Linee guida per la creazione di regole di elevazione con Endpoint Privilege Management

  • Articolo

Nota

Questa funzionalità è disponibile come componente aggiuntivo Intune. Per altre informazioni, vedere Usare le funzionalità del componente aggiuntivo Intune Suite.

Panoramica

Con Microsoft Intune Endpoint Privilege Management (EPM) gli utenti dell'organizzazione possono essere eseguiti come utente standard (senza diritti di amministratore) e completare attività che richiedono privilegi elevati. Le attività che in genere richiedono privilegi amministrativi sono le installazioni di applicazioni (ad esempio Applicazioni Di Microsoft 365), l'aggiornamento dei driver di dispositivo e l'esecuzione di determinate operazioni di diagnostica di Windows.

Endpoint Privilege Management supporta il percorso zero trust consentendo all'organizzazione di ottenere un'ampia base di utenti in esecuzione con privilegi minimi, consentendo al contempo agli utenti di eseguire ancora attività consentite dall'organizzazione per rimanere produttivi.

Definizione di regole per l'uso con Endpoint Privilege Management

Le regole di Endpoint Privilege Management sono costituite da due elementi fondamentali: un rilevamento e un'azione di elevazione dei privilegi.

I rilevamenti vengono classificati come set di attributi usati per identificare un'applicazione o un file binario. I rilevamenti sono costituiti da attributi come il nome del file, la versione del file o gli attributi di una firma.

Le azioni di elevazione sono l'elevazione risultante che si verifica dopo il rilevamento di un'applicazione o di un file binario.

Quando si definiscono i rilevamenti , è importante che siano definiti per essere il più descrittivi possibile. Per essere descrittivo, usare attributi sicuri o più attributi per aumentare la forza del rilevamento. L'obiettivo quando si definiscono i rilevamenti deve essere quello di eliminare la possibilità che più file rientrino nella stessa regola, a meno che questa non sia esplicitamente la finalità.

Regole hash dei file

Le regole hash dei file sono le regole più complesse che è possibile creare con Endpoint Privilege Management. Queste regole sono altamente consigliate per garantire che il file che si intende elevare sia il file con privilegi elevati.

L'hash del file può essere raccolto dal file binario diretto usando il metodo PowerShell Get-Filehash o direttamente dai report per Endpoint Privilege Management.

Regole del certificato

Le regole del certificato sono un tipo sicuro di attributo e devono essere associate ad altri attributi. L'associazione di un certificato con attributi come il nome del prodotto, il nome interno e la descrizione migliora notevolmente la sicurezza della regola. Questi attributi sono protetti da una firma di file e spesso indicano specifiche sul file firmato.

Attenzione

L'uso solo di un certificato e di un nome file offre una protezione molto limitata per l'uso improprio di una regola. I nomi dei file possono essere modificati da qualsiasi utente standard a condizione che abbiano accesso alla directory in cui risiede il file. Questo potrebbe non essere un problema per i file che si trovano in una directory protetta da scrittura.

Regole contenenti il nome file

Il nome file è un attributo che può essere utilizzato per rilevare un'applicazione che deve essere con privilegi elevati. Tuttavia, i nomi di file non sono protetti dalla firma del file.

Ciò significa che i nomi di file sono altamente soggetti a modifiche. I file firmati da un certificato attendibile potrebbero avere il nome modificato per essere rilevato e successivamente con privilegi elevati, che potrebbero non essere il comportamento previsto.

Importante

Assicurarsi sempre che le regole che includono un nome file includano altri attributi che forniscono un'asserzione avanzata all'identità del file. Attributi come l'hash del file o le proprietà incluse nella firma dei file sono buoni indicatori che il file che si intende è probabilmente quello con privilegi elevati.

Regole basate sugli attributi raccolti da PowerShell

Per semplificare la creazione di regole di rilevamento file più accurate, è possibile usare il cmdlet Di PowerShell Get-FileAttributes . Disponibile nel modulo PowerShell di EpmTools, Get-FileAttributes può recuperare gli attributi del file e il materiale della catena di certificati per un file ed è possibile usare l'output per popolare le proprietà delle regole di elevazione per una particolare applicazione.

Esempio di passaggi di importazione e output del modulo da Get-FileAttributes eseguito su msinfo32.exe in Windows 11 versione 10.0.22621.2506:

PS C:\Windows\system32> Import-Module 'C:\Program Files\Microsoft EPM Agent\EpmTools\EpmCmdlets.dll'
PS C:\Windows\system32> Get-FileAttributes -FilePath C:\Windows\System32\msinfo32.exe -CertOutputPath C:\CertsForMsInfo\


FileName      : msinfo32.exe
FilePath      : C:\Windows\System32
FileHash      : 18C8442887C36F7DB61E77013AAA5A1A6CDAF73D4648B2210F2D51D8B405191D
HashAlgorithm : Sha256
ProductName   : Microsoft® Windows® Operating System
InternalName  : msinfo.dll
Version       : 10.0.22621.2506
Description   : System Information
CompanyName   : Microsoft Corporation

Nota

La catena di certificati per msinfo32.exe viene restituita alla directory C:\CertsForMsInfo elencata nel comando precedente.

Per altre informazioni, vedere Modulo di PowerShell di EpmTools.

Controllo del comportamento dei processi figlio

Il comportamento del processo figlio consente di controllare il contesto quando un processo figlio viene creato da un processo con privilegi elevati con EPM. Questo comportamento consente di limitare ulteriormente i processi che normalmente verrebbero delegati automaticamente al contesto del processo padre.

Windows delega automaticamente il contesto di un elemento padre a un elemento figlio, quindi prestare particolare attenzione al controllo del comportamento per le applicazioni consentite. Assicurarsi di valutare ciò che è necessario quando si creano regole di elevazione e di implementare il principio dei privilegi minimi.

Nota

La modifica del comportamento del processo figlio può avere problemi di compatibilità con determinate applicazioni che prevedono il comportamento predefinito di Windows. Assicurarsi di testare accuratamente le applicazioni durante la modifica del comportamento del processo figlio.

Distribuzione di regole create con Endpoint Privilege Management

Le regole di Endpoint Privilege Management vengono distribuite come qualsiasi altro criterio in Microsoft Intune. Ciò significa che le regole possono essere distribuite a utenti o dispositivi e le regole vengono unite sul lato client e selezionate in fase di esecuzione. Eventuali conflitti vengono risolti in base al comportamento dei conflitti dei criteri.

Le regole distribuite in un dispositivo vengono applicate a ogni utente che usa tale dispositivo. Le regole distribuite a un utente si applicano solo a tale utente in ogni dispositivo utilizzato. Quando si verifica un'azione di elevazione dei privilegi, le regole distribuite all'utente hanno la precedenza sulle regole distribuite in un dispositivo. Questo comportamento consente di distribuire un set di regole ai dispositivi che potrebbero essere applicabili a tutti gli utenti del dispositivo e un set più permissivo di regole a un amministratore del supporto per consentire loro di elevare temporaneamente un set più ampio di applicazioni quando accedono al dispositivo.

Il comportamento di elevazione predefinito viene usato solo quando non è possibile trovare alcuna corrispondenza di regole. Ciò richiede anche l'uso del menu di scelta rapida Esegui con accesso con privilegi elevati , che viene interpretato come un utente che richiede esplicitamente l'elevazione di un'applicazione.

Gestione dei privilegi degli endpoint e controllo dell'account utente

Endpoint Privilege Management e il controllo dell'account utente predefinito di Windows sono prodotti separati con funzionalità separate.

Quando si spostano gli utenti per l'esecuzione come utenti standard e si usa Endpoint Privilege Management, è possibile scegliere di modificare il comportamento predefinito di Controllo dell'account utente per gli utenti standard. Questa modifica può ridurre la confusione quando un'applicazione richiede elevazione e crea un'esperienza utente finale migliore. Per altre informazioni, esaminare il comportamento della richiesta di elevazione dei privilegi per gli utenti standard .

Nota

Endpoint Privilege Management non interferirà con le azioni di controllo dell'account utente (o controllo dell'account utente) eseguite da un amministratore nel dispositivo. È possibile creare regole che si applicano agli amministratori nel dispositivo, pertanto è necessario tenere in considerazione le regole che vengono applicate a tutti gli utenti di un dispositivo e l'impatto sugli utenti con diritti di amministratore.

Passaggi successivi