Partager via


Conseils pour la création de règles d’élévation avec Endpoint Privilege Management

Remarque

Cette fonctionnalité est disponible en tant que module complémentaire Intune. Pour plus d’informations, consultez Utiliser les fonctionnalités du module complémentaire Intune Suite.

Vue d’ensemble

Avec Microsoft Intune Endpoint Privilege Management (EPM), les utilisateurs de votre organisation peuvent s’exécuter en tant qu’utilisateur standard (sans droits d’administrateur) et effectuer des tâches qui nécessitent des privilèges élevés. Les tâches qui nécessitent généralement des privilèges d’administration sont les installations d’applications (comme les applications Microsoft 365), la mise à jour des pilotes de périphérique et l’exécution de certains diagnostics Windows.

Endpoint Privilege Management prend en charge votre parcours de confiance zéro en aidant votre organisation à atteindre une large base d’utilisateurs s’exécutant avec le moindre privilège, tout en permettant aux utilisateurs d’exécuter les tâches autorisées par votre organisation pour rester productif.

Définition de règles à utiliser avec Endpoint Privilege Management

Les règles endpoint Privilege Management se composent de deux éléments fondamentaux : une détection et une action d’élévation.

Les détections sont classées en tant qu’ensemble d’attributs utilisés pour identifier une application ou un fichier binaire. Les détections sont composées d’attributs tels que le nom de fichier, la version du fichier ou les attributs d’une signature.

Les actions d’élévation sont l’élévation résultante qui se produit après la détection d’une application ou d’un fichier binaire.

Lors de la définition des détections , il est important qu’elles soient définies pour être aussi descriptives que possible. Pour être descriptif, utilisez des attributs forts ou plusieurs attributs pour augmenter la force de la détection. L’objectif lors de la définition des détections doit être d’éliminer la possibilité pour plusieurs fichiers de tomber dans la même règle, sauf s’il s’agit explicitement de l’intention.

Règles de hachage de fichier

Les règles de hachage de fichier sont les règles les plus fortes qui peuvent être créées avec Endpoint Privilege Management. Ces règles sont fortement recommandées pour vous assurer que le fichier que vous souhaitez élever est celui qui est élevé.

Le hachage de fichier peut être collecté à partir du binaire direct à l’aide de la méthode PowerShell Get-Filehash ou directement à partir des rapports pour Endpoint Privilege Management.

Règles de certificat

Les règles de certificat sont un type fort d’attribut et doivent être associées à d’autres attributs. L’association d’un certificat avec des attributs tels que le nom du produit, le nom interne et la description améliore considérablement la sécurité de la règle. Ces attributs sont protégés par une signature de fichier et indiquent souvent des spécificités sur le fichier signé.

Attention

L’utilisation d’un certificat et d’un nom de fichier offre une protection très limitée contre l’utilisation incorrecte d’une règle. Les noms de fichiers peuvent être modifiés par n’importe quel utilisateur standard , à condition qu’il ait accès au répertoire où se trouve le fichier. Cela peut ne pas être un problème pour les fichiers qui résident dans un répertoire protégé en écriture.

Règles contenant le nom de fichier

Le nom de fichier est un attribut qui peut être utilisé pour détecter une application qui doit être élevée. Toutefois, les noms de fichiers ne sont pas protégés par la signature du fichier.

Cela signifie que les noms de fichiers sont très susceptibles d’être modifiés. Les fichiers signés par un certificat que vous approuvez peuvent avoir leur nom modifié pour être détecté et par la suite élevé, ce qui peut ne pas être votre comportement prévu.

Importante

Assurez-vous toujours que les règles incluant un nom de fichier incluent d’autres attributs qui fournissent une assertion forte à l’identité du fichier. Les attributs tels que le hachage de fichier ou les propriétés qui sont incluses dans la signature des fichiers sont de bons indicateurs que le fichier que vous souhaitez est probablement celui qui est élevé.

Règles basées sur les attributs collectés par PowerShell

Pour vous aider à créer des règles de détection de fichiers plus précises, vous pouvez utiliser l’applet de commande PowerShell Get-FileAttributes . Disponible à partir du module PowerShell EpmTools, Get-FileAttributes peut récupérer les attributs de fichier et le matériel de chaîne de certificats d’un fichier, et vous pouvez utiliser la sortie pour remplir les propriétés de règle d’élévation pour une application particulière.

Exemple d’étapes d’importation de module et de sortie de Get-FileAttributes exécuter sur msinfo32.exe sur Windows 11 version 10.0.22621.2506 :

PS C:\Windows\system32> Import-Module 'C:\Program Files\Microsoft EPM Agent\EpmTools\EpmCmdlets.dll'
PS C:\Windows\system32> Get-FileAttributes -FilePath C:\Windows\System32\msinfo32.exe -CertOutputPath C:\CertsForMsInfo\


FileName      : msinfo32.exe
FilePath      : C:\Windows\System32
FileHash      : 18C8442887C36F7DB61E77013AAA5A1A6CDAF73D4648B2210F2D51D8B405191D
HashAlgorithm : Sha256
ProductName   : Microsoft® Windows® Operating System
InternalName  : msinfo.dll
Version       : 10.0.22621.2506
Description   : System Information
CompanyName   : Microsoft Corporation

Remarque

La chaîne de certificats pour msinfo32.exe est générée dans le répertoire C :\CertsForMsInfo répertorié dans la commande ci-dessus.

Pour plus d’informations, consultez Module PowerShell EpmTools.

Contrôle du comportement des processus enfants

Le comportement du processus enfant vous permet de contrôler le contexte lorsqu’un processus enfant est créé par un processus élevé avec EPM. Ce comportement vous permet de restreindre davantage les processus qui normalement seraient automatiquement délégués au contexte de son processus parent.

Windows délègue automatiquement le contexte d’un parent à un enfant. Veillez donc à contrôler le comportement de vos applications autorisées. Veillez à évaluer ce qui est nécessaire lorsque vous créez des règles d’élévation et implémentez le principe du privilège minimum.

Remarque

La modification du comportement du processus enfant peut avoir des problèmes de compatibilité avec certaines applications qui attendent le comportement Windows par défaut. Veillez à tester minutieusement les applications lors de la manipulation du comportement du processus enfant.

Déploiement de règles créées avec Endpoint Privilege Management

Les règles endpoint Privilege Management sont déployées comme toute autre stratégie dans Microsoft Intune. Cela signifie que les règles peuvent être déployées sur des utilisateurs ou des appareils, et que les règles sont fusionnées côté client et sélectionnées au moment de l’exécution. Tous les conflits sont résolus en fonction du comportement de conflit de stratégie.

Les règles déployées sur un appareil sont appliquées à chaque utilisateur qui utilise cet appareil. Les règles déployées sur un utilisateur s’appliquent uniquement à cet utilisateur sur chaque appareil qu’il utilise. Lorsqu’une action d’élévation se produit, les règles déployées sur l’utilisateur sont prioritaires par rapport aux règles déployées sur un appareil. Ce comportement vous permet de déployer un ensemble de règles sur des appareils qui peuvent s’appliquer à tous les utilisateurs sur cet appareil, et un ensemble plus permissif de règles à un administrateur de support pour lui permettre d’élever un ensemble plus large d’applications lorsqu’ils se connectent temporairement à l’appareil.

Le comportement d’élévation par défaut est utilisé uniquement lorsqu’aucune correspondance de règle n’est trouvée. Cela nécessite également l’utilisation du menu de clic droit Exécuter avec accès élevé , qui est interprété comme un utilisateur demandant explicitement qu’une application soit élevée.

Gestion des privilèges de point de terminaison et contrôle de compte d’utilisateur

Endpoint Privilege Management et le contrôle de compte d’utilisateur intégré Windows (UAC) sont des produits distincts avec des fonctionnalités distinctes.

Lorsque vous déplacez des utilisateurs pour qu’ils s’exécutent en tant qu’utilisateurs standard et que vous utilisez Endpoint Privilege Management, vous pouvez choisir de modifier le comportement UAC par défaut pour les utilisateurs standard. Cette modification peut réduire la confusion lorsqu’une application nécessite une élévation et créer une meilleure expérience pour l’utilisateur final. Pour plus d’informations, examinez le comportement de l’invite d’élévation pour les utilisateurs standard .

Remarque

Endpoint Privilege Management n’interfère pas avec les actions de contrôle de compte d’utilisateur (ou UAC) exécutées par un administrateur sur l’appareil. Il est possible de créer des règles qui s’appliquent aux administrateurs sur l’appareil. Des considérations spéciales doivent donc être prises en compte pour les règles appliquées à tous les utilisateurs sur un appareil et leur impact sur les utilisateurs disposant de droits d’administrateur.

Étapes suivantes