Wanneer we Microsoft Intune Endpoint Privilege Management als oplossing overwegen, hebben we een zeer reëel probleem dat wordt opgelost. Beheerdersrechten.

Technische oplossingen zijn er om een probleem op te lossen, toch? Zonder een probleem is een oplossing slechts een gimmick – een symbool – een gebaar, op zijn best. Zoals Bill Gates naar verluidt heeft opgemerkt: “De computer is geboren om problemen op te lossen die voorheen niet bestonden.”

De oplossing om ‘gewone gebruikers’ ‘beheerdersrechten’, oftewel verhoogde privileges, te geven, is altijd vrij eenvoudig geweest – doe het niet. Dit roept echter vaak direct – en terecht – de vraag op: wat doen we voor degenen die echt verhoogde privileges nodig hebben, maar verder ‘gewone gebruikers’ zijn? Tot nu toe was het antwoord van Microsoft hierop… niet opmerkelijk.

Er wordt over het algemeen aangenomen dat het eenvoudigweg toevoegen van de gebruiker aan de lokale beheerdersgroep niet acceptabel is. Als goede tweede op de lijst van dingen die we waarschijnlijk niet moeten doen: we kunnen hen voorzien van een tweede (bevoorrechte) account waarmee ze kunnen verhogen wanneer dat nodig is.

Microsoft heeft voor het eerst de Local Administrator Password Solution uitgebracht in 2015, maar zelfs dit was niet ontworpen om het exacte probleem dat we tegenkomen op te lossen. In feite is deze oplossing – nu nieuw leven ingeblazen voor de cloud – ontworpen om te helpen voorkomen dat echte IT-beheerders een identieke gebruikersnaam en wachtwoord voor het ‘Local Admin’-account op elk eindpunt moeten gebruiken, wat typisch vereist is voor de slechtste herstelscenario’s.

De oplossing voor endpoint privilege management

En zo is Endpoint Privilege Management (EPM) geboren. EPM stelt ‘gewone gebruikers’ in staat om hun privileges naar het niveau van administrator te verhogen wanneer dat nodig is. Dit kan ‘op aanvraag’ worden gedaan via een contextmenu-acties, of automatisch op basis van de applicatie die wordt gestart. Dit heeft verschillende voordelen, bijvoorbeeld:

1. Vermindert aanvalsvectoren
   Door gebruikers te beperken tot de minimale privileges die nodig zijn om hun rollen uit te voeren, zorgt EPM ervoor dat onnodige admin-toegang wordt verwijderd, wat uiteindelijk voorkomt dat kwaadwillende actoren en malware gebruik maken van verhoogde privileges op apparaten om persistentie te verkrijgen of om laterale bewegingstechnieken uit te voeren.
2. Beschermt tegen interne bedreigingen
   Dat gezegd hebbende, komen niet alle beveiligingsbedreigingen van buitenaf; interne bedreigingen, of deze nu opzettelijk of per ongeluk zijn, vormen aanzienlijke risico’s. EPM beperkt gebruikers in het benaderen van gevoelige systemen of gegevens die ze niet nodig hebben, waardoor het risico op gegevenslekken of systeem compromittering als gevolg van menselijke fouten of kwaadwillige bedoelingen wordt verminderd.
3. Verbetert naleving en governance
   Veel voorschriften (bijv. GDPR, HIPAA en PCI DSS) vereisen dat organisaties het principe van minste rechten implementeren als onderdeel van hun beveiligingspraktijken. EPM helpt organisaties om naleving aan te tonen door audittrails te bieden en ervoor te zorgen dat gebruikers alleen toegang hebben tot wat noodzakelijk is voor hun functies.
4. Ondersteunt de principes van zero trust
   EPM stemt overeen met het Zero Trust-beveiligingsmodel door strikte toegangscontroles af te dwingen en gebruikersacties te verifiëren op basis van vooraf gedefinieerde beleidsregels. Het zorgt ervoor dat vertrouwen nooit impliciet is, zelfs niet voor interne gebruikers of endpoints.

Hoe werkt Intune Endpoint Privilege Management?

Dus, aangezien we het erover eens zijn dat Endpoint Privilege Management een echt technologieprobleem oplost voor Intune beheerders, laten we er wat dieper op ingaan.

EPM is een functie in Intune die is ontworpen om gebruikersprivileges op Windows-apparaten te beheren zonder volledige beheerdersrechten toe te kennen. Het wordt gebruikt om standaardgebruikers in staat te stellen specifieke beheertaken veilig uit te voeren en om het principe van de minste privileges af te dwingen op eindpunten.

Intune EPM vereisten

Dit zou geen artikel zijn dat een Microsoft-onderwerp behandelt als er geen sectie over licenties was – dus hier is het.

Intune EPM-licenties

EPM is niet inbegrepen in Windows Enterprise E3 of E5, noch in Microsoft 365 E3 of E5, of Intune Plan 1 of Plan 2. In feite is Endpoint Privilege Management een van de vele geavanceerde Intune-functies die beschikbaar zijn als onderdeel van de Microsoft Intune Suite-add-on.

Volledige richtlijnen over de vereisten en stap-voor-stap implementatie-instructies zijn beschikbaar op Microsoft Learn.

Aan de technische kant vereist EPM:

• Microsoft Entra ID aangesloten of Microsoft Entra ID hybride aangesloten apparaten
• Microsoft Intune Registratie of Microsoft Configuration Manager co-beheerde apparaten
• Ondersteund besturingssysteem (Windows 11 21H2 en later, met vereist KB-niveau)
• Zuivere zichtlijn (zonder SSL-inspectie) naar de vereiste eindpunten

Aan de slag met Intune EPM

Met de technische en niet-technische vereisten uit de weg, zijn er twee kernstappen om Endpoint Privilege Management in uw omgeving in te schakelen.

Stap 1. Implementeer een beleid voor verhogingsinstellingen – Dit beleid activeert de EPM-agent op het clientapparaat en maakt de configuratie van algemene verhogingsgerelateerde instellingen mogelijk.

• Vanuit het Intune-beheercentrum, ga naar Beveiliging voor eindpunten > Endpoint Privilege Management > Beleid maken > Beleid voor verhogingsinstellingen

Stap 2. Implementeer een of meer beleidsregels voor verhoging – Een beleidsregel voor verhoging specificeert de toepassing, taak of uitvoerbaar bestand die zal worden verhoogd door EPM. Dit beleid stelt u in staat om te configureren welke toepassingen in aanmerking komen voor automatische verhoging, door de gebruiker aangevraagde verhoging, of zelfs beheerdersgoedgekeurde verhoging.

• Van Intune Admin Center, ga naar Endpoint Security > Endpoint Privilege Management > Beleid maken > Verhoogingsregels beleid

Na het beslissen of de verhoging Automatisch zal zijn (het proces verhoogt stilletjes, zonder dat de gebruiker wordt gewaarschuwd) of Gebruikersbevestigd (de gebruiker moet met de rechtermuisknop klikken en Verhogen kiezen om het proces te starten), moet je zowel de Bestandsnaam als de Bestands-hash opgeven voor het bestand dat verhoogd moet worden.

De Bestandsnaam zou geen uitdaging moeten zijn – dit is de volledige uitvoerbare naam, inclusief de extensie (vscode.exe bijvoorbeeld).

Aan de andere kant zijn Bestands-hashes niet zo gemakkelijk te verkrijgen. Je kunt de bestands-hash voor de uitvoerbare file bepalen door het PowerShell-commando Get-FileHash uit te voeren, of door het rapport Verhogen per Toepassing dat ingebouwd is in Endpoint Privilege Management uit te voeren.

Het rapport Verhogen per Toepassing toont alle beheerde en onbeheerde applicatieverhogingen op EPM-beheerde eindpunten, dus als een gebruiker deze applicatie in het verleden heeft verhoogd (misschien door een van die minder ideale methoden), zal deze hier verschijnen.

‘Ondersteuning goedgekeurde’ verhogingsmethode

Een aanvullende verhogingsmethode die beschikbaar is, is ‘Ondersteuning Goedgekeurd’. Met deze methode worden gebruikers gevraagd om een rechtvaardiging te geven en bij het verzenden wordt hun verzoek afgeleverd in het Intune Admin Center, waar een IT-beheerder hun verzoek kan bekijken en verwerken.

Wanneer een gebruiker een app uitvoert die is gespecificeerd in een ondersteuning goedgekeurde elevatieregel, met de rechtermuisknop optie Uitvoeren met verhoogde toegang, vraagt Intune om een rechtvaardiging.

• De prompt laat de gebruiker een zakelijke reden voor de elevatie invoeren. Deze reden wordt onderdeel van het elevatieverzoek, dat ook de naam van de gebruiker, het apparaat en de bestandsnaam bevat.

Alternatieven voor Intune Endpoint Privilege Management

Er zijn natuurlijk alternatieven voor Endpoint Privilege Management die erop gericht zijn een vergelijkbaar resultaat te bereiken. Oplossingen zoals AdminByRequest en AutoElevate zijn voorbeelden die een holistisch Privileged Access Management-platform kunnen bieden, met functies die desktopverhoging beheren.

Zal Microsoft ondersteuning uitbreiden naar macOS?

Samenvattend geloof ik dat het cruciaal is dat Microsoft een aanbod heeft zoals Endpoint Privilege Management voor Windows, en ik hoop dat dit verder wordt ontwikkeld om in de toekomst andere platforms zoals macOS te ondersteunen.

Voor nu kun je een proefversie van Intune Suite aanvragen om het uit te proberen.