Udostępnij za pośrednictwem

Wskazówki dotyczące tworzenia reguł podniesienia uprawnień za pomocą usługi Endpoint Privilege Management

  • Artykuł

Uwaga

Ta funkcja jest dostępna jako dodatek usługi Intune. Aby uzyskać więcej informacji, zobacz Use Intune Suite add-on capabilities (Korzystanie z funkcji dodatku pakietu Intune Suite).

Omówienie

Dzięki usłudze Microsoft Intune Endpoint Privilege Management (EPM) użytkownicy twojej organizacji mogą działać jako użytkownik standardowy (bez uprawnień administratora) i wykonywać zadania wymagające podwyższonego poziomu uprawnień. Zadania, które często wymagają uprawnień administracyjnych, to instalacje aplikacji (takie jak aplikacje platformy Microsoft 365), aktualizowanie sterowników urządzeń i uruchamianie niektórych diagnostyki systemu Windows.

Usługa Endpoint Privilege Management obsługuje twoją podróż bez zaufania, pomagając organizacji osiągnąć szeroką bazę użytkowników z najniższymi uprawnieniami, jednocześnie umożliwiając użytkownikom wykonywanie zadań dozwolonych przez organizację w celu utrzymania produktywności.

Definiowanie reguł do użycia z usługą Endpoint Privilege Management

Reguły zarządzania uprawnieniami punktu końcowego składają się z dwóch podstawowych elementów: wykrywania i akcji podniesienia uprawnień.

Wykrywanie jest klasyfikowane jako zestaw atrybutów używanych do identyfikowania aplikacji lub danych binarnych. Wykrywanie składa się z atrybutów, takich jak nazwa pliku, wersja pliku lub atrybuty podpisu.

Akcje podniesienia uprawnień to wynikowe podniesienie uprawnień, które występuje po wykryciu aplikacji lub pliku binarnego.

Podczas definiowania wykrywania ważne jest, aby były one zdefiniowane tak, aby były jak najbardziej opisowe . Aby być opisowym, użyj silnych atrybutów lub wielu atrybutów, aby zwiększyć siłę wykrywania. Celem podczas definiowania wykrywania powinno być wyeliminowanie możliwości, aby wiele plików wchodziło w tę samą regułę, chyba że jest to jawnie intencja.

Reguły skrótów plików

Reguły skrótów plików to najsilniejsze reguły, które można utworzyć za pomocą usługi Endpoint Privilege Management. Te reguły są wysoce zalecane , aby upewnić się, że plik, który ma zostać podniesiony, to plik z podwyższonym poziomem poziomu.

Skrót pliku można zebrać z bezpośredniego pliku binarnego przy użyciu metody Get-Filehash programu PowerShell lub bezpośrednio z raportów dotyczących zarządzania uprawnieniami punktu końcowego.

Reguły certyfikatów

Reguły certyfikatów są silnym typem atrybutu i powinny być sparowane z innymi atrybutami. Parowanie certyfikatu z atrybutami, takimi jak nazwa produktu, nazwa wewnętrzna i opis, znacząco zwiększa bezpieczeństwo reguły. Te atrybuty są chronione przez sygnaturę plików i często wskazują szczegóły dotyczące podpisanego pliku.

Uwaga

Używanie tylko certyfikatu i nazwy pliku zapewnia bardzo ograniczoną ochronę przed nieprawidłowym użyciem reguły. Nazwy plików mogą być zmieniane przez dowolnego użytkownika standardowego pod warunkiem, że ma dostęp do katalogu, w którym znajduje się plik. Może to nie być problemem dla plików znajdujących się w katalogu chronionym zapisem.

Reguły zawierające nazwę pliku

Nazwa pliku to atrybut, którego można użyć do wykrywania aplikacji, która musi mieć podwyższony poziom. Jednak nazwy plików nie są chronione przez podpis pliku.

Oznacza to, że nazwy plików są bardzo podatne na zmiany. Pliki podpisane przy użyciu zaufanego certyfikatu mogą zmienić ich nazwę na wykrytą , a następnie podwyższoną, co może nie być zamierzonym zachowaniem.

Ważna

Zawsze upewnij się, że reguły, w tym nazwa pliku, zawierają inne atrybuty, które zapewniają silne potwierdzenie tożsamości pliku. Atrybuty, takie jak skrót pliku lub właściwości zawarte w sygnaturze plików, są dobrymi wskaźnikami, że plik, który zamierzasz, prawdopodobnie jest podwyższonym poziomem.

Reguły oparte na atrybutach zebranych przez program PowerShell

Aby ułatwić tworzenie dokładniejszych reguł wykrywania plików, możesz użyć polecenia cmdlet Get-FileAttributes programu PowerShell. Dostępne w module EpmTools programu PowerShell polecenie Get-FileAttributes może pobierać atrybuty plików i materiał łańcucha certyfikatów dla pliku, a dane wyjściowe umożliwiają wypełnienie właściwości reguły podniesienia uprawnień dla określonej aplikacji.

Przykładowe kroki importowania modułów i dane wyjściowe z Get-FileAttributes uruchamiane względem msinfo32.exe w systemie Windows 11 w wersji 10.0.22621.2506:

PS C:\Windows\system32> Import-Module 'C:\Program Files\Microsoft EPM Agent\EpmTools\EpmCmdlets.dll'
PS C:\Windows\system32> Get-FileAttributes -FilePath C:\Windows\System32\msinfo32.exe -CertOutputPath C:\CertsForMsInfo\


FileName      : msinfo32.exe
FilePath      : C:\Windows\System32
FileHash      : 18C8442887C36F7DB61E77013AAA5A1A6CDAF73D4648B2210F2D51D8B405191D
HashAlgorithm : Sha256
ProductName   : Microsoft® Windows® Operating System
InternalName  : msinfo.dll
Version       : 10.0.22621.2506
Description   : System Information
CompanyName   : Microsoft Corporation

Uwaga

Łańcuch certyfikatów dla msinfo32.exe jest wyprowadzony do katalogu C:\CertsForMsInfo wymienionego w powyższym poleceniu.

Aby uzyskać więcej informacji, zobacz Moduł EpmTools programu PowerShell.

Kontrolowanie zachowania procesu podrzędnego

Zachowanie procesu podrzędnego umożliwia kontrolowanie kontekstu, gdy proces podrzędny jest tworzony przez proces z podwyższonym poziomem poziomu za pomocą programu EPM. To zachowanie umożliwia dalsze ograniczanie procesów, które normalnie byłyby automatycznie delegowane w kontekście procesu nadrzędnego.

System Windows automatycznie deleguje kontekst elementu nadrzędnego do elementu podrzędnego, dlatego należy zachować szczególną ostrożność podczas kontrolowania zachowania dozwolonych aplikacji. Upewnij się, że oceniasz, co jest potrzebne podczas tworzenia reguł podniesienia uprawnień, i zaimplementuj zasadę najniższych uprawnień.

Uwaga

Zmiana zachowania procesu podrzędnego może mieć problemy z zgodnością z niektórymi aplikacjami, które oczekują domyślnego zachowania systemu Windows. Upewnij się, że dokładnie testujesz aplikacje podczas manipulowania zachowaniem procesu podrzędnego.

Wdrażanie reguł utworzonych przy użyciu usługi Endpoint Privilege Management

Reguły zarządzania uprawnieniami punktu końcowego są wdrażane tak jak inne zasady w usłudze Microsoft Intune. Oznacza to, że reguły można wdrażać dla użytkowników lub urządzeń, a reguły są scalane po stronie klienta i wybierane w czasie wykonywania. Wszelkie konflikty są rozwiązywane na podstawie zachowania konfliktu zasad.

Reguły wdrożone na urządzeniu są stosowane do każdego użytkownika , który używa tego urządzenia. Reguły wdrożone dla użytkownika mają zastosowanie tylko do tego użytkownika na każdym urządzeniu, z których korzysta. W przypadku wystąpienia akcji podniesienia uprawnień reguły wdrożone dla użytkownika mają pierwszeństwo przed regułami wdrożonych na urządzeniu. To zachowanie umożliwia wdrożenie zestawu reguł na urządzeniach, które mogą mieć zastosowanie do wszystkich użytkowników na tym urządzeniu, oraz bardziej permisywny zestaw reguł dla administratora pomocy technicznej, aby umożliwić im podniesienie poziomu szerszego zestawu aplikacji podczas tymczasowego logowania się do urządzenia.

Domyślne zachowanie podniesienia uprawnień jest używane tylko wtedy, gdy nie można odnaleźć dopasowania reguły. Wymaga to również użycia menu Uruchom z podwyższonym poziomem uprawnień dostępu , które jest interpretowane jako użytkownik jawnie proszący o podniesienie poziomu uprawnień aplikacji.

Zarządzanie uprawnieniami punktu końcowego i kontrola konta użytkownika

Zarządzanie uprawnieniami punktu końcowego i wbudowana kontrola konta użytkownika (UAC) systemu Windows to oddzielne produkty z oddzielnymi funkcjami.

Podczas przenoszenia użytkowników do uruchamiania jako użytkownicy standardowi i korzystania z usługi Endpoint Privilege Management można zmienić domyślne zachowanie funkcji UAC dla użytkowników standardowych. Ta zmiana może zmniejszyć liczbę pomyłek, gdy aplikacja wymaga podniesienia uprawnień i stworzyć lepsze środowisko użytkownika końcowego. Sprawdź zachowanie monitu o podniesienie uprawnień dla użytkowników standardowych , aby uzyskać więcej informacji.

Uwaga

Zarządzanie uprawnieniami punktu końcowego nie będzie zakłócać akcji kontroli konta użytkownika (lub funkcji kontroli dostępu użytkownika) uruchamianych przez administratora na urządzeniu. Istnieje możliwość utworzenia reguł, które mają zastosowanie do administratorów na urządzeniu, dlatego należy uwzględnić specjalne zagadnienia dotyczące reguł stosowanych do wszystkich użytkowników na urządzeniu oraz wpływu na użytkowników z uprawnieniami administratora.

Następne kroki