Erstellen von Erhöhungsregeln mit Endpoint Privilege Management

Mit Microsoft Intune Endpoint Privilege Management (EPM) können Die Benutzer Ihrer organization als Standardbenutzer (ohne Administratorrechte) ausführen und Aufgaben ausführen, die erhöhte Berechtigungen erfordern. Weitere Informationen finden Sie unter ÜBERSICHT ÜBER EPM.

Gilt für:

• Windows

Richtlinien für Rechteerweiterungsregeln ermöglichen es Endpoint Privilege Management (EPM), bestimmte Dateien und Skripts zu identifizieren und die zugehörige Erhöhungsaktion auszuführen. Damit Rechteerweiterungsregeln wirksam werden, müssen Geräte über eine Richtlinie für Rechteerweiterungseinstellungen verfügen, die EPM aktiviert. Weitere Informationen finden Sie unter EPM-Rechteerweiterungseinstellungen.

Zusätzlich zu den Informationen in diesem Artikel sollten Sie sich auch über wichtige Sicherheitsempfehlungen beim Verwalten von Rechteerweiterungsregeln im Klaren sein.

Informationen zur Richtlinie für Rechteerweiterungsregeln

Eine Richtlinie für Rechteerweiterungsregeln wird verwendet, um die Identifizierung bestimmter Dateien zu verwalten und zu verwalten, wie Rechteerweiterungsanforderungen für diese Dateien behandelt werden. Jede Rechteregelrichtlinie enthält eine oder mehrere Rechteerweiterungsregeln. Mit Erhöhten Regeln konfigurieren Sie Details zur zu verwaltenden Datei und anforderungen, damit sie erhöht werden kann.

Die folgenden Dateitypen werden unterstützt:

• Ausführbare Dateien mit der .exe Erweiterung oder .msi .
• PowerShell-Skripts mit der .ps1 Erweiterung.

Jede Rechteerweiterungsregel weist EPM folgendes an:

• Identifizieren Sie die Datei mit:

  • Dateiname (einschließlich Erweiterung). Die Regel unterstützt auch optionale Bedingungen wie mindestens eine Buildversion, einen Produktnamen oder einen internen Namen. Optionale Bedingungen werden verwendet, um die Datei weiter zu überprüfen, wenn eine Rechteerweiterung versucht wird. Der Dateiname (mit Ausnahme von Erweiterungen) kann die Verwendung von Variablen für einzelne Zeichen enthalten, indem ein Fragezeichen ? oder Zeichenfolgen mithilfe eines Sternchens *verwendet werden.
  • Zertifikat. Zertifikate können direkt zu einer Regel oder mithilfe einer wiederverwendbaren Einstellungsgruppe hinzugefügt werden. Zertifikate müssen vertrauenswürdig und gültig sein. Es wird empfohlen, wiederverwendbare Einstellungsgruppen zu verwenden, da diese effizienter sein und eine zukünftige Änderung des Zertifikats vereinfachen können. Weitere Informationen finden Sie unter Wiederverwendbare Einstellungsgruppen.

• Überprüfen Sie die Datei:

  • Dateihash. Für automatische Regeln ist ein Dateihash erforderlich. Für Regeln mit dem Höhentyp Benutzer bestätigt oder Als aktueller Benutzer erhöhen können Sie entweder ein Zertifikat oder einen Dateihash verwenden. In diesem Fall wird der Dateihash optional.
  • Zertifikat. Dateieigenschaften können zusammen mit dem Herausgeberzertifikat überprüft werden, das zum Signieren der Datei verwendet wird. Zertifikate werden mithilfe von Windows-APIs überprüft, die Attribute wie Vertrauensstellung, Zertifikatablauf und Sperrung status überprüfen.
  • Dateieigenschaften. Alle anderen in den Regeln angegebenen Eigenschaften müssen übereinstimmen.

• Konfigurieren Sie den Dateierweiterungstyp. Der Höhentyp gibt an, was geschieht, wenn eine Erhöhungsanforderung für die Datei gestellt wird. Standardmäßig ist diese Option auf Benutzer bestätigt festgelegt. Mit Ausnahme von Elevate als aktueller Benutzer verwendet EPM ein virtuelles Konto zum Erhöhen von Prozessen. Dadurch werden erhöhte Aktionen vom Profil des Benutzers isoliert, wodurch die Offenlegung benutzerspezifischer Daten verringert und das Risiko einer Rechteausweitung verringert wird.

  • Verweigern: Ablehnungsregeln verhindern, dass die identifizierte Datei in einem Kontext mit erhöhten Rechten ausgeführt wird.

  • Support genehmigt: Ein Administrator muss die support-erforderliche Erhöhungsanforderung genehmigen, bevor die Anwendung mit erhöhten Berechtigungen ausgeführt werden darf.

  • Benutzer bestätigt: Ein Benutzer, der die Rechteerweiterung bestätigt hat, erfordert immer, dass der Benutzer eine Bestätigungsaufforderung zum Ausführen der Datei auswählen muss. Die Bestätigung kann nur so konfiguriert werden, dass eine Benutzerauthentifizierung, eine geschäftliche Begründung (in der Berichterstellung sichtbar) oder beides erforderlich ist.

  • Erhöhen als aktueller Benutzer: Diese Art von Rechteerweiterung führt den Prozess mit erhöhten Rechten unter dem konto des angemeldeten Benutzers aus, wobei die Kompatibilität mit Tools und Installationsprogrammen, die auf dem aktiven Benutzerprofil basieren, erhalten bleibt. Dies erfordert, dass der Benutzer seine Anmeldeinformationen für die Windows-Authentifizierung eingibt. Dadurch bleiben die Profilpfade, Umgebungsvariablen und personalisierten Einstellungen des Benutzers erhalten. Da der Prozess mit erhöhten Rechten die gleiche Benutzeridentität vor und nach der Erhöhung beibehält, bleiben Überwachungspfade konsistent und genau.

    Da der Prozess mit erhöhten Rechten jedoch den vollständigen Kontext des Benutzers erbt, führt dieser Modus eine breitere Angriffsfläche ein und reduziert die Isolation von Benutzerdaten.

    Wichtige Überlegungen:

    • Kompatibilitätsanforderung: Verwenden Sie diesen Modus nur, wenn die Erhöhung virtueller Konten Anwendungsfehler verursacht.
    • Eng begrenzter Bereich: Beschränken Sie Rechteerweiterungsregeln auf vertrauenswürdige Binärdateien und Pfade, um das Risiko zu reduzieren.
    • Sicherheitskonflikt: Verstehen Sie, dass dieser Modus die Exposition gegenüber benutzerspezifischen Daten erhöht.

    Tipp

    Wenn die Kompatibilität kein Problem darstellt, bevorzugen Sie eine Methode, die die Erhöhung des virtuellen Kontos verwendet, um die Sicherheit zu erhöhen.

  • Automatisch: Eine automatische Erhöhung erfolgt unsichtbar für den Benutzer. Es gibt keine Eingabeaufforderung und keinen Hinweis darauf, dass die Datei in einem Kontext mit erhöhten Rechten ausgeführt wird.

• Verwalten sie das Verhalten untergeordneter Prozesse. Sie können das Rechteerweiterungsverhalten festlegen, das für alle untergeordneten Prozesse gilt, die vom Prozess mit erhöhten Rechten erstellt werden.

  • Regel zum Erhöhen erforderlich: Konfigurieren Sie einen untergeordneten Prozess so, dass eine eigene Regel erforderlich ist, bevor dieser untergeordnete Prozess in einem Kontext mit erhöhten Rechten ausgeführt werden kann.
  • Alle verweigern : Alle untergeordneten Prozesse werden ohne Kontext mit erhöhten Rechten gestartet.
  • Ausführen von untergeordneten Prozessen mit erhöhten Rechten zulassen : Konfigurieren Sie einen untergeordneten Prozess so, dass er immer mit erhöhten Rechten ausgeführt wird.

Definieren von Regeln für die Verwendung mit Endpoint Privilege Management

Endpoint Privilege Management Regeln bestehen aus zwei grundlegenden Elementen: einer Erkennung und einer Erhöhungsaktion.

Erkennungen werden als der Satz von Attributen definiert, die zum Identifizieren einer Anwendung oder Binärdatei verwendet werden. Zu diesen Attributen gehören Dateiname, Dateiversion und Signatureigenschaften.

Rechteerweiterungsaktionen sind die sich ergebenden Rechte, die auftreten, nachdem eine Anwendung oder Binärdatei erkannt wurde.

Beim Definieren von Erkennungen ist es wichtig, dass sie so beschreibend wie möglich sind. Um beschreibend zu sein, verwenden Sie starke Attribute oder mehrere Attribute, um die Stärke der Erkennung zu erhöhen. Das Ziel beim Definieren von Erkennungen sollte darin sein, die Möglichkeit zu vermeiden, dass mehrere Dateien in dieselbe Regel fallen, es sei denn, dies ist explizit die Absicht.

Dateihashregeln

Dateihashregeln sind die stärksten Regeln, die mit Endpoint Privilege Management erstellt werden können. Diese Regeln werden dringend empfohlen , um sicherzustellen, dass die Datei, die Sie erhöhen möchten, die Datei mit erhöhten Rechten ist.

Dateihash kann mithilfe der PowerShell-Methode Get-Filehash aus der direkten Binärdatei oder direkt aus den Berichten für Endpoint Privilege Management gesammelt werden.

Zertifikatregeln

Zertifikatregeln sind ein starker Attributtyp und sollten mit anderen Attributen gekoppelt werden. Durch das Koppeln eines Zertifikats mit Attributen wie Produktname, interner Name und Beschreibung wird die Sicherheit der Regel erheblich verbessert. Diese Attribute werden durch eine Dateisignatur geschützt und geben häufig Besonderheiten zur signierten Datei an.

Regeln, die dateinamen enthalten

Dateiname ist ein Attribut, das verwendet werden kann, um eine Anwendung zu erkennen, die mit erhöhten Rechten versehen werden muss. Dateinamen lassen sich jedoch leicht ändern und bilden keinen Teil des Hashs oder der Attribute, die vom Herausgeberzertifikat signiert wurden.

Dies bedeutet, dass Dateinamen sehr anfällig für Änderungen sind. Dateien, auf die Sie nicht absichtlich abzielen, die mit einem Zertifikat signiert sind, dem Sie vertrauen, können umbenannt werden, um erkannt und mit erhöhten Rechten versehen zu werden.

Regeln, die auf von PowerShell gesammelten Attributen basieren

Wenn Sie genauere Dateierkennungsregeln erstellen möchten, können Sie das PowerShell-Cmdlet Get-FileAttributes verwenden. Get-FileAttributes ist über das PowerShell-Modul EpmTools verfügbar und kann Dateiattribute und das Zertifikatkettenmaterial für eine Datei abrufen, und Sie können die Ausgabe verwenden, um Rechteregeleigenschaften für eine bestimmte Anwendung aufzufüllen.

Beispielmodulimportschritte und -ausgabe aus Get-FileAttributes für msinfo32.exe unter Windows 11 Version 10.0.22621.2506 ausgeführt werden:

PS C:\Windows\system32> Import-Module 'C:\Program Files\Microsoft EPM Agent\EpmTools\EpmCmdlets.dll'
PS C:\Windows\system32> Get-FileAttributes -FilePath C:\Windows\System32\msinfo32.exe -CertOutputPath C:\CertsForMsInfo\

FileName      : msinfo32.exe
FilePath      : C:\Windows\System32
FileHash      : 18C8442887C36F7DB61E77013AAA5A1A6CDAF73D4648B2210F2D51D8B405191D
HashAlgorithm : Sha256
ProductName   : Microsoft® Windows® Operating System
InternalName  : msinfo.dll
Version       : 10.0.22621.2506
Description   : System Information
CompanyName   : Microsoft Corporation

Weitere Informationen finden Sie unter EpmTools PowerShell-Modul.

Steuern des Verhaltens untergeordneter Prozesse

Das Verhalten untergeordneter Prozesse ermöglicht es Ihnen, den Kontext zu steuern, wenn ein Prozess mit erhöhten Rechten mit EPM einen untergeordneten Prozess erstellt. Mit diesem Verhalten können Sie Prozesse steuern, die automatisch in den Kontext des übergeordneten Prozesses delegiert würden.

Windows delegiert den Kontext eines übergeordneten Elements automatisch an ein untergeordnetes Element. Achten Sie daher besonders darauf, das Verhalten für Ihre zulässigen Anwendungen zu steuern. Stellen Sie sicher, dass Sie beim Erstellen von Erhöhungsregeln bewerten, was erforderlich ist, und implementieren Sie das Prinzip der geringsten Rechte.

Bereitstellen von Regeln, die mit Endpoint Privilege Management erstellt wurden

Endpoint Privilege Management Regeln werden wie jede andere Richtlinie in Microsoft Intune bereitgestellt. Dies bedeutet, dass Regeln für Benutzer oder Geräte bereitgestellt werden können, und Regeln werden auf der Clientseite zusammengeführt und zur Laufzeit ausgewählt. Alle Konflikte werden basierend auf dem Verhalten des Richtlinienkonflikts gelöst.

Regeln, die auf einem Gerät bereitgestellt werden, gelten für jeden Benutzer , der dieses Gerät verwendet. Regeln, die für einen Benutzer bereitgestellt werden, gelten nur für diesen Benutzer auf jedem Gerät, das er verwendet. Wenn eine Erhöhungsaktion auftritt, haben regeln, die für den Benutzer bereitgestellt werden, Vorrang vor Regeln, die auf einem Gerät bereitgestellt werden. Dieses Verhalten ermöglicht es Ihnen, eine Reihe von Regeln für alle Benutzer eines Geräts und einen freizügigeren Satz von Regeln für einen bestimmten Benutzer (z. B. einen Supportadministrator) bereitzustellen. Dies würde es dem Supportadministrator ermöglichen, eine größere Gruppe von Anwendungen zu erhöhen, wenn er sich beim Gerät anmeldet.

Das Standardverhalten für rechte Rechte wird nur verwendet, wenn keine Regeleinstimmung gefunden werden kann. Das Standardverhalten für erhöhte Rechte gilt nur, wenn eine Rechteerweiterung mit dem Kontextmenü Ausführen mit erhöhtem Zugriff ausgelöst wird.

Erstellen einer Richtlinie für Rechteerweiterungsregeln

Stellen Sie eine Richtlinie für Rechteerweiterungsregeln für Benutzer oder Geräte bereit, um eine oder mehrere Regeln für Dateien bereitzustellen, die von Endpoint Privilege Management zur Erhöhung verwaltet werden. Jede Regel, die Sie dieser Richtlinie hinzufügen:

• Identifiziert eine Datei anhand des Dateinamens und der Dateierweiterung, für die Sie Rechteerweiterungsanforderungen verwalten möchten.
• Kann ein Zertifikat enthalten, um die Integrität der Datei zu überprüfen. Sie können auch eine wiederverwendbare Gruppe hinzufügen, die ein Zertifikat enthält, das Sie dann mit einer oder mehreren Regeln oder Richtlinien verwenden.
• Kann ein oder mehrere manuell hinzugefügte Dateiargumente oder Befehlszeilenoptionen enthalten. Wenn einer Regel Dateiargumente hinzugefügt werden, lässt EPM nur dateierweiterungen von Anforderungen zu, die eine der definierten Befehlszeilen enthalten. Wenn eine definierte Befehlszeile nicht Teil der Dateierweiterungsanforderung ist, lehnt EPM diese Anforderung ab.
• Gibt an, ob der Rechteerweiterungstyp der Datei automatisch (automatisch) ist oder ob eine Benutzerbestätigung erforderlich ist. Mit der Benutzerbestätigung können Sie eine Überprüfung mit einer Anmeldeinformationsaufforderung oder einer geschäftlichen Begründung oder beides anfordern.

Verwenden Sie eine der folgenden Methoden, um neue Rechteerweiterungsregeln zu erstellen, die der Richtlinie für Rechteerweiterungsregeln hinzugefügt werden:

• Automatisches Konfigurieren von Erhöhungsregeln : Verwenden Sie diese Methode, um Beim Erstellen einer Regel zur Erhöhung Zeit zu sparen, indem Sie Dateidetails aus der Berichterstellung hinzufügen. Regeln können mithilfe des Berichts "Rechteerweiterungen " oder aus einem Genehmigten Anforderungsdatensatz erstellt werden.

  Mit dieser Methode können Sie:

  • Wählen Sie die Datei aus, für die Sie eine Höhenregel aus dem Bericht "Rechteerweiterungen" erstellen oder genehmigte Rechteerweiterungen unterstützen möchten.
  • Wählen Sie aus, ob die neue Rechteregel einer vorhandenen Richtlinie für Rechteerweiterungsregeln hinzugefügt werden soll, oder erstellen Sie eine neue Richtlinie für Rechteerweiterungsregeln, die die neue Regel enthält.
    • Wenn sie einer vorhandenen Richtlinie hinzugefügt wird, ist die neue Regel sofort für diese Richtlinienliste der zugewiesenen Gruppen verfügbar.
    • Wenn eine neue Richtlinie erstellt wird, müssen Sie diese Richtlinie bearbeiten, um Gruppen zuzuweisen, bevor sie zur Verwendung verfügbar wird.

• Manuelles Konfigurieren von Erhöhungsregeln : Diese Methode erfordert, dass Sie die Dateidetails identifizieren, die Sie für die Erkennung verwenden möchten, und sie manuell als Teil des Workflows zur Regelerstellung eingeben. Informationen zu Erkennungskriterien finden Sie unter Definieren von Regeln für die Verwendung mit Endpoint Privilege Management.

  Mit dieser Methode können Sie:

  • Legen Sie die zu verwendenden Dateidetails manuell fest, und fügen Sie sie dann der Rechteerweiterungsregel für die Dateiidentifikation hinzu.
  • Konfigurieren Sie alle Aspekte der Richtlinie während der Richtlinienerstellung, einschließlich der Zuweisung der Richtlinie zu Gruppen zur Verwendung.
  • Kann ein oder mehrere Dateiargumente hinzufügen, die Teil der Erhöhungsanforderung sein müssen, bevor EPM dateierweiterungen zulässt.

Automatisches Konfigurieren von Erhöhungsregeln für die Windows-Richtlinie für Rechteerweiterungsregeln

1. Melden Sie sich beim Microsoft Intune Admin Center an, und wechseln Sie zu Endpunktsicherheit>Endpoint Privilege Management. Um eine Datei auszuwählen, die für eine Rechteerweiterungsregel verwendet werden soll, wählen Sie einen der folgenden Startpfade aus:

   Beginnen Sie mit einem Bericht:

   1. Wählen Sie die Registerkarte Berichte und dann die Berichtskachel Rechteaus . Suchen Sie in der Spalte Datei nach der Datei, für die Sie eine Regel erstellen möchten.
   2. Wählen Sie den verknüpften Namen der Datei aus, um den Detailbereich "Rechteerweiterung " zu öffnen.

   Beginnen Sie mit einer vom Support genehmigten Erhöhungsanforderung:

   1. Wählen Sie die Registerkarte Rechteerweiterungsanforderung aus.

   2. Wählen Sie in der Spalte Datei die Datei aus, die Sie für die Rechteerweiterungsregel verwenden möchten. Dadurch wird der Detailbereich "Rechteerweiterung " für diese Dateien geöffnet.

      Die status der Erhöhungsanforderung spielt keine Rolle. Sie können eine ausstehende Anforderung oder eine Anforderung verwenden, die zuvor genehmigt oder abgelehnt wurde.

2. Überprüfen Sie im Detailbereich Rechteerweiterungen die Dateidetails. Diese Informationen werden von der Rechteerweiterungsregel verwendet, um die richtige Datei zu identifizieren. Wenn Sie bereit sind, wählen Sie Regel mit diesen Dateidetails erstellen aus.

   

3. Wählen Sie eine Richtlinienoption für die neue Rechteerweiterungsregel aus, die Sie erstellen:

   Erstellen Sie eine neue Richtlinie: Mit dieser Option wird eine neue Richtlinie erstellt, die eine Rechteerweiterungsregel für die ausgewählte Datei enthält.

   1. Konfigurieren Sie für die Regel das Verhalten typ und untergeordneter Prozess, und wählen Sie dann OK aus, um die Richtlinie zu erstellen.
   2. Wenn Sie dazu aufgefordert werden, geben Sie einen Richtliniennamen für die neue Richtlinie an, und bestätigen Sie, dass sie erstellt wird.
   3. Nachdem die Richtlinie erstellt wurde, können Sie die Richtlinie bearbeiten, um sie zuzuweisen und andere Änderungen vorzunehmen.

   Zu einer vorhandenen Richtlinie hinzufügen: Verwenden Sie bei dieser Option die Dropdownliste, und wählen Sie eine vorhandene Rechteerweiterungsrichtlinie aus, der die neue Rechteerweiterungsregel hinzugefügt wird.

   1. Konfigurieren Sie für die Regel den Rechtetyp und das Verhalten des untergeordneten Prozesses, und wählen Sie dann OK aus. Die Richtlinie wird mit der neuen Regel aktualisiert.
   2. Nachdem die Regel der Richtlinie hinzugefügt wurde, können Sie die Richtlinie bearbeiten, um Zugriff auf die Regel zu erhalten, und sie dann ändern, um bei Bedarf zusätzliche Konfigurationen vorzunehmen.

   Fordern Sie denselben Dateipfad wie diese Rechteerweiterung an: Wenn Sie dieses Kontrollkästchen aktivieren, wird das Feld Dateipfad in der Regel auf den Dateipfad festgelegt, wie im Bericht zu sehen. Wenn das Kontrollkästchen nicht aktiviert ist, bleibt der Pfad leer.

   Tipp

   Obwohl optional, empfehlen wir die Verwendung eines Dateipfads, der auf einen Speicherort verweist, den Standardbenutzer nicht ändern können.

   

Manuelles Konfigurieren von Erhöhungsregeln für die Windows-Richtlinie für Erhöhte Rechte

1. Melden Sie sich beim Microsoft Intune Admin Center an, und wechseln Sie zu Endpunktsicherheit>Endpoint Privilege Management> wählen Sie die Registerkarte >Richtlinien und dann Richtlinie erstellen aus. Legen Sie die Richtlinie Plattform auf Windows, Profil auf Windows-Rechteregeln fest, und wählen Sie dann Erstellen aus.

2. Geben Sie unter Grundlagen die folgenden Eigenschaften ein:

   • Name: Geben Sie einen aussagekräftigen Namen für das Profil ein. Benennen Sie Profile, damit Sie sie später leicht identifizieren können.
   • Beschreibung: Geben Sie eine Beschreibung für das Profil ein. Diese Einstellung ist optional, wird jedoch empfohlen.

3. Fügen Sie unter Konfigurationseinstellungen eine Regel für jede Datei hinzu, die von dieser Richtlinie verwaltet wird. Wenn Sie eine neue Richtlinie erstellen, enthält die Richtlinie eine leere Regel mit dem Höhentyp Benutzer bestätigt und ohne Regelnamen. Konfigurieren Sie zunächst diese Regel, und später können Sie Hinzufügen auswählen, um dieser Richtlinie weitere Regeln hinzuzufügen. Jede neue Regel, die Sie hinzufügen, weist den Höhentyp Benutzer bestätigt auf, der beim Konfigurieren der Regel geändert werden kann.

   

   Um eine Regel zu konfigurieren, wählen Sie instance bearbeiten aus, um die seite Regeleigenschaften zu öffnen, und konfigurieren Sie dann Folgendes:

   

   • Regelname: Geben Sie einen beschreibenden Namen für die Regel an. Benennen Sie Ihre Regeln, damit Sie sie später leicht identifizieren können.
   • Beschreibung (optional): Geben Sie eine Beschreibung für das Profil ein.

   Rechteerweiterungsbedingungen sind Bedingungen, die definieren, wie eine Datei ausgeführt wird, und Benutzerüberprüfungen, die erfüllt werden müssen, bevor die Datei, für die diese Regel gilt, ausgeführt werden können.

   • Höhentyp: Standardmäßig ist diese Option auf Benutzerbestätigung festgelegt. Dies ist der am häufigsten verwendete Höhentyp, da er Rechteerweiterungen zulässt, aber eine Benutzerbestätigung erfordert.

     • Verweigern: Eine Ablehnungsregel verhindert, dass die identifizierte Datei in einem Kontext mit erhöhten Rechten ausgeführt wird. Es gelten folgende Verhaltensweisen:

       • Ablehnungsregeln unterstützen die gleichen Konfigurationsoptionen wie andere Rechteerweiterungstypen mit Ausnahme der untergeordneten Prozessoptionen. Untergeordnete Prozessoptionen werden von dieser Regel nicht verwendet, auch wenn sie konfiguriert sind.
       • Wenn ein Benutzer versucht, eine Datei zu erhöhen, die einer Verweigerungsregel entspricht, schlägt die Erhöhung fehl. EPM zeigt eine Meldung an, die angibt, dass die App nicht als Administrator ausgeführt werden kann. Sollte diesem Benutzer auch eine Regel zugewiesen werden, die rechte Rechte für dieselbe Datei zulässt, hat die Verweigerungsregel Vorrang.
       • Verweigerte Erhöhungen werden im Bericht über die Erhöhungen als verweigert angezeigt, ähnlich wie bei einer abgelehnten Support-Genehmigungsanforderung .
       • EPM unterstützt derzeit keine automatische Konfiguration einer Verweigerungsregel aus dem Auswertungsbericht.

     • Support genehmigt: Für diesen Höhentyp muss ein Administrator eine Erhöhungsanforderung genehmigen. Weitere Informationen finden Sie unter Unterstützung genehmigter Rechteerweiterungsanforderungen.

       Wichtig

       Die Verwendung der Unterstützung genehmigter Rechteerweiterungen für Dateien erfordert, dass Administratoren mit zusätzlichen Berechtigungen jede Anforderung zur Rechteerweiterung vor dieser Datei auf dem Gerät mit Administratorberechtigungen überprüfen und genehmigen. Informationen zur Verwendung des genehmigten Höhentyps finden Sie unter Unterstützung genehmigter Dateierweiterungen für Endpoint Privilege Management.

     • Benutzerbestätigung: Wird am häufigsten für Dateien mit Regeln verwendet, die Rechteerweiterungen erfordern, da sie Rechteerweiterungen zulässt, aber eine Benutzerbestätigung erfordert. Wenn eine Datei ausgeführt wird, erhält der Benutzer eine einfache Aufforderung, um seine Absicht zu bestätigen, die Datei auszuführen. Die Regel kann auch andere Eingabeaufforderungen enthalten, die in der Dropdownliste Überprüfung verfügbar sind:

       • Geschäftliche Begründung: Der Benutzer muss eine Begründung für die Ausführung der Datei eingeben. Es gibt kein erforderliches Format für den Eintrag. Die Benutzereingabe wird gespeichert und kann über Protokolle überprüft werden, wenn der Berichterstellungsbereich eine Sammlung von Endpunkterweiterungen enthält.
       • Windows-Authentifizierung: Bei dieser Option muss sich der Benutzer mit seinen organization Anmeldeinformationen authentifizieren.

     • Automatisch: Dieser Rechteerweiterungstyp führt die Datei automatisch mit erhöhten Berechtigungen aus. Die automatische Rechteerweiterung ist für den Benutzer transparent, ohne zur Bestätigung aufzufordern oder eine Begründung oder Authentifizierung durch den Benutzer zu erfordern.

       Achtung

       Verwenden Sie die automatische Erhöhung nur nach Ausnahme und für Dateien, die Sie als vertrauenswürdig verwenden. Diese Dateien werden ohne Benutzerinteraktion automatisch erhöht. Regeln, die nicht gut definiert sind, können es nicht genehmigten Anwendungen ermöglichen, erhöhte Rechte zu erhöhen. Weitere Informationen zum Erstellen sicherer Regeln finden Sie in der Anleitung zum Erstellen von Regeln.

   • Verhalten untergeordneter Prozesse: Standardmäßig ist diese Option auf Regel zum Erhöhen erforderlich festgelegt. Daher muss der untergeordnete Prozess mit der gleichen Regel übereinstimmen wie der Prozess, der ihn erstellt. Weitere Optionen sind:

     • Ausführen aller untergeordneten Prozesse mit erhöhten Rechten zulassen: Diese Option sollte mit Vorsicht verwendet werden, da sie es Anwendungen ermöglicht, untergeordnete Prozesse bedingungslos zu erstellen.
     • Alle verweigern: Diese Konfiguration verhindert, dass untergeordnete Prozesse erstellt werden.

   In den Dateiinformationen geben Sie die Details an, die eine Datei identifizieren, für die diese Regel gilt.

   • Dateiname: Geben Sie den Dateinamen und seine Erweiterung an. Beispiel: myapplication.exe. Sie können auch eine Variable im Dateinamen verwenden.

   • Dateipfad (optional): Geben Sie den Speicherort der Datei an. Wenn die Datei von einem beliebigen Speicherort aus ausgeführt werden kann oder unbekannt ist, können Sie diesen Wert leer lassen. Sie können auch eine Variable verwenden.

     Tipp

     Obwohl optional, empfehlen wir die Verwendung eines Dateipfads, der auf einen Speicherort verweist, den Standardbenutzer nicht ändern können.

   • Signaturquelle: Wählen Sie eine der folgenden Optionen aus:

     • Zertifikatdatei in wiederverwendbaren Einstellungen verwenden (Standard): Diese Option verwendet eine Zertifikatdatei, die zuvor einer wiederverwendbaren Einstellungsgruppe für Endpoint Privilege Management hinzugefügt wurde. Sie müssen eine wiederverwendbare Einstellungsgruppe erstellen , bevor Sie diese Option verwenden können.

       Um das Zertifikat zu identifizieren, wählen Sie Zertifikat hinzufügen oder entfernen aus, und wählen Sie dann die wiederverwendbare Gruppe aus, die das richtige Zertifikat enthält. Geben Sie dann den Zertifikattypdes Herausgebers oder der Zertifizierungsstelle an.

     • Hochladen einer Zertifikatdatei: Fügen Sie der Rechteerweiterungsregel eine Zertifikatdatei direkt hinzu. Geben Sie für Dateiupload eine .cer Datei an, die die Integrität der Datei überprüfen kann, für die diese Regel gilt. Geben Sie dann den Zertifikattypdes Herausgebers oder der Zertifizierungsstelle an.

     • Nicht konfiguriert: Verwenden Sie diese Option, wenn Sie kein Zertifikat verwenden möchten, um die Integrität der Datei zu überprüfen. Wenn kein Zertifikat verwendet wird, müssen Sie einen Dateihash angeben.

   • Dateihash: Der Dateihash ist erforderlich, wenn Signaturquelle auf Nicht konfiguriert festgelegt ist, und optional, wenn ein Zertifikat verwendet werden soll.

   • Mindestversion: (Optional) Verwenden Sie das x.x.x.x-Format , um eine Mindestversion der Datei anzugeben, die von dieser Regel unterstützt wird.

   • Dateibeschreibung: (Optional) Geben Sie eine Beschreibung der Datei an.

   • Produktname: (Optional) Geben Sie den Namen des Produkts an, aus dem die Datei stammt.

   • Interner Name: (Optional) Geben Sie den internen Namen der Datei an.

   Wählen Sie Speichern aus, um die Regelkonfiguration zu speichern. Sie können dann weitere Regeln hinzufügen . Nachdem Sie alle Für diese Richtlinie benötigten Regeln hinzugefügt haben, wählen Sie Weiter aus, um fortzufahren.

4. Wählen Sie auf der Seite Bereichsmarkierungen alle anzuwendenden Bereichsmarkierungen und dann Weiter aus.

5. Wählen Sie unter Zuweisungen die Gruppen aus, die die Richtlinie erhalten. Weitere Informationen zum Zuweisen von Profilen finden Sie unter Zuweisen von Benutzer- und Geräteprofilen. Wählen Sie Weiter aus.

6. Überprüfen Sie unter Überprüfen + erstellen Ihre Einstellungen, und wählen Sie dann Erstellen aus. Wenn Sie auf Erstellen klicken, werden die Änderungen gespeichert, und das Profil wird zugewiesen. Die Richtlinie wird auch in der Richtlinienliste angezeigt.

Verwenden von Variablen in Erhöhungsregeln

Wenn Sie Dateierweiterungsregeln manuell konfigurieren, können Sie Für die folgenden Konfigurationen, die auf der Seite Regeleigenschaften einer Regelrichtlinie für Rechteerweiterungen verfügbar sind, Einplatzhalterzeichen verwenden:When you manually configure file elevation rules, you can use wildcard characters for the following configurations that are available on the Rule properties page of an elevation rule policy:

• Dateiname: Platzhalter werden als Teil eines Dateinamens beim Konfigurieren des Felds Dateiname unterstützt.
• Ordnerpfad: Platzhalter werden als Teil eines Ordnerpfads beim Konfigurieren des Felds Ordnerpfad unterstützt.

Die Verwendung von Wildcards bietet Flexibilität in Ihren Regeln zur Unterstützung vertrauenswürdiger Dateien mit Namen, die sich bei nachfolgenden Revisionen häufig ändern können oder für die sich der Dateipfad ebenfalls ändern kann.

Die folgenden Wildcardzeichen werden unterstützt:

• Fragezeichen ? : Fragezeichen ersetzen einzelne Zeichen in einem Dateinamen.
• Sternchen * : Sternchen ersetzen eine Zeichenfolge aus Zeichen in einem Dateinamen.

Es folgen Beispiele für die unterstützte Verwendung von Wildcards:

• Dateiname für eine Visual Studio-Setupdatei namens VSCodeSetup-arm64-1.99.2.exe:

  • VSCodeSetup*.exe
  • VSCodeSetup-arm64-*.exe
  • VSCodeSetup-?????-1.??.?.exe

• Dateipfad für dieselbe Datei, die in der Regel in C:\Users\<username>\Downloads\gefunden wird:

  • C:\Users\*\Downloads\

Verwenden von Dateiargumenten für Rechteerweiterungsregeln

Dateierweiterungsregel kann auch eingeschränkt werden, um die Rechteerweiterung mit bestimmten Argumenten zuzulassen.

Beispielsweise kann dsregcmd nützlich sein, um den Zustand eines Geräts in Microsoft Entra ID zu untersuchen, erfordert jedoch eine Erhöhung. Um die Verwendung dieser Dateien für die Untersuchung zu unterstützen, können Sie die Regel mit einer Liste von Argumenten für dsregcmd konfigurieren, die die Optionen für /status, /listaccounts und mehr enthält. Um jedoch eine destruktive Aktion wie das Aufheben der Registrierung eines Geräts zu verhindern, schließen Sie Argumente wie /leave aus. Bei dieser Konfiguration lässt die Regel die Rechteerweiterung nur zu, wenn die Argumente /status oder /listaccounts verwendet werden. dsregcmd mit dem Schalter /leave, der das Gerät aus Microsoft Entra ID entfernt, wird verweigert.

Um einer Erhöhungsregel ein oder mehrere Argumente hinzuzufügen, legen Sie Argumente einschränken auf Zulassungsliste fest. Wählen Sie Hinzufügen aus, und konfigurieren Sie die zulässigen Befehlszeilenoptionen. Indem Sie mehrere Argumente hinzufügen, stellen Sie mehrere Befehlszeilen bereit, die von Anforderungen zur Erhöhung unterstützt werden.

Wiederverwendbare Einstellungsgruppen

Endpoint Privilege Management verwendet wiederverwendbare Einstellungsgruppen, um die Zertifikate zu verwalten, die die von Ihnen verwalteten Dateien mit Endpoint Privilege Management Rechteerweiterungsregeln überprüfen. Wie alle wiederverwendbaren Einstellungsgruppen für Intune werden Änderungen an einer wiederverwendbaren Gruppe automatisch an die Richtlinien übergeben, die auf die Gruppe verweisen. Wenn Sie das Zertifikat aktualisieren müssen, das Sie für die Dateiüberprüfung verwenden, müssen Sie es nur einmal in der wiederverwendbaren Einstellungsgruppe aktualisieren. Intune wendet das aktualisierte Zertifikat auf alle Ihre Rechteerweiterungsregeln an, die diese Gruppe verwenden.

So erstellen Sie die wiederverwendbare Einstellungsgruppe für Endpoint Privilege Management:

1. Melden Sie sich beim Microsoft Intune Admin Center an, und wechseln Sie zu Endpunktsicherheit>Endpoint Privilege Management> wählen Sie die Registerkarte >Wiederverwendbare Einstellungen (Vorschau) und dann Hinzufügen aus.

   

2. Geben Sie unter Grundlagen die folgenden Eigenschaften ein:

   • Name: Geben Sie einen beschreibenden Namen für die wiederverwendbare Gruppe ein. Benennen Sie Gruppen, damit Sie diese später leicht identifizieren können.
   • Beschreibung: Geben Sie eine Beschreibung für das Profil ein. Diese Einstellung ist optional, wird jedoch empfohlen.

3. Wählen Sie unter Konfigurationseinstellungen das Ordnersymbol für Zertifikatdatei aus, und navigieren Sie zu einem . CER-Datei , um sie dieser wiederverwendbaren Gruppe hinzuzufügen. Das Feld Base64-Wert wird basierend auf dem ausgewählten Zertifikat ausgefüllt.

   

4. Überprüfen Sie unter Überprüfen + erstellen Ihre Einstellungen, und wählen Sie dann Hinzufügen aus. Wenn Sie Hinzufügen auswählen, wird Ihre Konfiguration gespeichert, und die Gruppe wird dann in der Liste der wiederverwendbaren Einstellungsgruppen für Endpoint Privilege Management angezeigt.

Nächste Schritte