекает сертификаты издателя и ЦС в заданное расположение, которое можно использовать для заполнения свойств правила повышения прав для конкретного приложения.

Дополнительные сведения о каждом командлете см. в файле readme.md из папки EpmTools на устройстве.

Дальнейшие действия