Diretrizes para criar regras de elevação com o Endpoint Privilege Management

  • Artigo

Observação

Esse recurso está disponível como um complemento Intune. Para obter mais informações, consulte Usar recursos de complemento do Intune Suite.

Visão Geral

Com Microsoft Intune Endpoint Privilege Management (EPM) os usuários da sua organização podem ser executados como um usuário padrão (sem direitos de administrador) e concluir tarefas que exigem privilégios elevados. As tarefas que normalmente exigem privilégios administrativos são instalações de aplicativos (como Aplicativos do Microsoft 365), atualização de drivers de dispositivo e execução de determinadas diagnóstico do Windows.

O Endpoint Privilege Management dá suporte à jornada de confiança zero, ajudando sua organização a alcançar uma ampla base de usuários em execução com menos privilégios, permitindo que os usuários ainda executem tarefas permitidas pela sua organização para permanecerem produtivas.

Definindo regras para uso com o Endpoint Privilege Management

As regras do Endpoint Privilege Management consistem em dois elementos fundamentais: uma detecção e uma ação de elevação.

As detecções são classificadas como o conjunto de atributos usados para identificar um aplicativo ou binário. As detecções são compostas por atributos como nome do arquivo, versão do arquivo ou atributos de uma assinatura.

As ações de elevação são a elevação resultante que ocorre após a detecção de um aplicativo ou binário.

É importante ao definir as detecções que elas são definidas como o mais descritivas possível. Para ser descritivo, use atributos fortes ou vários atributos para aumentar a força da detecção. O objetivo ao definir detecções deve ser eliminar a capacidade de vários arquivos se enquadrar na mesma regra, a menos que essa seja explicitamente a intenção.

Regras de hash de arquivo

As regras de hash de arquivo são as regras mais fortes que podem ser criadas com o Endpoint Privilege Management. Essas regras são altamente recomendadas para garantir que o arquivo que você pretende elevar seja o arquivo que está elevado.

O hash do arquivo pode ser coletado do binário direto usando o método Get-Filehash PowerShell ou diretamente dos relatórios do Endpoint Privilege Management.

Regras de certificado

As regras de certificado são um tipo forte de atributo e devem ser emparelhadas com outros atributos. Emparelhar um certificado com atributos como nome do produto, nome interno e descrição melhora drasticamente a segurança da regra. Esses atributos são protegidos por uma assinatura de arquivos e geralmente indicam detalhes sobre o arquivo assinado.

Cuidado

Usar apenas um certificado e um nome de arquivo fornece proteção muito limitada para uso indevido de uma regra. Os nomes de arquivo podem ser alterados por qualquer usuário padrão desde que tenham acesso ao diretório em que o arquivo reside. Isso pode não ser uma preocupação para arquivos que residem em um diretório protegido por gravação.

Regras que contêm o nome do arquivo

O nome do arquivo é um atributo que pode ser usado para detectar um aplicativo que precisa ser elevado. No entanto, os nomes de arquivo não são protegidos pela assinatura do arquivo.

Isso significa que os nomes de arquivo são altamente suscetíveis a alterações. Os arquivos que são assinados por um certificado em que você confia podem ter seu nome alterado para serem detectados e posteriormente elevados, o que pode não ser o comportamento pretendido.

Importante

Certifique-se sempre de que as regras, incluindo um nome de arquivo, incluam outros atributos que fornecem uma forte afirmação à identidade do arquivo. Atributos como hash de arquivo ou propriedades incluídas na assinatura de arquivos são bons indicadores de que o arquivo que você pretende é provavelmente o que está sendo elevado.

Regras baseadas em atributos coletados pelo PowerShell

Para ajudá-lo a criar regras mais precisas de detecção de arquivos, você pode usar o cmdlet Get-FileAttributes PowerShell. Disponível no módulo EpmTools PowerShell, Get-FileAttributes pode recuperar atributos de arquivo e o material da cadeia de certificados para um arquivo e você pode usar a saída para preencher propriedades de regra de elevação para um determinado aplicativo.

As etapas e a saída de importação de módulo de exemplo de Get-FileAttributes são executadas em msinfo32.exe na versão 10.0.22621.2506 do Windows 11:

PS C:\Windows\system32> Import-Module 'C:\Program Files\Microsoft EPM Agent\EpmTools\EpmCmdlets.dll'
PS C:\Windows\system32> Get-FileAttributes -FilePath C:\Windows\System32\msinfo32.exe -CertOutputPath C:\CertsForMsInfo\


FileName      : msinfo32.exe
FilePath      : C:\Windows\System32
FileHash      : 18C8442887C36F7DB61E77013AAA5A1A6CDAF73D4648B2210F2D51D8B405191D
HashAlgorithm : Sha256
ProductName   : Microsoft® Windows® Operating System
InternalName  : msinfo.dll
Version       : 10.0.22621.2506
Description   : System Information
CompanyName   : Microsoft Corporation

Observação

A cadeia de certificados para msinfo32.exe é saída para o diretório C:\CertsForMsInfo listado no comando acima.

Para obter mais informações, confira Módulo do PowerShell do EpmTools.

Controlar o comportamento do processo filho

O comportamento do processo filho permite controlar o contexto quando um processo filho é criado por um processo elevado com o EPM. Esse comportamento permite restringir ainda mais os processos que normalmente seriam delegados automaticamente ao contexto do processo pai.

O Windows delega automaticamente o contexto de um pai para um filho, portanto, tome cuidado especial em controlar o comportamento de seus aplicativos permitidos. Verifique se você avalia o que é necessário ao criar regras de elevação e implemente o princípio de menor privilégio.

Observação

Alterar o comportamento do processo filho pode ter problemas de compatia com determinados aplicativos que esperam o comportamento padrão do Windows. Verifique se você testa completamente os aplicativos ao manipular o comportamento do processo filho.

Implantando regras criadas com o Endpoint Privilege Management

As regras de Gerenciamento de Privilégios do Ponto de Extremidade são implantadas como qualquer outra política no Microsoft Intune. Isso significa que as regras podem ser implantadas em usuários ou dispositivos e as regras são mescladas no lado do cliente e selecionadas em tempo de execução. Todos os conflitos são resolvidos com base no comportamento de conflito de política.

As regras implantadas em um dispositivo são aplicadas a todos os usuários que usam esse dispositivo. As regras implantadas em um usuário aplicam-se apenas a esse usuário em cada dispositivo que eles utilizam. Quando ocorre uma ação de elevação, as regras implantadas no usuário têm precedência às regras implantadas em um dispositivo. Esse comportamento permite implantar um conjunto de regras em dispositivos que podem se aplicar a todos os usuários nesse dispositivo e um conjunto mais permissivo de regras para um administrador de suporte para permitir que eles elevem um conjunto mais amplo de aplicativos quando entrarem temporariamente no dispositivo.

O comportamento padrão de elevação é usado somente quando nenhuma correspondência de regra pode ser encontrada. Isso também requer o uso do menu Executar com acesso elevado com o botão direito do mouse, que é interpretado como um usuário pedindo explicitamente que um aplicativo seja elevado.

Gerenciamento de privilégios de ponto de extremidade e controle de conta de usuário

O Gerenciamento de Privilégios do Ponto de Extremidade e o UAC (controle de conta de usuário interno) do Windows são produtos separados com funcionalidade separada.

Ao mover usuários para serem executados como usuários padrão e usar o Endpoint Privilege Management, você pode optar por alterar o comportamento padrão do UAC para usuários padrão. Essa alteração pode reduzir a confusão quando um aplicativo requer elevação e criar uma melhor experiência de usuário final. Examine o comportamento do prompt de elevação para usuários padrão para obter mais informações.

Observação

O Gerenciamento de Privilégios do Ponto de Extremidade não interferirá com as ações de controle da conta de usuário (ou UAC) sendo executadas por um administrador no dispositivo. É possível criar regras que se aplicam aos administradores no dispositivo, portanto, considerações especiais devem ser dadas às regras aplicadas a todos os usuários em um dispositivo e ao impacto sobre os usuários com direitos de administrador.

Próximas etapas