Guía para crear reglas de elevación con Endpoint Privilege Management
Nota:
Esta funcionalidad está disponible como un complemento de Intune. Para obtener más información, consulte Uso de funcionalidades de complemento de Intune Suite.
Información general
Con Microsoft Intune Administración de privilegios de punto de conexión (EPM), los usuarios de la organización pueden ejecutarse como un usuario estándar (sin derechos de administrador) y completar tareas que requieren privilegios elevados. Las tareas que normalmente requieren privilegios administrativos son las instalaciones de aplicaciones (como aplicaciones de Microsoft 365), la actualización de controladores de dispositivo y la ejecución de determinados diagnósticos de Windows.
Endpoint Privilege Management admite el recorrido de confianza cero al ayudar a su organización a lograr una amplia base de usuarios que se ejecute con privilegios mínimos, a la vez que permite a los usuarios seguir ejecutando tareas permitidas por su organización para que sigan siendo productivas.
Definición de reglas para su uso con la administración de privilegios de punto de conexión
Las reglas de administración de privilegios de punto de conexión constan de dos elementos fundamentales: una detección y una acción de elevación.
Las detecciones se clasifican como el conjunto de atributos que se usan para identificar una aplicación o un archivo binario. Las detecciones se componen de atributos como el nombre de archivo, la versión del archivo o los atributos de una firma.
Las acciones de elevación son la elevación resultante que se produce después de que se haya detectado una aplicación o un archivo binario.
Es importante al definir las detecciones que se definan para que sean lo más descriptivos posible. Para ser descriptivo, use atributos seguros o varios atributos para aumentar la intensidad de la detección. El objetivo al definir detecciones debe ser eliminar la capacidad de que varios archivos entren en la misma regla, a menos que sea explícitamente la intención.
Reglas hash de archivo
Las reglas hash de archivo son las reglas más seguras que se pueden crear con Endpoint Privilege Management. Estas reglas son muy recomendables para asegurarse de que el archivo que se va a elevar sea el archivo con privilegios elevados.
El hash de archivo se puede recopilar desde el binario directo mediante el método De PowerShell Get-Filehash o directamente desde los informes de Endpoint Privilege Management.
Reglas de certificado
Las reglas de certificado son un tipo seguro de atributo y deben emparejarse con otros atributos. Emparejar un certificado con atributos como el nombre del producto, el nombre interno y la descripción, mejora drásticamente la seguridad de la regla. Estos atributos están protegidos por una firma de archivos y a menudo indican detalles sobre el archivo firmado.
Precaución
El uso de solo un certificado y un nombre de archivo proporciona una protección muy limitada para el uso incorrecto de una regla. Cualquier usuario estándar puede cambiar los nombres de archivo siempre que tenga acceso al directorio donde reside el archivo. Podría no ser un problema para los archivos que residen en un directorio protegido por escritura.
Reglas que contienen el nombre de archivo
El nombre de archivo es un atributo que se puede usar para detectar una aplicación que debe tener privilegios elevados. Sin embargo, los nombres de archivo no están protegidos por la firma del archivo.
Esto significa que los nombres de archivo son muy susceptibles a cambios. Los archivos firmados por un certificado de confianza podrían cambiar su nombre para que se detecten y se puedan elevar posteriormente, lo que podría no ser el comportamiento previsto.
Importante
Asegúrese siempre de que las reglas, incluido un nombre de archivo, incluyan otros atributos que proporcionen una aserción segura a la identidad del archivo. Los atributos como el hash de archivo o las propiedades que se incluyen en la firma de archivos son buenos indicadores de que el archivo que pretende es probablemente el que se está elevando.
Reglas basadas en atributos recopilados por PowerShell
Para ayudarle a crear reglas de detección de archivos más precisas, puede usar el cmdlet De PowerShell Get-FileAttributes . Disponible en el módulo de PowerShell EpmTools, Get-FileAttributes puede recuperar atributos de archivo y el material de la cadena de certificados para un archivo y puede usar la salida para rellenar las propiedades de regla de elevación de una aplicación determinada.
Los pasos de importación de módulos de ejemplo y la salida de Get-FileAttributes se ejecutan en msinfo32.exe en Windows 11 versión 10.0.22621.2506:
PS C:\Windows\system32> Import-Module 'C:\Program Files\Microsoft EPM Agent\EpmTools\EpmCmdlets.dll'
PS C:\Windows\system32> Get-FileAttributes -FilePath C:\Windows\System32\msinfo32.exe -CertOutputPath C:\CertsForMsInfo\
FileName : msinfo32.exe
FilePath : C:\Windows\System32
FileHash : 18C8442887C36F7DB61E77013AAA5A1A6CDAF73D4648B2210F2D51D8B405191D
HashAlgorithm : Sha256
ProductName : Microsoft® Windows® Operating System
InternalName : msinfo.dll
Version : 10.0.22621.2506
Description : System Information
CompanyName : Microsoft Corporation
Nota:
La cadena de certificados para msinfo32.exe se genera en el directorio C:\CertsForMsInfo que se muestra en el comando anterior.
Para obtener más información, vea Módulo de PowerShell EpmTools.
Controlar el comportamiento del proceso secundario
El comportamiento del proceso secundario permite controlar el contexto cuando un proceso secundario se crea mediante un proceso elevado con EPM. Este comportamiento permite restringir aún más los procesos que normalmente se delegarían automáticamente en el contexto del proceso primario.
Windows delega automáticamente el contexto de un elemento primario a un elemento secundario, por lo que debe tener especial cuidado al controlar el comportamiento de las aplicaciones permitidas. Asegúrese de evaluar lo que se necesita al crear reglas de elevación e implementar el principio de privilegios mínimos.
Nota:
Cambiar el comportamiento del proceso secundario puede tener problemas de compatibilidad con ciertas aplicaciones que esperan el comportamiento predeterminado de Windows. Asegúrese de probar exhaustivamente las aplicaciones al manipular el comportamiento del proceso secundario.
Implementación de reglas creadas con La administración de privilegios de punto de conexión
Las reglas de administración de privilegios de punto de conexión se implementan como cualquier otra directiva de Microsoft Intune. Esto significa que las reglas se pueden implementar en usuarios o dispositivos, y las reglas se combinan en el lado cliente y se seleccionan en tiempo de ejecución. Los conflictos se resuelven en función del comportamiento del conflicto de directiva.
Las reglas implementadas en un dispositivo se aplican a todos los usuarios que usan ese dispositivo. Las reglas que se implementan en un usuario solo se aplican a ese usuario en cada dispositivo que utilicen. Cuando se produce una acción de elevación, las reglas implementadas en el usuario tienen prioridad a las reglas implementadas en un dispositivo. Este comportamiento le permite implementar un conjunto de reglas en dispositivos que podrían aplicarse a todos los usuarios de ese dispositivo y un conjunto más permisivo de reglas a un administrador de soporte técnico para permitirle elevar un conjunto más amplio de aplicaciones cuando inician sesión en el dispositivo temporalmente.
El comportamiento de elevación predeterminado solo se usa cuando no se puede encontrar ninguna coincidencia de regla. Esto también requiere el uso del menú Ejecutar con acceso con privilegios elevados , que se interpreta como un usuario que solicita explícitamente que se con privilegios elevados de una aplicación.
Administración de privilegios de punto de conexión y control de cuentas de usuario
Endpoint Privilege Management y el control integrado de cuentas de usuario (UAC) de Windows son productos independientes con funcionalidad independiente.
Al mover usuarios para que se ejecuten como usuarios estándar y usar Endpoint Privilege Management, puede optar por cambiar el comportamiento predeterminado de UAC para los usuarios estándar. Este cambio puede reducir la confusión cuando una aplicación requiere elevación y crear una mejor experiencia del usuario final. Examine el comportamiento de la solicitud de elevación de los usuarios estándar para obtener más información.
Nota:
Endpoint Privilege Management no interferirá con las acciones de control de cuentas de usuario (o UAC) que ejecuta un administrador en el dispositivo. Es posible crear reglas que se apliquen a los administradores en el dispositivo, por lo que se deben tener en cuenta las reglas que se aplican a todos los usuarios de un dispositivo y el impacto en los usuarios con derechos de administrador.
Pasos siguientes
- Más información sobre la administración de privilegios de punto de conexión
- Configuración de directivas para la administración de privilegios de punto de conexión
- Informes para la administración de privilegios de punto de conexión
- Recopilación de datos y privacidad para la administración de privilegios de punto de conexión
- Consideraciones sobre la implementación y preguntas más frecuentes