Sdílet prostřednictvím

Pokyny k vytváření pravidel zvýšení oprávnění pomocí správy oprávnění koncového bodu

  • Článek

Poznámka

Tato funkce je k dispozici jako doplněk Intune. Další informace najdete v tématu Použití funkcí doplňků sady Intune.

Přehled

S Microsoft Intune Endpoint Privilege Management (EPM) můžou uživatelé vaší organizace spouštět jako standardní uživatel (bez oprávnění správce) a provádět úlohy, které vyžadují zvýšená oprávnění. Úlohy, které obvykle vyžadují oprávnění správce, jsou instalace aplikací (například aplikace Microsoft 365), aktualizace ovladačů zařízení a spouštění určitých diagnostických nástrojů Windows.

Správa oprávnění koncového bodu podporuje vaši cestu nulové důvěryhodnosti tím, že pomáhá vaší organizaci dosáhnout široké uživatelské základny spuštěné s minimálními oprávněními a zároveň umožňuje uživatelům stále spouštět úlohy povolené vaší organizací, aby zůstali produktivní.

Definování pravidel pro použití se správou oprávnění koncového bodu

Pravidla správy oprávnění koncového bodu se skládají ze dvou základních prvků: detekce a akce zvýšení oprávnění.

Detekce se klasifikují jako sada atributů, které se používají k identifikaci aplikace nebo binárního souboru. Detekce se skládají z atributů, jako je název souboru, verze souboru nebo atributy podpisu.

Akce zvýšení oprávnění jsou výsledné zvýšení oprávnění, ke kterému dojde po zjištění aplikace nebo binárního souboru.

Při definování detekcí je důležité, aby byly co nejpochybnější . Pokud chcete být popisní, použijte silné atributy nebo více atributů, abyste zvýšili sílu detekce. Cílem při definování detekcí by mělo být eliminovat možnost, aby do stejného pravidla spadalo více souborů, pokud to není explicitní záměr.

Pravidla hodnoty hash souborů

Pravidla hodnoty hash souborů jsou nejsilnější pravidla, která je možné vytvořit pomocí správy oprávnění koncového bodu. Tato pravidla důrazně doporučujeme, aby se zajistilo , že soubor, který chcete zvýšit, je soubor se zvýšenými oprávněními.

Hodnotu hash souboru je možné shromáždit z přímého binárního souboru pomocí metody PowerShellu Get-Filehash nebo přímo ze sestav pro správu oprávnění koncového bodu.

Pravidla certifikátů

Pravidla certifikátu jsou silným typem atributu a měla by být spárována s jinými atributy. Spárování certifikátu s atributy, jako je název produktu, interní název a popis, výrazně zvyšuje zabezpečení pravidla. Tyto atributy jsou chráněny podpisem souborů a často označují konkrétní informace o podepsaném souboru.

Upozornění

Použití pouze certifikátu a názvu souboru poskytuje velmi omezenou ochranu před zneužitím pravidla. Názvy souborů může změnit jakýkoli standardní uživatel za předpokladu, že má přístup k adresáři, ve kterém se soubor nachází. Nemusí se jednat o soubory, které se nacházejí v adresáři chráněném proti zápisu.

Pravidla obsahující název souboru

Název souboru je atribut, který lze použít ke zjištění aplikace, u které je potřeba zvýšit oprávnění. Názvy souborů ale nejsou chráněny podpisem souboru.

To znamená, že názvy souborů jsou vysoce náchylné ke změnám. Soubory podepsané certifikátem, kterému důvěřujete, by mohly být změněny tak, aby se zjistily a následně zvýšily oprávnění, což nemusí být vaše zamýšlené chování.

Důležité

Vždy zajistěte, aby pravidla včetně názvu souboru obsahovala další atributy, které poskytují silný kontrolní výraz pro identitu souboru. Atributy, jako je hodnota hash souboru nebo vlastnosti, které jsou součástí podpisu souborů, jsou dobrými indikátory toho, že soubor, který chcete, je pravděpodobně soubor se zvýšenými oprávněními.

Pravidla založená na atributech shromážděných v PowerShellu

Pokud chcete vytvořit přesnější pravidla detekce souborů, můžete použít rutinu PowerShellu Get-FileAttributes . Funkce Get-FileAttributes , která je k dispozici v modulu PowerShellu EpmTools, může načíst atributy souboru a materiál řetězu certifikátů pro soubor a pomocí výstupu můžete naplnit vlastnosti pravidla zvýšení oprávnění pro konkrétní aplikaci.

Příklad kroků importu modulu a výstupu z Get-FileAttributes spustit pro msinfo32.exe ve Windows 11 verze 10.0.22621.2506:

PS C:\Windows\system32> Import-Module 'C:\Program Files\Microsoft EPM Agent\EpmTools\EpmCmdlets.dll'
PS C:\Windows\system32> Get-FileAttributes -FilePath C:\Windows\System32\msinfo32.exe -CertOutputPath C:\CertsForMsInfo\


FileName      : msinfo32.exe
FilePath      : C:\Windows\System32
FileHash      : 18C8442887C36F7DB61E77013AAA5A1A6CDAF73D4648B2210F2D51D8B405191D
HashAlgorithm : Sha256
ProductName   : Microsoft® Windows® Operating System
InternalName  : msinfo.dll
Version       : 10.0.22621.2506
Description   : System Information
CompanyName   : Microsoft Corporation

Poznámka

Řetěz certifikátů pro msinfo32.exe je výstupem do adresáře C:\CertsForMsInfo uvedeného v předchozím příkazu.

Další informace najdete v tématu Modul PowerShellu EpmTools.

Řízení chování podřízených procesů

Chování podřízeného procesu umožňuje řídit kontext, když je podřízený proces vytvořen procesem se zvýšenými oprávněními EPM. Toto chování umožňuje dále omezit procesy, které by normálně automaticky delegovaly kontext nadřazeného procesu.

Systém Windows automaticky deleguje kontext nadřazeného objektu na dítě, proto věnujte zvláštní pozornost řízení chování povolených aplikací. Ujistěte se, že při vytváření pravidel zvýšení oprávnění vyhodnocujete, co je potřeba, a implementujte princip nejnižších oprávnění.

Poznámka

Změna chování podřízeného procesu může mít problémy s kompatibilitou u určitých aplikací, které očekávají výchozí chování systému Windows. Ujistěte se, že při manipulaci s chováním podřízeného procesu důkladně testujete aplikace.

Nasazení pravidel vytvořených pomocí správy oprávnění koncového bodu

Pravidla správy oprávnění koncového bodu se nasazují stejně jako jakékoli jiné zásady v Microsoft Intune. To znamená, že pravidla se dají nasadit uživatelům nebo zařízením a pravidla se na straně klienta sloučí a vyberou za běhu. Všechny konflikty se řeší na základě chování konfliktů zásad.

Pravidla nasazená na zařízení se použijí pro každého uživatele , který toto zařízení používá. Pravidla nasazená pro uživatele platí jenom pro daného uživatele na každém zařízení, které využívá. Když dojde k akci zvýšení oprávnění, pravidla nasazená pro uživatele mají přednost před pravidly nasazenými na zařízení. Toto chování umožňuje nasadit sadu pravidel na zařízení, která můžou platit pro všechny uživatele na tomto zařízení, a povolnější sadu pravidel pro správce podpory, která jim umožní zvýšit úroveň širší sady aplikací při dočasném přihlášení k zařízení.

Výchozí chování zvýšení oprávnění se používá pouze v případě, že nelze najít shodu pravidla. To také vyžaduje použití místní nabídky Spustit se zvýšeným přístupem , která se interpretuje jako uživatel , který explicitně žádá o zvýšení oprávnění aplikace.

Správa oprávnění koncového bodu a řízení uživatelských účtů

Správa oprávnění koncového bodu a integrované řízení uživatelských účtů (UAC) ve Windows jsou samostatné produkty se samostatnými funkcemi.

Při přesunu uživatelů, aby se spouštěli jako standardní uživatelé, a při používání správy oprávnění koncového bodu se můžete rozhodnout změnit výchozí chování nástroje Řízení uživatelských dat pro standardní uživatele. Tato změna může omezit nejasnosti, když aplikace vyžaduje zvýšení oprávnění, a vytvořit tak lepší prostředí koncového uživatele. Další informace najdete v tématu o chování výzvy ke zvýšení oprávnění pro standardní uživatele .

Poznámka

Správa oprávnění koncového bodu nebude narušovat akce řízení uživatelských účtů (neboli řízení uživatelských účtů) spouštěné správcem na zařízení. Je možné vytvořit pravidla, která se vztahují na správce na zařízení, proto byste měli zvážit zvláštní aspekty pravidel, která se vztahují na všechny uživatele v zařízení, a dopad na uživatele s právy správce.

Další kroky