使用终结点特权管理创建提升规则的指南
注意
此功能作为Intune加载项提供。 有关详细信息,请参阅使用 Intune 套件加载项功能。
概述
使用 Microsoft Intune Endpoint Privilege Management (EPM) 组织的用户可以作为标准用户 (运行,而无需) 管理员权限,并完成需要提升权限的任务。 通常需要管理权限的任务包括应用程序安装 (例如Microsoft 365 应用程序) 、更新设备驱动程序以及运行某些 Windows 诊断。
Endpoint Privilege Management 通过帮助组织实现以最低特权运行的广泛用户群,同时允许用户仍运行组织允许的任务来保持高效,从而支持零信任旅程。
定义用于终结点特权管理的规则
终结点特权管理规则由两个基本元素组成: 检测 和 提升操作。
检测 被分类为用于标识应用程序或二进制文件的属性集。 检测由属性组成,例如文件名、文件版本或签名的属性。
提升操作 是在检测到应用程序或二进制文件后产生的提升。
在定义 检测 时,请务必将其定义为尽可能 具有描述性 。 若要说明性,请使用强属性或多个属性来增加检测的强度。 定义检测时的目标应该是消除多个文件归入同一规则的能力,除非这是明确的意图。
文件哈希规则
文件哈希规则是可以使用 Endpoint Privilege Management 创建的最强规则。 强烈建议使用这些规则,以确保要提升的文件是提升的文件。
可以使用 Get-Filehash PowerShell 方法 从直接二进制文件收集文件哈希,也可以直接从 Endpoint Privilege Management 的报表收集文件哈希。
证书规则
证书规则是强类型的属性,应与其他属性配对。 将证书与产品名称、内部名称和说明等属性配对,可显著提高规则的安全性。 这些属性受文件签名保护,并且通常指示有关已签名文件的详细信息。
警告
仅使用证书和文件名对规则的滥用提供非常有限的保护。 只要任何 标准用户 有权访问文件所在的目录,就可以更改文件名。 对于驻留在受写保护的目录中的文件,这可能不是问题。
包含文件名的规则
文件名是一个属性,可用于检测需要提升的应用程序。 但是,文件名不受文件签名的保护。
这意味着文件名 极易 更改。 由你信任的证书签名的文件的名称可能会被 检测 并随后 提升,这可能不是你的预期行为。
重要
始终确保包含文件名的规则包括为文件标识提供强断言的其他属性。 文件签名中包含的属性(如文件哈希或属性)是一个很好的指标,表明你打算的文件可能是提升的文件。
基于 PowerShell 收集的属性的规则
为了帮助你生成更准确的文件检测规则,可以使用 Get-FileAttributes PowerShell cmdlet。 Get-FileAttributes 可从 EpmTools PowerShell 模块获取,可以检索文件属性和文件的证书链材料,并且可以使用输出填充特定应用程序的提升规则属性。
Get-FileAttributes 针对版本 10.0.22621.2506 Windows 11 上的 msinfo32.exe 运行的示例模块导入步骤和输出:
PS C:\Windows\system32> Import-Module 'C:\Program Files\Microsoft EPM Agent\EpmTools\EpmCmdlets.dll'
PS C:\Windows\system32> Get-FileAttributes -FilePath C:\Windows\System32\msinfo32.exe -CertOutputPath C:\CertsForMsInfo\
FileName : msinfo32.exe
FilePath : C:\Windows\System32
FileHash : 18C8442887C36F7DB61E77013AAA5A1A6CDAF73D4648B2210F2D51D8B405191D
HashAlgorithm : Sha256
ProductName : Microsoft® Windows® Operating System
InternalName : msinfo.dll
Version : 10.0.22621.2506
Description : System Information
CompanyName : Microsoft Corporation
注意
msinfo32.exe 的证书链输出到上述命令中列出的 C:\CertsForMsInfo 目录。
有关详细信息,请参阅 EpmTools PowerShell 模块。
控制子进程行为
子进程行为允许你控制使用 EPM 提升的进程创建子进程时的上下文。 此行为允许进一步限制通常自动委托其父进程的上下文的进程。
Windows 自动将父级上下文委托给子级,因此请特别注意控制允许的应用程序的行为。 请确保在创建提升规则时评估所需的内容,并实现最小特权原则。
注意
更改子进程行为可能会对某些需要默认 Windows 行为的应用程序产生兼容性问题。 在操作子进程行为时,请确保全面测试应用程序。
部署使用 Endpoint Privilege Management 创建的规则
终结点特权管理规则的部署与Microsoft Intune中的其他任何策略一样。 这意味着可以将规则部署到用户或设备,规则在客户端合并并在运行时选择。 根据 策略冲突行为解决任何冲突。
部署到设备的规则将应用于使用该设备的 每个用户 。 部署到 用户 的规则仅适用于他们使用的每个设备上的该用户。 发生提升操作时,部署到用户的规则优先于部署到设备的规则。 此行为允许你向设备部署一组可能适用于该设备上的所有用户的规则,并将一组更宽松的规则部署到支持管理员,以允许他们在临时登录到设备时提升更广泛的应用程序集。
仅当找不到规则匹配项时,才会使用默认提升行为。 这还需要使用 具有提升访问权限的“运行 ”右键单击菜单,该菜单被解释为 用户显式 要求提升应用程序。
终结点特权管理和用户帐户控制
Endpoint Privilege Management 和 Windows 内置用户帐户控制 (UAC) 是具有单独功能的单独产品。
移动用户以标准用户身份运行并使用 Endpoint Privilege Management 时,可以选择更改标准用户的默认 UAC 行为。 当应用程序需要提升并创建更好的最终用户体验时,此更改可以减少混淆。 有关详细信息 ,请查看标准用户的提升提示行为 。
注意
Endpoint Privilege Management 不会干扰管理员在设备上运行的用户帐户控制操作 (或 UAC) 。 可以创建适用于设备上的管理员的规则,因此应特别考虑应用于设备上的所有用户的规则,以及对具有管理员权限的用户的影响。