Vägledning för att skapa utökade regler med Endpoint Privilege Management

Obs!

Den här funktionen är tillgänglig som ett Intune-tillägg. Mer information finns i Använda intune Suite-tilläggsfunktioner.

Översikt

Med Microsoft Intune Endpoint Privilege Management (EPM) kan organisationens användare köras som standardanvändare (utan administratörsbehörighet) och utföra uppgifter som kräver utökade privilegier. Uppgifter som ofta kräver administratörsbehörighet är programinstallationer (till exempel Microsoft 365-program), uppdatering av enhetsdrivrutiner och körning av viss Windows-diagnostik.

Endpoint Privilege Management stöder din resa utan förtroende genom att hjälpa din organisation att uppnå en bred användarbas som körs med minsta möjliga behörighet, samtidigt som användarna fortfarande kan köra uppgifter som tillåts av din organisation för att förbli produktiva.

Definiera regler för användning med Endpoint Privilege Management

Endpoint Privilege Management-regler består av två grundläggande element: en identifiering och en åtgärd för utökade privilegier.

Identifieringar klassificeras som en uppsättning attribut som används för att identifiera ett program eller en binär fil. Identifieringar består av attribut som filnamn, filversion eller attribut för en signatur.

Höjda åtgärder är den höjd som uppstår när ett program eller en binär fil har identifierats.

Det är viktigt när du definierar identifieringar som de definieras för att vara så beskrivande som möjligt. Om du vill vara beskrivande använder du starka attribut eller flera attribut för att öka identifieringens styrka. Målet när du definierar identifieringar bör vara att eliminera möjligheten för flera filer att falla i samma regel, såvida det inte uttryckligen är avsikten.

Filhashregler

Filhashregler är de starkaste reglerna som kan skapas med Endpoint Privilege Management. Dessa regler rekommenderas starkt för att säkerställa att filen som du tänker höja är den fil som är upphöjd.

Filhash kan samlas in från den direkta binärfilen med hjälp av Metoden Get-Filehash PowerShell eller direkt från rapporterna för Endpoint Privilege Management.

Certifikatregler

Certifikatregler är en stark typ av attribut och bör paras ihop med andra attribut. Att koppla ett certifikat med attribut som produktnamn, internt namn och beskrivning förbättrar drastiskt säkerheten för regeln. De här attributen skyddas av en filsignatur och anger ofta detaljer om den signerade filen.

Försiktighet

Att bara använda ett certifikat och ett filnamn ger ett mycket begränsat skydd för missbruk av en regel. Filnamn kan ändras av alla standardanvändare förutsatt att de har åtkomst till katalogen där filen finns. Detta kanske inte är ett problem för filer som finns i en skrivskyddad katalog.

Regler som innehåller filnamn

Filnamn är ett attribut som kan användas för att identifiera ett program som behöver utökas. Filnamn skyddas dock inte av filens signatur.

Det innebär att filnamn är mycket känsliga för ändringar. Filer som är signerade av ett certifikat som du litar på kan få sitt namn ändrat för att identifieras och senare höjas, vilket kanske inte är ditt avsedda beteende.

Viktigt

Se alltid till att regler inklusive ett filnamn innehåller andra attribut som ger en stark försäkran om filens identitet. Attribut som filhash eller egenskaper som ingår i filsignaturen är bra indikatorer på att den fil som du avser sannolikt är den som höjs.

Regler baserade på attribut som samlats in av PowerShell

För att hjälpa dig att skapa mer exakta regler för filidentifiering kan du använda PowerShell-cmdleten Get-FileAttributes . Get-FileAttributes är tillgängligt från EpmTools PowerShell-modulen och kan hämta filattribut och certifikatkedjematerialet för en fil och du kan använda utdata för att fylla i egenskaper för utökade privilegier för ett visst program.

Exempel på modulimportsteg och utdata från Get-FileAttributes köras mot msinfo32.exe i Windows 11 version 10.0.22621.2506:

PS C:\Windows\system32> Import-Module 'C:\Program Files\Microsoft EPM Agent\EpmTools\EpmCmdlets.dll'
PS C:\Windows\system32> Get-FileAttributes -FilePath C:\Windows\System32\msinfo32.exe -CertOutputPath C:\CertsForMsInfo\


FileName      : msinfo32.exe
FilePath      : C:\Windows\System32
FileHash      : 18C8442887C36F7DB61E77013AAA5A1A6CDAF73D4648B2210F2D51D8B405191D
HashAlgorithm : Sha256
ProductName   : Microsoft® Windows® Operating System
InternalName  : msinfo.dll
Version       : 10.0.22621.2506
Description   : System Information
CompanyName   : Microsoft Corporation

Obs!

Certifikatkedjan för msinfo32.exe är utdata till katalogen C:\CertsForMsInfo som anges i kommandot ovan.

Mer information finns i EpmTools PowerShell-modulen.

Kontrollera underordnat processbeteende

Med underordnat processbeteende kan du styra kontexten när en underordnad process skapas av en process som är upphöjd med EPM. Med det här beteendet kan du ytterligare begränsa processer som normalt automatiskt delegeras kontexten för den överordnade processen.

Windows delegerar automatiskt kontexten för en överordnad till ett underordnat barn, så var särskilt noga med att kontrollera beteendet för dina tillåtna program. Se till att du utvärderar vad som behövs när du skapar regler för utökade privilegier och implementerar principen om lägsta behörighet.

Obs!

Att ändra det underordnade processbeteendet kan ha kompatibilitetsproblem med vissa program som förväntar sig standardbeteendet för Windows. Kontrollera att du testar program noggrant när du manipulerar det underordnade processbeteendet.

Distribuera regler som skapats med Endpoint Privilege Management

Endpoint Privilege Management-regler distribueras som andra principer i Microsoft Intune. Det innebär att regler kan distribueras till användare eller enheter, och regler slås samman på klientsidan och väljs vid körning. Eventuella konflikter löses baserat på principens konfliktbeteende.

Regler som distribueras till en enhet tillämpas på alla användare som använder den enheten. Regler som distribueras till en användare gäller endast för användaren på varje enhet som de använder. När en höjningsåtgärd inträffar ges regler som distribueras till användaren företräde framför regler som distribueras till en enhet. Med det här beteendet kan du distribuera en uppsättning regler till enheter som kan gälla för alla användare på den enheten och en mer tillåtande uppsättning regler till en supportadministratör så att de kan höja en bredare uppsättning program när de loggar in på enheten tillfälligt.

Standardbeteendet för utökade privilegier används bara när ingen regelmatchning kan hittas. Detta kräver också att du använder högerklicksmenyn Kör med förhöjd åtkomst , vilket tolkas som en användare som uttryckligen ber om att ett program ska höjas.

Hantering av slutpunktsprivilegier och användarkontokontroll

Endpoint Privilege Management och windows inbyggda UAC (User Account Control) är separata produkter med separata funktioner.

När du flyttar användare så att de körs som standardanvändare och använder Endpoint Privilege Management kan du välja att ändra standardbeteendet för UAC för standardanvändare. Den här ändringen kan minska förvirringen när ett program kräver utökade privilegier och skapa en bättre slutanvändarupplevelse. Mer information finns i beteendet för fråga om utökade privilegier för standardanvändare .

Obs!

Endpoint Privilege Management stör inte åtgärder för användarkontokontroll (eller UAC) som körs av en administratör på enheten. Det är möjligt att skapa regler som gäller för administratörer på enheten, så särskilda överväganden bör övervägas för regler som tillämpas på alla användare på en enhet och påverkan på användare med administratörsrättigheter.

Nästa steg