Richtlijnen voor het maken van regels voor uitbreidingstoestemming met Endpoint Privilege Management
Opmerking
Deze mogelijkheid is beschikbaar als een Intune-invoegtoepassing. Zie Mogelijkheden van Intune Suite-invoegtoepassingen gebruiken voor meer informatie.
Overzicht
Met Microsoft Intune Endpoint Privilege Management (EPM) kunnen de gebruikers van uw organisatie worden uitgevoerd als een standaardgebruiker (zonder beheerdersrechten) en taken uitvoeren waarvoor verhoogde bevoegdheden zijn vereist. Taken waarvoor doorgaans beheerdersbevoegdheden zijn vereist, zijn installatie van toepassingen (zoals Microsoft 365-toepassingen), het bijwerken van apparaatstuurprogramma's en het uitvoeren van bepaalde Windows-diagnostische gegevens.
Endpoint Privilege Management ondersteunt uw zero-trust journey door uw organisatie te helpen een brede gebruikersbasis te bereiken met minimale bevoegdheden, terwijl gebruikers nog steeds taken kunnen uitvoeren die door uw organisatie zijn toegestaan om productief te blijven.
Regels definiëren voor gebruik met Endpoint Privilege Management
Endpoint Privilege Management-regels bestaan uit twee fundamentele elementen: een detectie en een uitbreidingsactie.
Detecties worden geclassificeerd als de set kenmerken die worden gebruikt om een toepassing of binair bestand te identificeren. Detecties bestaan uit kenmerken zoals bestandsnaam, bestandsversie of kenmerken van een handtekening.
Uitbreidingsacties zijn de resulterende verhoging die optreedt nadat een toepassing of binair bestand is gedetecteerd.
Bij het definiëren van detecties is het belangrijk dat ze zo beschrijvend mogelijk zijn. Als u beschrijvend wilt zijn, gebruikt u sterke kenmerken of meerdere kenmerken om de detectie sterker te maken. Het doel bij het definiëren van detecties moet zijn om te voorkomen dat meerdere bestanden in dezelfde regel vallen, tenzij dat expliciet de bedoeling is.
Hash-regels voor bestanden
Bestandshashregels zijn de sterkste regels die kunnen worden gemaakt met Endpoint Privilege Management. Deze regels worden ten zeerste aanbevolen om ervoor te zorgen dat het bestand dat u wilt verhogen, het bestand is met verhoogde bevoegdheden.
Bestands-hash kan worden verzameld uit het directe binaire bestand met behulp van de Get-Filehash PowerShell-methode of rechtstreeks uit de rapporten voor Endpoint Privilege Management.
Certificaatregels
Certificaatregels zijn een sterk type kenmerk en moeten worden gekoppeld aan andere kenmerken. Het koppelen van een certificaat met kenmerken zoals productnaam, interne naam en beschrijving, verbetert de beveiliging van de regel drastisch. Deze kenmerken worden beveiligd met een bestandshandtekening en geven vaak details aan over het ondertekende bestand.
Voorzichtigheid
Het gebruik van alleen een certificaat en een bestandsnaam biedt zeer beperkte bescherming tegen misbruik van een regel. Bestandsnamen kunnen worden gewijzigd door elke standaardgebruiker , mits deze toegang heeft tot de map waarin het bestand zich bevindt. Dit is mogelijk geen probleem voor bestanden die zich in een met schrijfbeveiliging beveiligde map bevinden.
Regels met bestandsnaam
Bestandsnaam is een kenmerk dat kan worden gebruikt om een toepassing te detecteren die moet worden verhoogd. Bestandsnamen worden echter niet beveiligd door de handtekening van het bestand.
Dit betekent dat bestandsnamen zeer gevoelig zijn voor wijzigingen. Bestanden die zijn ondertekend door een certificaat dat u vertrouwt, kunnen hun naam wijzigen om te worden gedetecteerd en vervolgens verhoogd, wat mogelijk niet het beoogde gedrag is.
Belangrijk
Zorg er altijd voor dat regels met inbegrip van een bestandsnaam andere kenmerken bevatten die een sterke assertie voor de identiteit van het bestand bieden. Kenmerken zoals bestands-hash of eigenschappen die zijn opgenomen in de bestandshandtekening, zijn goede indicatoren dat het bestand dat u van plan bent, waarschijnlijk het bestand is dat wordt verhoogd.
Regels op basis van kenmerken die zijn verzameld door PowerShell
Als u nauwkeurigere regels voor bestandsdetectie wilt maken, kunt u de PowerShell-cmdlet Get-FileAttributes gebruiken. Get-FileAttributes is beschikbaar in de PowerShell-module EpmTools en kan bestandskenmerken en het certificaatketenmateriaal voor een bestand ophalen en u kunt de uitvoer gebruiken om eigenschappen van uitbreidingsregelen voor een bepaalde toepassing in te vullen.
Voorbeeld van stappen voor het importeren van modules en uitvoer van Get-FileAttributes worden uitgevoerd met msinfo32.exe op Windows 11 versie 10.0.22621.2506:
PS C:\Windows\system32> Import-Module 'C:\Program Files\Microsoft EPM Agent\EpmTools\EpmCmdlets.dll'
PS C:\Windows\system32> Get-FileAttributes -FilePath C:\Windows\System32\msinfo32.exe -CertOutputPath C:\CertsForMsInfo\
FileName : msinfo32.exe
FilePath : C:\Windows\System32
FileHash : 18C8442887C36F7DB61E77013AAA5A1A6CDAF73D4648B2210F2D51D8B405191D
HashAlgorithm : Sha256
ProductName : Microsoft® Windows® Operating System
InternalName : msinfo.dll
Version : 10.0.22621.2506
Description : System Information
CompanyName : Microsoft Corporation
Opmerking
De certificaatketen voor msinfo32.exe wordt uitgevoerd naar de map C:\CertsForMsInfo die wordt vermeld in de bovenstaande opdracht.
Zie EpmTools PowerShell-module voor meer informatie.
Gedrag van onderliggend proces beheren
Met onderliggend procesgedrag kunt u de context beheren wanneer een onderliggend proces wordt gemaakt door een proces dat is verhoogd met EPM. Met dit gedrag kunt u processen verder beperken die normaal gesproken automatisch de context van het bovenliggende proces zouden worden gedelegeerd.
Windows delegeert automatisch de context van een ouder aan een kind, dus wees voorzichtig bij het beheren van het gedrag voor uw toegestane toepassingen. Zorg ervoor dat u evalueert wat er nodig is wanneer u regels voor uitbreiding van bevoegdheden maakt en het principe van minimale bevoegdheden implementeert.
Opmerking
Het wijzigen van het onderliggende procesgedrag kan compatibiliteitsproblemen hebben met bepaalde toepassingen die het standaardgedrag van Windows verwachten. Zorg ervoor dat u toepassingen grondig test bij het manipuleren van het onderliggende procesgedrag.
Regels implementeren die zijn gemaakt met Endpoint Privilege Management
Endpoint Privilege Management-regels worden geïmplementeerd zoals elk ander beleid in Microsoft Intune. Dit betekent dat regels kunnen worden geïmplementeerd op gebruikers of apparaten en dat regels aan de clientzijde worden samengevoegd en tijdens runtime worden geselecteerd. Eventuele conflicten worden opgelost op basis van het conflictgedrag van het beleid.
Regels die op een apparaat zijn geïmplementeerd, worden toegepast op elke gebruiker die dat apparaat gebruikt. Regels die voor een gebruiker worden geïmplementeerd, zijn alleen van toepassing op die gebruiker op elk apparaat dat ze gebruiken. Wanneer er een verhogingsactie optreedt, krijgen regels die voor de gebruiker zijn geïmplementeerd voorrang op regels die op een apparaat zijn geïmplementeerd. Met dit gedrag kunt u een set regels implementeren op apparaten die mogelijk van toepassing zijn op alle gebruikers op dat apparaat, en een meer toegestane set regels voor een ondersteuningsbeheerder, zodat ze een bredere set toepassingen kunnen uitbreiden wanneer ze zich tijdelijk aanmelden bij het apparaat.
Standaardgedrag voor verhogingen wordt alleen gebruikt wanneer er geen regelovereenkomst kan worden gevonden. Hiervoor moet ook het snelmenu Uitvoeren met verhoogde toegang worden gebruikt, dat wordt geïnterpreteerd als een gebruiker die expliciet vraagt om een toepassing met verhoogde bevoegdheden.
Endpoint Privilege Management en gebruikersaccountbeheer
Endpoint Privilege Management en windows ingebouwd gebruikersaccountbeheer (UAC) zijn afzonderlijke producten met afzonderlijke functionaliteit.
Bij het verplaatsen van gebruikers om uit te voeren als standaardgebruikers en gebruik te maken van Endpoint Privilege Management, kunt u ervoor kiezen om het standaard UAC-gedrag voor standaardgebruikers te wijzigen. Deze wijziging kan verwarring verminderen wanneer een toepassing uitbreiding vereist en een betere eindgebruikerservaring creëren. Bekijk het gedrag van de prompt voor verhoging van bevoegdheden voor standaardgebruikers voor meer informatie.
Opmerking
Endpoint Privilege Management heeft geen invloed op acties voor gebruikersaccountbeheer (of UAC) die door een beheerder op het apparaat worden uitgevoerd. Het is mogelijk om regels te maken die van toepassing zijn op beheerders op het apparaat. Daarom moeten speciale overwegingen worden gegeven aan regels die worden toegepast op alle gebruikers op een apparaat en de impact op gebruikers met beheerdersrechten.