Partilhar via

Documentação de orientação para criar regras de elevação com a Gestão de Privilégios de Ponto Final

  • Artigo

Observação

Esta capacidade está disponível como um suplemento do Intune. Para obter mais informações, veja Utilizar as capacidades de suplemento do Intune Suite.

Visão Geral

Com o Endpoint Privilege Management (EPM) do Microsoft Intune, os utilizadores da sua organização podem ser executados como um utilizador padrão (sem direitos de administrador) e concluir tarefas que requerem privilégios elevados. As tarefas que normalmente requerem privilégios administrativos são instalações de aplicações (como Aplicações do Microsoft 365), atualização de controladores de dispositivo e execução de determinados diagnósticos do Windows.

O Endpoint Privilege Management suporta o seu percurso de confiança zero ao ajudar a sua organização a alcançar uma ampla base de utilizadores em execução com menos privilégios, ao mesmo tempo que permite que os utilizadores continuem a executar tarefas permitidas pela sua organização para se manterem produtivos.

Definir regras para utilização com o Endpoint Privilege Management

As regras do Endpoint Privilege Management consistem em dois elementos fundamentais: uma deteção e uma ação de elevação.

As deteções são classificadas como o conjunto de atributos que são utilizados para identificar uma aplicação ou binário. As deteções são compostas por atributos como o nome do ficheiro, a versão do ficheiro ou os atributos de uma assinatura.

As ações de elevação são a elevação resultante que ocorre após a deteção de uma aplicação ou binário.

É importante ao definir deteções que são definidas para serem o mais descritivas possível. Para ser descritivo, utilize atributos fortes ou múltiplos atributos para aumentar a força da deteção. O objetivo ao definir deteções deve ser eliminar a capacidade de vários ficheiros se enquadrarem na mesma regra, a menos que essa seja explicitamente a intenção.

Regras de hash de ficheiros

As regras de hash de ficheiros são as regras mais fortes que podem ser criadas com o Endpoint Privilege Management. Estas regras são altamente recomendadas para garantir que o ficheiro que pretende elevar é o ficheiro que é elevado.

O hash de ficheiros pode ser recolhido a partir do binário direto com o método Get-Filehash do PowerShell ou diretamente a partir dos relatórios do Endpoint Privilege Management.

Regras de certificado

As regras de certificado são um tipo de atributo forte e devem ser emparelhadas com outros atributos. Emparelhar um certificado com atributos como o nome do produto, o nome interno e a descrição melhora drasticamente a segurança da regra. Estes atributos estão protegidos por uma assinatura de ficheiros e, muitas vezes, indicam informações específicas sobre o ficheiro assinado.

Cuidado

Utilizar apenas um certificado e um nome de ficheiro fornece proteção muito limitada para utilização indevida de uma regra. Os nomes de ficheiro podem ser alterados por qualquer utilizador padrão , desde que tenham acesso ao diretório onde reside o ficheiro. Isto pode não ser uma preocupação para ficheiros que residem num diretório protegido por escrita.

Regras que contêm o nome do ficheiro

O nome de ficheiro é um atributo que pode ser utilizado para detetar uma aplicação que precisa de ser elevada. No entanto, os nomes de ficheiro não estão protegidos pela assinatura do ficheiro.

Isto significa que os nomes de ficheiros são altamente suscetíveis a alterações. Os ficheiros assinados por um certificado em que confia podem ter o nome alterado para serem detetados e posteriormente elevados, o que pode não ser o comportamento pretendido.

Importante

Certifique-se sempre de que as regras, incluindo um nome de ficheiro, incluem outros atributos que fornecem uma forte asserção à identidade do ficheiro. Atributos como o hash de ficheiro ou as propriedades incluídas na assinatura de ficheiros são bons indicadores de que o ficheiro pretendido é provavelmente o que está a ser elevado.

Regras baseadas em atributos recolhidos pelo PowerShell

Para o ajudar a criar regras de deteção de ficheiros mais precisas, pode utilizar o cmdlet Do PowerShell Get-FileAttributes . Disponível no módulo EpmTools do PowerShell, Get-FileAttributes pode obter atributos de ficheiro e o material da cadeia de certificados para um ficheiro e pode utilizar o resultado para preencher as propriedades da regra de elevação de uma determinada aplicação.

Passos de importação e saída do módulo de exemplo de Get-FileAttributes executados em msinfo32.exe na versão 10.0.22621.2506 do Windows 11:

PS C:\Windows\system32> Import-Module 'C:\Program Files\Microsoft EPM Agent\EpmTools\EpmCmdlets.dll'
PS C:\Windows\system32> Get-FileAttributes -FilePath C:\Windows\System32\msinfo32.exe -CertOutputPath C:\CertsForMsInfo\


FileName      : msinfo32.exe
FilePath      : C:\Windows\System32
FileHash      : 18C8442887C36F7DB61E77013AAA5A1A6CDAF73D4648B2210F2D51D8B405191D
HashAlgorithm : Sha256
ProductName   : Microsoft® Windows® Operating System
InternalName  : msinfo.dll
Version       : 10.0.22621.2506
Description   : System Information
CompanyName   : Microsoft Corporation

Observação

A cadeia de certificados para msinfo32.exe é saída para o diretório C:\CertsForMsInfo listado no comando acima.

Para obter mais informações, veja Módulo EpmTools do PowerShell.

Controlar o comportamento do processo subordinado

O comportamento do processo subordinado permite-lhe controlar o contexto quando um processo subordinado é criado por um processo elevado com o EPM. Este comportamento permite-lhe restringir ainda mais os processos que normalmente seriam delegados automaticamente ao contexto do processo principal.

O Windows delega automaticamente o contexto de um elemento principal a um menor, por isso tenha especial cuidado ao controlar o comportamento das suas aplicações permitidas. Certifique-se de que avalia o que é necessário quando cria regras de elevação e implementa o princípio do menor privilégio.

Observação

Alterar o comportamento do processo subordinado pode ter problemas de compatibilidade com determinadas aplicações que esperam o comportamento predefinido do Windows. Certifique-se de que testa cuidadosamente as aplicações ao manipular o comportamento do processo subordinado.

Implementar regras criadas com a Gestão de Privilégios de Ponto Final

As regras do Endpoint Privilege Management são implementadas como qualquer outra política no Microsoft Intune. Isto significa que as regras podem ser implementadas em utilizadores ou dispositivos e as regras são intercaladas no lado do cliente e selecionadas no tempo de execução. Todos os conflitos são resolvidos com base no comportamento de conflito de políticas.

As regras implementadas num dispositivo são aplicadas a todos os utilizadores que utilizam esse dispositivo. As regras implementadas num utilizador aplicam-se apenas a esse utilizador em cada dispositivo que utilizar. Quando ocorre uma ação de elevação, as regras implementadas no utilizador têm precedência para as regras implementadas num dispositivo. Este comportamento permite-lhe implementar um conjunto de regras em dispositivos que podem ser aplicáveis a todos os utilizadores nesse dispositivo e um conjunto mais permissivo de regras para um administrador de suporte para permitir que elevem temporariamente um conjunto mais amplo de aplicações quando iniciam sessão no dispositivo.

O comportamento de Elevação Predefinido só é utilizado quando não é possível encontrar nenhuma correspondência de regra. Isto também requer a utilização do menu de contexto Executar com acesso elevado , que é interpretado como um utilizador a pedir explicitamente que uma aplicação seja elevada.

Gestão de Privilégios de Ponto Final e Controlo de Conta de Utilizador

A Gestão de Privilégios de Ponto Final e o controlo de conta de utilizador (UAC) incorporado do Windows são produtos separados com funcionalidades separadas.

Ao mover os utilizadores para executarem como utilizadores padrão e utilizarem a Gestão de Privilégios de Ponto Final, pode optar por alterar o comportamento predefinido do UAC para utilizadores padrão. Esta alteração pode reduzir a confusão quando uma aplicação requer elevação e cria uma melhor experiência de utilizador final. Examine o comportamento do pedido de elevação para utilizadores padrão para obter mais informações.

Observação

A Gestão de Privilégios de Ponto Final não irá interferir com as ações de controlo da conta de utilizador (ou UAC) que estão a ser executadas por um Administrador no dispositivo. É possível criar regras que se apliquem aos Administradores no dispositivo, pelo que devem ser dadas considerações especiais às regras que são aplicadas a todos os utilizadores num dispositivo e ao impacto nos utilizadores com direitos de Administrador.

Próximas etapas