Когда мы рассматриваем Microsoft Intune Endpoint Privilege Management как решение, мы сталкиваемся с очень реальной проблемой, которую необходимо решить. Административные права.

Технические решения существуют для решения проблем, верно? Без проблемы решение – это всего лишь уловка, символ, жест, в лучшем случае. Как сказал Билл Гейтс: “Компьютер был создан для решения проблем, которые ранее не существовали.”

Решение по предоставлению «обычным пользователям» «административных прав», то есть повышенных привилегий, всегда было довольно простым – не делайте этого. Однако это часто вызывает немедленный – и обоснованный – вопрос. Что делать с теми, кто действительно нуждается в повышенных привилегиях, но в остальном является «обычными пользователями»? До сих пор ответ Microsoft на этот вопрос был… невыдающимся.

Общепризнано, что просто добавление пользователя в группу локальных администраторов неприемлемо. В качестве близкого второго в списке вещей, которые, вероятно, не следует делать; мы можем предоставить им вторую (привилегированную) учетную запись, которая позволит им повысить свои права по мере необходимости.

Microsoft впервые выпустила решение для пароля локального администратора в 2015 году, но даже это не было разработано для решения конкретной проблемы, с которой мы сталкиваемся. На самом деле, это решение – теперь обновленное для облака – предназначено для того, чтобы помочь избежать ситуации, когда фактическим ИТ-администраторам приходится использовать одинаковые имя пользователя и пароль для учетной записи «Локальный администратор» на каждом конечном устройстве, что обычно требуется в худших сценариях восстановления.

Решение для управления привилегиями конечных устройств

Итак, было создано управление привилегиями конечных устройств (EPM). EPM позволяет «обычным пользователям» повышать свои привилегии до уровня администратора, когда это необходимо. Это можно сделать «по запросу» через действие контекстного меню или автоматически на основе запускаемого приложения. Это имеет ряд преимуществ, например:

1. Снижает поверхность атак
   Ограничивая пользователей минимальными привилегиями, необходимыми для выполнения их ролей, EPM гарантирует, что ненужный доступ администратора удаляется, что в конечном итоге предотвращает действия злоумышленников и вредоносного ПО, использующих повышенные привилегии на устройствах для получения постоянного доступа или для выполнения техник бокового перемещения.
2. Защита от внутренних угроз
   Тем не менее, не все угрозы безопасности исходят извне; внутренние угрозы, будь то намеренные или случайные, представляют собой значительные риски. EPM ограничивает доступ пользователей к чувствительным системам или данным, которые им не нужны, уменьшая риск утечек данных или компрометации системы из-за человеческой ошибки или злонамеренных намерений.
3. Улучшает соблюдение норм и управление
   Многие регуляции (например, GDPR, HIPAA и PCI DSS) требуют от организаций внедрения принципа наименьших привилегий в рамках своей практики безопасности. EPM помогает организациям демонстрировать соответствие, предоставляя аудиторские следы и гарантируя, что пользователи имеют доступ только к тому, что необходимо для их ролей.
4. Поддерживает принципы нулевого доверия
   EPM соответствует модели безопасности нулевого доверия, обеспечивая строгие контроль доступа и проверяя действия пользователей на основе заранее определенных политик. Это гарантирует, что доверие никогда не является подразумеваемым, даже для внутренних пользователей или конечных точек.

Как работает управление привилегиями конечной точки Intune?

Итак, поскольку мы согласны с тем, что управление привилегиями конечной точки решает реальную технологическую проблему для администраторов Intune, давайте рассмотрим это немного подробнее.

EPM – функция в Intune, предназначенная для управления привилегиями пользователей на устройствах под управлением Windows без предоставления полных прав администратора. Она используется для разрешения стандартным пользователям выполнять определенные административные задачи безопасно и обеспечивать применение политики минимальных привилегий на конечных точках.

Требования Intune EPM

Это не будет статья по теме Microsoft без раздела о лицензировании – вот он.

Лицензирование Intune EPM

EPM не включен в Windows Enterprise E3 или E5, также он не включен в Microsoft 365 E3 или E5, или в Intune План 1 или План 2. Фактически, управление привилегиями конечных точек является одной из многих передовых функций Intune, доступных в рамках дополнения к пакету Microsoft Intune Suite.

Полное руководство по требованиям и пошаговые инструкции по внедрению доступны на сайте Microsoft Learn.

С технической стороны EPM требует:

• Присоединенные устройства Microsoft Entra ID или гибридные устройства с присоединением к Microsoft Entra ID
• Регистрация в Microsoft Intune или устройства, управляемые Microsoft Configuration Manager совместно
• Поддерживаемая операционная система (Windows 11 21H2 и новее, с необходимым уровнем KB)
• Прямая линия обзора (без SSL-инспекции) к необходимым конечным точкам

Начало работы с Intune EPM

После того как выполнены технические и нетехнические предпосылки, есть два основных шага для включения Управления привилегиями конечной точки в вашей среде.

Шаг 1. Развернуть политику настройки повышения – Эта политика активирует агент EPM на клиентском устройстве и позволяет настроить общие настройки, связанные с повышением привилегий.

• Из Центра администратора Intune, перейдите в Безопасность конечных точек > Управление привилегиями конечной точки > Создать политику > Политика настройки повышения

Шаг 2. Развернуть одну или несколько политик правила повышения – Политика правила повышения указывает приложение, задачу или исполняемый файл, который будет повышен при помощи EPM. Эта политика позволяет настроить, какие приложения имеют право на автоматическое повышение, повышение по запросу пользователя или даже повышение с одобрением администратора.

• Из Intune Admin Center, перейдите в Endpoint Security > Endpoint Privilege Management > Создать политику > Политика правил повышения

После определения, будет ли повышение автоматическим (процесс повышается бесшумно, без уведомления пользователя) или подтвержденным пользователем (пользователь должен щелкнуть правой кнопкой мыши и выбрать “Повысить” для запуска процесса), вам необходимо указать как имя файла, так и хеш файла для файла, который должен быть повышен.

Имя файла не должно вызвать затруднений – это полное имя исполняемого файла, включая расширение (например, vscode.exe).

С другой стороны, хеши файлов получить не так уж просто. Вы можете определить хеш файла для исполняемого файла, запустив команду PowerShell Get-FileHash, или запустив отчет Об эскалации по приложениям, встроенный в Endpoint Privilege Management.

Отчет Об эскалации по приложениям показывает все управляемые и неуправляемые эскалации приложений на управляемых EPM-конечных точках, поэтому, если пользователь ранее повышал привилегии для этого приложения (возможно, в результате одного из этих менее идеальных методов), это отобразится здесь.

Метод повышения “Утверждено поддержкой”

Дополнительный метод повышения, доступный, это “Утверждено поддержкой”. С этим методом пользователи должны предоставить обоснование и по нажатию кнопки “Отправить” их запрос доставляется в Intune Admin Center, где администратор IT может рассмотреть и обработать их запрос.

Когда пользователь запускает приложение, указанное в правиле повышения, одобренном поддержкой, с опцией правого клика Запуск с повышенными правами, Intune запрашивает обоснование.

• Запрос позволяет пользователю ввести бизнес-причину для повышения. Эта причина становится частью запроса на повышение, который также содержит имя пользователя, устройство и имя файла.

Альтернативы управлению привилегиями конечных точек

Существуют, конечно, альтернативы управлению привилегиями конечных точек, которые стремятся достичь аналогичного результата. Решения, такие как AdminByRequest и AutoElevate, являются примерами, которые могут предоставить целостную платформу управления привилегированным доступом, включая функции управления повышением прав на рабочем столе.

Расширит ли Microsoft поддержку для macOS?

В заключение, я считаю, что крайне важно, чтобы у Microsoft было предложение, подобное управлению привилегиями конечных точек для Windows, и надеюсь, что это будет продолжать развиваться, чтобы поддерживать другие платформы, такие как macOS, в будущем.

На данный момент вы можете получить пробную версию Intune Suite, чтобы попробовать его.