Использование Управление привилегиями на конечных точках для перехода пользователей с администратора на обычного пользователя

Примечание.

Эта возможность доступна как надстройка Intune. Дополнительные сведения см. в статье Использование возможностей надстройки Intune Suite.

С помощью Microsoft Intune Управление привилегиями на конечных точках (EPM) пользователи вашей организации могут работать от имени обычного пользователя (без прав администратора) и выполнять задачи, требующие повышенных привилегий. Дополнительные сведения см. в разделе Обзор EPM.

Применимо к:

  • Windows

Распространенный сценарий для клиентов, которые хотят использовать Управление привилегиями на конечных точках, заключается в сокращении числа локальных администраторов в своей среде. Этот сценарий соответствует принципу "Никому не доверяй" с минимальными привилегиями. В этом документе описаны шаги, которые клиент может выполнить, чтобы использовать EPM для перемещения пользователей от администраторов к стандартным пользователям с минимальными нарушениями.

Этап 1. Аудит

Независимо от того, выполняется ли миграция с другого продукта управления привилегиями конечных точек или начинается новый, рекомендуется включить аудит в качестве первого шага. Включение аудита позволяет клиенту EPM и устройствам отправлять диагностические данные в Intune, где их можно просматривать в различных отчетах. Сбор этих данных о повышении предоставляет сведения о процессах, которые пользователи стремятся повысить, и помогает определить общие закономерности. В идеале они соответствуют вашим пользователям, таким как разработчики, специалисты по ИТ-поддержке и т. д. Развертывание этой политики для аудита является простым и может быть ориентировано на группу пользователей или устройства по вашему выбору в рамках любого обычного назначения политики Intune.

Примечание.

После включения для возврата данных об использовании может потребоваться 24 часа, а для обновления отчетов портала Intune. В зависимости от шаблонов использования может потребоваться просмотреть данные отчетов в течение многих недель, чтобы получить лучшее представление о своей среде.

Действия по созданию политики:

  1. Войдите в Центр администрирования Microsoft Intune.
  2. Выберите Endpoint Security>Управление привилегиями на конечных точках>Policies
  3. Нажмите Создать политику. Введите следующие сведения:
    • Платформы: Windows
    • Профиль: Политика параметров повышения прав
  4. Нажмите кнопку Создать
  5. Укажите имя политики, например: Политика параметров EPM — только аудит
  6. Нажмите Далее.
  7. Разверните раздел "Параметры клиента повышения привилегий управления привилегиями" и убедитесь, что заданы следующие значения:
    • Управление привилегиями на конечных точках: включено
    • Ответ на повышение прав по умолчанию: Не настроено
    • Отправка данных о повышении прав для создания отчетов: Да
    • Область отчетов: диагностические данные и все повышения прав конечных точек
  8. Нажмите Далее.
  9. Оставьте теги области и нажмите кнопку Далее.
  10. Добавьте группу устройств или пользователей, для которой требуется настроить политику
  11. Нажмите Далее.
  12. Выберите Создать , чтобы создать политику.

Чтобы убедиться, что правило работает должным образом, выполните следующие действия:

  • Войдите на устройство Windows, используя стандартные учетные данные пользователя.
  • Начать>Запустить>Services.msc> Ok
  • Убедитесь, что служба агента Майкрософт EPM имеет значение Выполняется, а для параметра Задано значение Автоматический тип запуска.
  • Закройте оснастку Службы.
  • Начать>Запустить>C:\Program Files\> Хорошо
  • Убедитесь, что есть папка с именем Майкрософт EPM Agent.

Через 24 часа или более прошло:

  1. Войдите в Центр администрирования Microsoft Intune.
  2. Выберите Endpoint Security>Управление привилегиями на конечных точках>Отчеты
  3. Выбор отчета о повышении прав
  4. Просмотр сведений о отчете о повышении прав

Определите группы пользователей (в идеале в соответствии с указанными ранее лицами), которые имеют аналогичные требования к повышению. Определение шаблонов использования и групп пользователей помогает при последующих шагах.

Совет

Этот отчет содержит некоторые процессы Windows по умолчанию в столбце Файл (например C:\Windows\System32\Dism\dismhost and c:\Windows\System32\conhost.exe, ), которые можно игнорировать.

Этап 2. Идентификация личности

Использование пользователей в разработке политик Управление привилегиями на конечных точках Microsoft Intune (EPM) — это стратегический способ согласования параметров и правил повышения прав с реальными потребностями пользователей.

Что такое пользователи в EPM?

Пользователи — это управляемые данными представления различных типов пользователей в вашей организации. Каждый человек отражает группу пользователей со схожими ролями, обязанностями и потребностями приложений.

Пример сопоставления пользователей:

Тип persona Примеры ролей Стратегия повышения прав Повышение прав по умолчанию
Опытные пользователи Специалисты по ИТ-поддержке, опытные ИТ-пользователи Автоматическое повышение прав для определенных правил Запретить все запросы
Разработчики Проектирование Автоматическое повышение прав для определенных приложений с низким риском; Пользователь оправдан для приложений с более высоким риском Поддержка утверждена
пользователи Standard Финансы, отдел кадров Автоматическое повышение прав для определенных правил Отклонение всех запросов или поддержка, утвержденных

Как пользователи помогают спроектировать параметры и правила повышения прав?

Сопоставление потребностей пользователя позволяет определить стратегию повышения для каждой когорты пользователей.

Этап 3. Создание правил

Правила EPM состоят из двух основных элементов: обнаружения и действия повышения прав.

Обнаружения определяются как набор атрибутов, используемых для идентификации приложения или двоичного файла. Эти атрибуты включают имя файла, версию файла и свойства подписи. Действия повышения прав — это результирующее повышение прав, возникающее после обнаружения приложения или двоичного файла.

Лучшие методики

  • Используйте строгие атрибуты или несколько атрибутов для повышения надежности обнаружения.
  • Хэш файла или сертификат является обязательным.

Дополнительные рекомендации по безопасности см. в разделе Рекомендации по безопасности.

Действия по созданию правила с использованием данных отчета о повышении прав

  1. Войдите в Центр администрирования Microsoft Intune.
  2. Выберите Endpoint Security>Управление привилегиями на конечных точках>Policies
  3. Выбор отчета о повышении прав
  4. Выберите приложение или процесс (например, ). C:\Program Files\Notepad++\
  5. Выберите Создать правило со следующими сведениями:
    • Создание новой политики
    • Тип: Подтверждено пользователем
    • Поведение дочернего процесса: Требовать повышение уровня правила
    • Требуется тот же путь к файлу, что и для этого повышения прав: выбрано
  6. Нажмите кнопку ОК.
  7. Укажите имя политики (например EPM rule – Notepad++ User Confirmed)
  8. Выберите Да.
  9. Перейдите к списку политик EPM и выберите политику.
  10. В разделе Назначения выберите Изменить.
  11. Выберите Добавить группы.
  12. Назначение группе (например, разработчикам)
  13. Выбор, просмотр и сохранение

Дополнительные сведения о создании правила см. в разделе Создание правил повышения прав.

Убедитесь, что правило работает

  • Войдите на устройство Windows с учетными данными стандартного пользователя.
  • Щелкните правой кнопкой мыши приложение (например Notepad++) и выберите "Запустить с повышенным доступом".
  • Во всплывающем окне Управление привилегиями на конечных точках нажмите кнопку Продолжить.
  • Проверка запуска приложения с повышенными разрешениями

Этап 4. Удаление прав локального администратора

  1. Войдите в Центр администрирования Microsoft Intune.

  2. ВыберитеЗащита учетной записи безопасности >конечных точек

  3. Выберите Создать политику:

    • Платформы: Windows
    • Профиль: Членство в локальной группе пользователей

  4. Укажите имя политики (например Remove local admin rights (developers))

  5. Выберите Добавить:

    • Локальная группа: администраторы
    • Действие группы и пользователя: добавить (заменить)
    • Тип выбора пользователя: Вручную

  6. Выберите пользователей

  7. Добавьте два идентификатора безопасности (SID) для:

    • Глобальный администратор
    • Локальный администратор устройства, присоединенный к Microsoft Entra

    Использование Lusrmgr.msc на устройстве, присоединенном к Entra, для поиска идентификаторов безопасности, начиная с S-1-12-1-

  8. Назначение группе (например Developers)

  9. Нажмите кнопку Сохранить.

Дополнительные сведения о профилях локальных пользователей и групп см. в разделе Защита учетных записей.

Этап 5. Мониторинг

  • Регулярно просматривайте отчеты о повышении прав
  • Добавление неуправляемых прав в правила или их запрет
  • Мониторинг запросов, утвержденных поддержкой, на наличие задержек или шаблонов
  • Обновление правил при изменении версий файлов или сертификатов
  • Отмена или ужесточение устаревших правил

Дальнейшие действия

Далее: Поддержка утвержденных запросов >

  • Last updated on