Использование Управление привилегиями на конечных точках с Microsoft Intune

С помощью Microsoft Intune Управление привилегиями на конечных точках (EPM) пользователи вашей организации могут работать от имени обычного пользователя (без прав администратора) и выполнять задачи, требующие повышенных привилегий. Задачи, для которых обычно требуются права администратора, — это установка приложений (например, приложений Microsoft 365), обновление драйверов устройств и запуск определенных диагностика Windows.

Управление привилегиями на конечных точках поддерживает путь "Никому не доверяй", помогая вашей организации достичь широкой базы пользователей, работающей с минимальными привилегиями, при этом повышая при необходимости выбранные задачи, чтобы оставаться продуктивными. Дополнительные сведения см. в разделе Никому не доверяйте с помощью Microsoft Intune.

В этом обзоре содержатся сведения о EPM, в том числе о преимуществах, его работе и начале работы.

Применимо к:

• Windows

Основные функции и преимущества

✅ Узнайте о ключевых функциях и преимуществах EPM

• Standard пользователи по умолчанию. Пользователи могут выполнять свои задачи без прав локального администратора.
• Поддержка JIT-повышения. Пользователи могут активировать определенные двоичные файлы или скрипты, утвержденные ИТ-решением, для временного повышения.
• Элемент управления на основе политик. Администраторы определяют параметры и правила для управления условиями повышения прав и поведением, используя детализированные возможности создания правил в соответствии с потребностями организации.
• Ведение журнала аудита и создание отчетов. Intune регистрирует каждое повышение прав с подробными метаданными.
• Согласование принципов "Никому не доверяй" путем предоставления доступа с минимальными привилегиями и минимизации рисков бокового перемещения.

Основы EPM

✅ Узнайте, как работает EPM

Повышение уровня EPM можно активировать двумя способами:

• Автоматически, или;
• Инициировано пользователем.

EPM можно настроить с помощью двух типов политик, которые могут быть ориентированы на группы пользователей или устройства:

• Политика параметров повышения прав управляет клиентом EPM, уровнем отчетности и возможностью повышения прав по умолчанию.
• Политика правил повышения прав определяет поведение повышения прав для двоичных файлов или скриптов на основе критериев.

Для повышения прав на устройстве служба EPM использует виртуальную учетную запись для большинства типов повышения прав, которая изолирована от учетной записи вошедшего в систему пользователя. Ни один из этих учетных записей не добавляется в локальную группу администраторов. Исключением для использования виртуальной учетной записи является тип повышения прав текущего пользователя , который более подробно описан в следующем разделе.

Клиент EPM устанавливается автоматически при назначении политики параметров повышения прав устройствам или пользователям. Клиент EPM использует службу Microsoft EPM Agent Service и сохраняет свои двоичные файлы в каталоге "C:\Program Files\Microsoft EPM Agent" .

На этой схеме показана высокоуровневая архитектура активации клиента EPM, проверка правил, а затем повышение прав:

Типы повышения прав

✅ Управление повышением уровня файлов EPM

EPM позволяет пользователям без прав администратора запускать процессы в контексте администрирования. При создании правила повышения прав это правило позволяет EPM проксировать целевой объект этого правила с правами администратора на устройстве. В результате приложение имеет полные административные возможности на устройстве.

За исключением Повышения в качестве текущего типа пользователя , EPM использует виртуальную учетную запись для повышения уровня процессов. Использование виртуальной учетной записи изолирует действия с повышенными привилегиями от профиля пользователя, уменьшая уязвимость к данным пользователя и снижая риск повышения привилегий.

При использовании Управление привилегиями на конечных точках существует несколько вариантов поведения повышения прав:

• Автоматически. Для правил автоматического повышения прав EPM автоматически повышает уровень этих приложений без ввода со стороны пользователя. Широкие правила в этой категории могут оказывать широкое влияние на состояние безопасности организации.

• Пользователь подтвердил: с правилами, подтвержденными пользователем, пользователи используют новое контекстное меню Запуск с повышенными привилегиями. Администраторы могут потребовать от пользователя выполнить дополнительную проверку с помощью запроса на проверку подлинности, бизнес-обоснования или и того, и другого.

  

• Повышение уровня текущего пользователя. Используйте этот тип повышения прав для приложений, которым для правильной работы требуется доступ к конкретным ресурсам, таким как пути профиля, переменные среды или предпочтения среды. В отличие от повышения прав, в котором используется виртуальная учетная запись, этот режим запускает процесс с повышенными привилегиями под собственной учетной записью вошедшего пользователя, сохраняя совместимость со средствами и установщиками, которые используют активный профиль пользователя. Сохраняя одно и то же удостоверение пользователя до и после повышения прав, этот подход обеспечивает согласованность и точность журналов аудита. Он также поддерживает проверку подлинности Windows, требуя от пользователя повторной проверки подлинности с помощью допустимых учетных данных, прежде чем произойдет повышение прав.

  Тем не менее, поскольку процесс с повышенными привилегиями наследует полный контекст пользователя, этот режим предоставляет более широкую область атаки и снижает изоляцию от данных пользователя.

  Ключевые вопросы

  • Потребность в совместимости. Используйте этот режим только в том случае, если повышение прав виртуальной учетной записи приводит к сбоям приложения.
  • Область действия. Ограничьте правила повышения прав доверенными двоичными файлами и путями, чтобы снизить риск.
  • Компромисс по безопасности. Поймите, что этот режим увеличивает уязвимость к данным пользователя.

  Совет

  Если совместимость не является проблемой, предпочитайте метод, который использует повышение прав виртуальной учетной записи для повышения безопасности.

• Поддержка утверждена. Для поддержки утвержденных правил конечные пользователи должны отправить запрос на запуск приложения с повышенными разрешениями. После отправки запроса администратор может утвердить его. После утверждения запроса пользователь получает уведомление о том, что он может повторить повышение прав на устройстве. Дополнительные сведения об использовании этого типа правила см. в разделе Поддержка утвержденных запросов на повышение прав.

  

• Запретить. Правило запрета определяет файл, который EPM блокирует выполнение в контексте с повышенными привилегиями. В некоторых сценариях правила запрета могут гарантировать, что известные файлы или потенциально вредоносное программное обеспечение не могут быть запущены в контексте с повышенными привилегиями.

Клиент EPM можно настроить с помощью ответа на повышение по умолчанию или с определенными правилами, разрешающими указанный ответ повышения.

Возможности правил

✅ Детализированное нацеливание файлов на повышение прав

Правила повышения прав EPM можно создавать на основе одного или нескольких атрибутов, включая имя файла, путь и т. д. Ниже приведены некоторые примеры возможностей правил.

• Элементы управления дочерними процессами . Когда EPM повышает уровень процессов, вы можете контролировать, как создание дочерних процессов управляется EPM, что позволяет иметь детальный контроль над любыми подпроцессами, которые могут быть созданы приложением с повышенными привилегиями.

• Поддержка аргументов . Разрешить повышение уровня только определенных параметров для приложений.

• Поддержка хэша файлов — сопоставляет приложение на основе хэша файла.

• Поддержка сертификатов издателя . Создайте правила, основанные на доверии сертификату издателя приложения наряду с другими атрибутами.

Поддерживаемые типы файлов

EPM поддерживает повышение уровня файлов следующих типов:

• Исполняемые файлы с расширением .exe .
• Файлы установщика Windows с расширением .msi .
• Скрипты PowerShell с расширением .ps1 .

Reporting

✅ Отслеживание повышения прав в среде

EPM включает отчеты для подготовки, мониторинга и использования службы. Отчеты предоставляются для неуправляемых и управляемых повышений прав:

• Неуправляемое повышение прав: все повышения прав файлов, которые происходят без использования Управление привилегиями на конечных точках. Это может произойти, когда пользователь с правами администратора использует действие Windows по умолчанию запуск от имени администратора.

• Управляемое повышение прав: любое повышение прав, которое Управление привилегиями на конечных точках облегчить. Управляемые повышения прав включают все повышения прав, которые EPM в конечном итоге облегчает для обычного пользователя. Эти управляемые повышения прав могут включать повышения прав, которые происходят в результате правила повышения прав или в рамках действия по повышению прав по умолчанию.

Начало работы с Управление привилегиями на конечных точках

✅ Начало использования EPM

Управление привилегиями на конечных точках (EPM) администрируется из центра Microsoft Intune Администратор. Когда организации приступить к работе с EPM, они используют следующий высокоуровневый процесс:

• Лицензирование EPM и план

  • Лицензирование EPM. Прежде чем использовать политики Управление привилегиями на конечных точках, необходимо лицензировать EPM в клиенте как надстройку Intune. Сведения о лицензировании см. в разделе Использование возможностей надстройки Intune Suite.
  • Планирование EPM . Прежде чем приступить к использованию EPM, необходимо учитывать некоторые ключевые требования и концепции. Дополнительные сведения см. в разделе Планирование EPM.

• Развертывание EPM — развертывание EPM, включение аудита, создание правил и мониторинг развертывания. Дополнительные сведения см. в разделе Развертывание EPM.

• Управление EPM . После развертывания EPM можно отслеживать утвержденные запросы поддержки и повышение прав. Вы можете поддерживать и обновлять правила , а также проверять права пользователей.