Руководство по созданию правил повышения прав с помощью Управления привилегиями конечных точек
Примечание.
Эта возможность доступна как надстройка Intune. Дополнительные сведения см. в статье Использование возможностей надстроек Intune Suite.
Обзор
С помощью Microsoft Intune Endpoint Privilege Management (EPM) пользователи вашей организации могут работать от имени обычного пользователя (без прав администратора) и выполнять задачи, требующие повышенных привилегий. Задачи, для которых обычно требуются права администратора, — это установка приложений (например, приложений Microsoft 365), обновление драйверов устройств и выполнение определенных средств диагностики Windows.
Endpoint Privilege Management поддерживает путь без доверия, помогая вашей организации достичь широкой базы пользователей с минимальными привилегиями, позволяя пользователям по-прежнему выполнять задачи, разрешенные вашей организацией, чтобы оставаться продуктивными.
Определение правил для использования с управлением привилегиями конечных точек
Правила управления привилегиями конечных точек состоят из двух основных элементов: обнаружения и действия повышения прав.
Обнаружения классифицируются как набор атрибутов, используемых для идентификации приложения или двоичного файла. Обнаружения состоят из атрибутов, таких как имя файла, версия файла или атрибуты сигнатуры.
Действия повышения прав — это результирующее повышение прав, возникающее после обнаружения приложения или двоичного файла.
При определении обнаружения важно, чтобы они были как можно более описательными . Чтобы быть описательным, используйте строгие атрибуты или несколько атрибутов для повышения надежности обнаружения. Целью при определении обнаружения должно быть исключение возможности для нескольких файлов попасть в одно правило, если это не является явным намерением.
Правила хэширования файлов
Правила хэша файлов — это самые строгие правила, которые можно создать с помощью Управления привилегиями конечных точек. Настоятельно рекомендуется использовать эти правила, чтобы убедиться, что файл, который вы планируете повысить, является файлом с повышенными привилегиями.
Хэш файла можно получить из прямого двоичного файла с помощью метода PowerShell Get-Filehash или непосредственно из отчетов для Управления привилегиями конечных точек.
Правила сертификатов
Правила сертификатов являются строгим типом атрибутов и должны быть связаны с другими атрибутами. Связывание сертификата с такими атрибутами, как название продукта, внутреннее имя и описание, значительно повышает безопасность правила. Эти атрибуты защищены подписью файла и часто указывают на особенности подписанного файла.
Предостережение
Использование только сертификата и имени файла обеспечивает очень ограниченную защиту от неправильного использования правила. Имена файлов могут быть изменены любым обычным пользователем при условии, что у него есть доступ к каталогу, в котором находится файл. Это может не беспокоить файлы, которые находятся в каталоге, защищенном от записи.
Правила, содержащие имя файла
Имя файла — это атрибут, который можно использовать для обнаружения приложения, которому требуется повысить уровень. Однако имена файлов не защищены сигнатурой файла.
Это означает, что имена файлов очень восприимчивы к изменению. Имена файлов, подписанных сертификатом, которому вы доверяете, могут быть изменены для обнаружения и последующего повышения, что не может быть вашим предполагаемым поведением.
Важно!
Всегда убедитесь, что правила, включая имя файла, включают другие атрибуты, которые обеспечивают строгое утверждение удостоверения файла. Такие атрибуты, как хэш файла или свойства, включенные в сигнатуру файлов, являются хорошими индикаторами того, что файл, который вы планируете, скорее всего, имеет повышенный уровень.
Правила, основанные на атрибутах, собранных PowerShell
Чтобы создать более точные правила обнаружения файлов, можно использовать командлет PowerShell Get-FileAttributes . Get-FileAttributes, доступный в модуле PowerShell EpmTools, может извлекать атрибуты файла и материал цепочки сертификатов для файла, а выходные данные можно использовать для заполнения свойств правила повышения прав для конкретного приложения.
Примеры шагов импорта модуля и выходных данных из Get-FileAttributes запуска в msinfo32.exe в Windows 11 версии 10.0.22621.2506:
PS C:\Windows\system32> Import-Module 'C:\Program Files\Microsoft EPM Agent\EpmTools\EpmCmdlets.dll'
PS C:\Windows\system32> Get-FileAttributes -FilePath C:\Windows\System32\msinfo32.exe -CertOutputPath C:\CertsForMsInfo\
FileName : msinfo32.exe
FilePath : C:\Windows\System32
FileHash : 18C8442887C36F7DB61E77013AAA5A1A6CDAF73D4648B2210F2D51D8B405191D
HashAlgorithm : Sha256
ProductName : Microsoft® Windows® Operating System
InternalName : msinfo.dll
Version : 10.0.22621.2506
Description : System Information
CompanyName : Microsoft Corporation
Примечание.
Цепочка сертификатов для msinfo32.exe выводится в каталог C:\CertsForMsInfo, указанный в приведенной выше команде.
Дополнительные сведения см. в разделе Модуль PowerShell EpmTools.
Управление поведением дочернего процесса
Поведение дочернего процесса позволяет управлять контекстом, когда дочерний процесс создается процессом с повышенным уровнем EPM. Это позволяет дополнительно ограничить процессы, которые обычно автоматически делегируются контексту родительского процесса.
Windows автоматически делегирует контекст родительского элемента дочернему элементу, поэтому особое внимание следует уделить управлению поведением разрешенных приложений. Убедитесь, что вы оцениваете, что необходимо при создании правил повышения прав, и реализуете принцип наименьших привилегий.
Примечание.
Изменение поведения дочернего процесса может привести к проблемам совместимости с определенными приложениями, которые ожидают поведения Windows по умолчанию. Тщательно тестируйте приложения при работе с поведением дочернего процесса.
Развертывание правил, созданных с помощью управления привилегиями конечных точек
Правила управления привилегиями конечных точек развертываются так же, как и любая другая политика в Microsoft Intune. Это означает, что правила могут развертываться для пользователей или устройств, а правила объединяются на стороне клиента и выбираются во время выполнения. Все конфликты разрешаются на основе поведения конфликта политики.
Правила, развернутые на устройстве, применяются к каждому пользователю , использующим это устройство. Правила, развернутые для пользователя , применяются только к нему на каждом устройстве, которое он использует. При выполнении действия повышения прав правила, развернутые для пользователя, имеют приоритет перед правилами, развернутыми на устройстве. Это позволяет развернуть набор правил на устройствах, которые могут применяться ко всем пользователям на этом устройстве, и более разрешительный набор правил для администратора службы поддержки, чтобы позволить им повысить уровень более широкого набора приложений при временном входе на устройство.
Поведение повышения прав по умолчанию используется только в том случае, если не удается найти совпадение с правилами. Для этого также требуется использовать контекстное меню "Выполнить с повышенными правами доступа ", которое интерпретируется как пользователь , явно запрашивающий повышение уровня приложения.
Управление привилегиями конечных точек и контроль учетных записей пользователей
Управление привилегиями конечных точек и встроенное управление учетными записями (UAC) Windows — это отдельные продукты с разными функциями.
При перемещении пользователей в качестве стандартных пользователей и использовании Управления привилегиями конечных точек вы можете изменить поведение контроля учетных записей по умолчанию для обычных пользователей. Это изменение может уменьшить путаницу, когда приложению требуется повышение прав и улучшить взаимодействие с пользователем. Ознакомьтесь с поведением запроса на повышение прав для обычных пользователей , чтобы получить дополнительные сведения.
Примечание.
Управление привилегиями конечных точек не будет мешать действиям управления учетными записями пользователей (или UAC), выполняемым администратором на устройстве. Можно создать правила, которые применяются к администраторам на устройстве, поэтому следует учитывать правила, применяемые ко всем пользователям на устройстве, и влияние на пользователей с правами администратора.
Дальнейшие действия
- Сведения о службе управления привилегиями конечных точек
- Настройка политик для управления привилегиями конечных точек
- Отчеты для управления привилегиями конечных точек
- Сбор данных и конфиденциальность для управления привилегиями конечных точек
- Рекомендации по развертыванию и часто задаваемые вопросы