Júlio César Gonçalves VasconcelosNo artigo de hoje irei falar um pouco sobre Endpoint Privilege Management (EPM), recurso que temos integrado ao Intune que permite gerenciar os privilégios dos usuários padrão, permitindo que eles executem operações que exigem direitos administrativos; essa solução garante a segurança do endpoint ao permitir que todos os usuários que foram elevados a administradores devido a requisitos (por exemplo, execução de aplicativos) sejam rebaixados para usuários padrão.
O que é o Endpoint Privilege Management (EPM) e qual o seu objetivo
O objetivo do Endpoint Privilege Management é autorizar a execução de determinados processos por usuários que não têm privilégios elevados; isso ocorre por meio da definição de políticas de segurança que determinam quem pode acessar determinados privilégios e em quais processos. Essas políticas de segurança podem se basear em vários fatores, como o hash do arquivo ou o certificado com o qual o executável foi assinado.
Vantagens de se usar o EPM, e o que ele pode agregar de segurança e valor para sua empresa
Redução do risco de ataques: reduz o risco de ataques cibernéticos ao restringir o acesso a privilégios somente a usuários e processos autorizados. Isso significa que, mesmo que uma conta seja comprometida, o invasor não terá acesso a privilégios elevados.
Aumento da produtividade: permite que você gerencie com eficiência os privilégios de usuários e processos sem precisar gerenciar manualmente os direitos de acesso. Isso significa que os usuários podem acessar os recursos de que precisam com rapidez e eficiência.
Gerenciamento simples e centralizado: com essa solução, é possível autorizar de forma simples e centralizada quais processos podem ser executados e por quais usuários.
Redução de custos: pode reduzir os custos associados ao gerenciamento de vários direitos. Isso é possível por meio da automação do gerenciamento de privilégios, que reduz a necessidade de operações manuais pela equipe de TI.
Olhando para o que o “EPM” pode nos proporcionar, essa solução pode ser considerada um dos pilares fundamentais para a adoção do modelo Zero Trust, especialmente no que diz respeito ao segundo princípio desse modelo; de fato, a estrutura Zero Trust baseia-se em três princípios para proteger os ativos:
- Verificação Contínua (Never Trust, Always Verify)
Nenhum usuário ou dispositivo é automaticamente confiável, independentemente de estar dentro ou fora da rede corporativa.
Todo acesso deve ser explicitamente autenticado e autorizado com base em diversos fatores, como identidade, localização, dispositivo e estado da sessão.
Ferramentas comuns:
Autenticação multifator (MFA)
Avaliação do risco em tempo real
Análise de comportamento do usuário e da entidade (UEBA) - Privilégio Mínimo (Least Privilege Access)
Usuários e dispositivos só têm acesso aos recursos que precisam para realizar suas funções, nem mais, nem menos.
Reduz significativamente a superfície de ataque e o impacto de possíveis violações.
Implementações práticas:
Gestão de Identidades e Acessos (IAM)
Políticas de controle de acesso baseado em funções (RBAC) ou atributos (ABAC). - Limitação do Impacto (Assuma a Violação)
O princípio de minimizar a exposição e segmentar o acesso é central para reduzir o impacto de possíveis violações.
Segmentação de rede e microsegmentação criam barreiras para impedir movimentos laterais por parte de invasores.
Estratégias associadas:
Isolamento de cargas de trabalho sensíveis
Monitoramento contínuo de tráfego interno e externo
Resposta automatizada a incidentes.
PRÉ-REQUISITOS: Windows 10 e Windows 11
LICENCIAMENTO: O EPM requer uma licença adicional além da licença do Plano 1 do Microsoft Intune. Você pode escolher entre uma licença autônoma que adiciona apenas o EPM ou licenciar o EPM como parte do Microsoft Intune Suite.
REQUISITOS: Microsoft Entra joined ou Microsoft Entra hybrid joined.
Microsoft Intune Enrollment ou Microsoft Configuration Manager co-managed devices (no workload requirements).
Supported Operating System.
Clear line of sight (without SSL-Inspection) to the required endpoint.
Observação:
O Windows 365 (CloudPC) é compatível com o uso de uma versão de sistema operacional compatível.
Workplace-join devices não são compatíveis com o Endpoint Privilege Management
Azure Virtual Desktop não é compativel com o Endpoint Privilege Management
ATENÇÃO: As implementações apresentadas em nossos artigos foram desenvolvidas com base em documentações oficiais e nas boas práticas recomendadas pela Microsoft. Entretanto, enfatizamos que qualquer implementação deve ser previamente testada em ambientes de homologação ou testes para garantir a segurança e a estabilidade do ambiente de produção.
Passo a passo – Hands On
E no artigo de hoje, irei ensiná-los a como configurar uma politica de EPM para softwares que precisam de permissões administrativas para funcionar.
- Vamos acessar o portal do Intune
- No menu lateral esquerdo vamos selecionar “Endpoint Security”,depois selecione “Endpoint Privilege Management” e na sequência selecione “Policies” e depois “+Create Policy” para que possamos criar uma policy de elevação.
- Em “Create a profile”, selecione em Plataform “Windows” e em Profile “Elevation Rule Policy” depois clique em “Create”.
Agora defina um nome para a politica e clique em “Next”
Em “Configuration settings”, vamos definir as informações da “Elevation type”, para isso clique em “+Edit instance” e defina um nome para a regra dentro de “Rule properties”.
Agora em “Elevation conditions”, vamos definir o tipo de elevação (atualmente contamos com 3 tipos que são “User confirmed” onde o usuario necessita digitar uma justificativa do por que estar elevando a permissão do software, “Automatic” (onde não e necessário nenhuma ação para que o software seja elevado) e “Support approved” (onde o suporte recebe a requisção do pedido de elevação e avaliam se irão aprovar ou não).
Hoje vamos usar o “User confirmed” com o “Validation” que será o “Business justification”.
Em “Child process behavior” vamos selecionar “Allow all child processes to run elevated” (aqui você precisa avaliar se o software precisa elevar processos filhos para acessar ou gravar em alguma pasta, pois se ouver processos filhos e eles não tiverem permissão o software pode não funcionar corretamenta, e também aconselho sempre verificar no VirusTotal a procedencia do software).
Ainda dentro de “Rule properties”, vamos rolar para baixo para configuramos as infromações que vão conceder a elevação para o software, então em “File name” digite o nome do software seguido da extesão (.exe ou qualquer que seja) em “Signature source selecione “Not configured” (aqui nós podemos usar o certificado do software caso ele seja assinado, para verificar se o software tem um certificado assinado, clique com o botão direito no software, vá em propiedades e depois em assinatura digitais, se caso houver você pode exporta-la para usa-lo na configuração da regra, mas no nosso caso como software não tem uma assinatura digital nos vamos usar o “File Hash”), para isso, vamos usar o comando Powershell “Get-FileHash “Caminho de onde o software esta instalado” -Algorithm SHA256″, para extrairmos o Hash, depois disso podemos clicar em “Save” e “Next” para que possamos associar a regra em um grupo de maquinas
Em “Assingments”, selecione o grupo de maquinas no qual vai receber a politica criada, clique em “Next” e em “Review + create” clique em “Create”.
Esperado o tempo de replicação da politica (aqui levou 10 minutos pois forcei um Sync no portal da empresa), chegou a hora de testarmos se a configuração de elevação vai funcionar.
Procure o software em sua area de trabalho ou pesquisar do Windows, clique com o botão direito no software e selecione a opção “Run with elevated access”.
Caso a politica não tenha sido aplicada ainda, você receberá uma tela com o seguinte erro:
Já com a politica aplicada iremos ter a seguinte tela pendindo a justificativa corporativa, onde você deve informar o motivo da elevação e na senquencia clicar em “Continue”
E pronto, agora somente o software liberado na politica do “EPM” foi executado com permissões administrativas, evitando assim o risco de manter usuários comuns com permissões de admin local da maquina.
E chegamos ao final de mais uma jornada do conhecimento, onde pudemos aprender juntos como configurar uma politica de elevação administrativa usando o Endpoint Privilege Management.
Me diga nos comentários: vocês ja conheciam o Endpoint Privilege Management da Microsoft e como era seu funcionamento? Compartilhe sua experiencia, faça você também parte desta jornada. ☁️
