La soluzione Microsoft Endpoint Privilege Management (EPM) consente di gestire i privilegi degli utenti standard consentendogli di effettuare operazioni che richiedono diritti amministrativi; questa soluzione garantisce la sicurezza sugli endpoint consentendo di declassare a standard user tutti quegli utenti che per esigenze (es: esecuzione di applicazioni) erano stati elevati ad amministratori.
In questo articolo, approfondiremo la modalità di gestione dei privilegi attraverso la soluzione EPM disponibile su Microsoft Intune.
Panoramica e requisiti
Endpoint Privilege Management ha lo scopo di autorizzare l’esecuzione di determinati processi da parte di utenti che non detengono privilegi elevati; ciò avviene attraverso la definizione di policy di sicurezza che determinano chi può accedere a determinati privilegi e su quali processi. Queste politiche di sicurezza possono essere basate su una serie di fattori, come l’hash del file o il certificato con cui è stato firmato l’eseguibile.
I vantaggi nell’utilizzo di questa soluzione sono molteplici:
- Riduzione del rischio di attacchi: Endpoint Privilege Management riduce il rischio di attacchi informatici limitando l’accesso ai privilegi solo a utenti e processi autorizzati. Ciò significa che anche se un account viene compromesso, l’attaccante non avrà accesso ai privilegi elevati.
- Maggiore produttività: Endpoint Privilege Management consente di gestire in modo efficiente i privilegi degli utenti e dei processi senza dover effettuare manualmente la gestione dei diritti di accesso. Ciò significa che gli utenti possono accedere alle risorse di cui hanno bisogno in modo rapido ed efficiente.
- Gestione semplice e centralizzata: attraverso questa soluzione, è possibile autorizzare in modo semplice e centralizzato i processi che possono essere eseguiti e da quali utenti.
- Riduzione dei costi: Endpoint Privilege Management può ridurre i costi associati alla gestione dei vari diritti. Ciò è possibile attraverso l’automazione della gestione dei privilegi, che riduce la necessità di operazioni manuali da parte del personale IT.
In conclusione, l’utilizzo della soluzione Endpoint Privilege Management è una soluzione essenziale per garantire la sicurezza degli endpoint; l’implementazione di policy efficaci permette di migliorare la produttività degli utenti mantenendo però al tempo stesso un livello di sicurezza adeguato.
A tal proposito, questa soluzione può essere considerata uno dei pilastri fondamentali per l’adozione del modello Zero Trust soprattutto in merito al secondo principio di questo modello; infatti, il framework Zero Trust si basa su tre principi per proteggere le risorse:
- Verifica in modo esplicito: consiste nell’autenticare e autorizzare sempre, tenendo in considerazione diversi aspetti come l’identità utente, la location o lo stato del dispositivo. Si deve partire da un concetto che i dispositivi e gli utenti non devono essere considerati attendibili.
- L’altro principio è l’adozione di privilegi minimi: questo principio consiste nel fornire agli utenti i privilegi minimi necessari per poter eseguire le loro attività; è possibile limitare l’accesso attraverso i modelli “just-in-time” (JIT) e “just-enough-access” (JEA) oppure attraverso l’adozione di policy adattive.
- L’ultimo principio è legato al minimizzare l’impatto riducendo al minimo l’esposizione e segmentando gli accessi; andando a definire perimetri granulari permette di prevenire quelli che vengono definiti movimenti laterali da parte di attacchi malevoli.
Per poter procedere con l’attivazione di Endpoint Privilege Management, è necessario disporre dei seguenti prerequisiti:
- Windows 10 versione 20H2 (o successive) con hotfix KB5023773 oppure Windows 11 versione 22H1 (o successive) con hotfix KB5023774/KB5022913;
- Licenza Intune Suite oppure acquisto della licenza standalone di EPM come add-on
- al momento della stesura di questo articolo, essendo la soluzione in Preview, non è necessario disporre di questo tipo di licensing (sarà necessario solo a fronte del rilascio della soluzione in GA);
- I dispositivi devono essere in Hybrid join oppure direttamente in join ad Azure AD;
Nei prossimi paragrafi, andremo ad approfondire gli step necessari per utilizzare questa soluzione.
Attivazione soluzione EPM
Il primo passo per poter iniziare ad utilizzare la soluzione consiste nell’attivazione di Endpoint Privilege Management dalla console di gestione di Microsoft Intune; la procedura consiste nell’esecuzione di pochi e semplici step:
- Accedere alla console Microsoft Intune admin center con credenziali amministrative.
- Selezionare Endpoint Security – Endpoint Privilege Management.
- Premere sul pulsante Activate.
A questo punto, una volta completato tale processo, sarà possibile creare i profili di configurazione necessari per determinare le azioni consentite e da parte di quali utenti.
Creazione Elevation Settings policy
Per consentire ai device Windows 10/11 di poter recepire correttamente le policy di configurazione della funzionalità EPM, è necessario creare una Elevation Settings policy; questo profilo attiverà le funzionalità necessarie lato OS.
Riportiamo qui sotto gli step necessari per creare una nuova Elevation Settings policy:
- Accedere alla console Microsoft Intune admin center con credenziali amministrative.
- Selezionare Endpoint Security – Endpoint Privilege Management – Policies.
- Premere sul pulsante Create Policy.
- Dal menù a tendina Platform selezionare la voce Windows 10 and later.
- Dal menù a tendina Profile, selezionare la voce Elevation settings policy.
- Premere sul pulsante Create.
- Assegnare un nome, un’eventuale descrizione del profilo di configurazione e premere sul pulsante Next.
- Mantenere lo slider del setting Endpoint Privilege Management su Enabled e impostare i restanti settings sulla base delle proprie esigenze:
- Send data to Microsoft: questa opzione permette di istruire i client a condividere i dati di diagnostica e di utilizzo con Microsoft; dal momento che si attiva tale opzione, sarà possibile definire il livello dei dati condivisi:
- Diagnostic data and managed elevations only (stato di integrità della componente client e elevazioni facilitate da EPM).
- Diagnostic data and all endpoint elevations (stato di integrità della componente client e tutte le elevazioni che si sono verificate sul client).
- Diagnostic data only (solo stato di integrità della componente client).
- Default evelation response: questa opzione permette di definire il comportamento di default da parte di EPM a fronte della richiesta di elevazione dei privilegi su file non gestiti dalle policy:
- Deny all requests (verranno bloccate tutte le richieste di elevazione dei privilegi).
- Require user confirmation (verrà richiesto all’utente di inserire le proprie credenziali, un giustificativo oppure entrambe le opzioni).
- Confermare le modifiche attraverso il pulsante Next.
- Premere nuovamente sul pulsante Next.
- Premere sulla voce Add groups e selezionare un gruppo Azure AD contenente gli utenti interessati.
- Premere sul pulsante Create per completare il processo di creazione della policy.
- Send data to Microsoft: questa opzione permette di istruire i client a condividere i dati di diagnostica e di utilizzo con Microsoft; dal momento che si attiva tale opzione, sarà possibile definire il livello dei dati condivisi:
Una volta applicata correttamente la policy sui sistemi Windows 10 e Windows 11, eseguendo tasto destro su un file, sarà possibile visualizzare una nuova opzione nel menu contestuale denominata Run with elevated access.
Creazione Elevation rules policy
Come riportato in precedenza, Endpoint Privilege Management si basa su policy di sicurezza che determinano chi può accedere a determinati privilegi e su quali processi; queste policy di sicurezza prendono il nome di Endpoint rules policy.
Riportiamo qui sotto gli step necessari per procedere con la loro configurazione:
- Accedere alla console Microsoft Intune admin center con credenziali amministrative.
- Selezionare Endpoint Security – Endpoint Privilege Management – Policies.
- Premere sul pulsante Create Policy.
- Dal menù a tendina Platform selezionare la voce Windows 10 and later.
- Dal menù a tendina Profile, selezionare la voce Elevation rules policy.
- Premere sul pulsante Create.
- Assegnare un nome, un’eventuale descrizione del profilo di configurazione e premere sul pulsante Next.
- Premendo sulla voce Edit instance, è possibile avviare il processo di definizione di una regola dove sarà possibile definire i seguenti settings:
- Rule name: nome identificativo della regola.
- Elevation type: modalità con cui viene avviato il processo di elevazione dei privilegi:
- User confirmed: come definito nella Endpoint settings policy, verrà richiesto all’utente di inserire le proprie credenziali, un giustificativo oppure entrambe le opzioni.
- Automatic: l’elevazione dei privilegi avverrà automaticamente senza nessuna iterazione da parte dell’utente.
-
- File name: nome del file (compreso di estensione) che potrà essere eseguito con privilegi elevati.
- Signature source: permette di definire le modalità di validazione del file che l’utente dovrà eseguire; le opzioni disponibili risultano essere le seguenti:
- Use a certificate file in reusable settings: permette di definire il certificato digitale con cui è stato firmato il file e che risulta essere stato preventivamente caricato all’interno della sezione Reusable settings (preview); i Reusable settings semplificano la gestione delle policy in quanto la modifica apportata all’impostazione verrà replicata su tutte le policy dove è stato specificato il Reusable settings.
- Upload a certificate file: permette di definire il certificato digitale con cui è stato firmato il file.
- Not configured: se non viene specificato alcun certificato, la validazione avverrà attraverso il file hash.
- File Hash: hash del file che potrà essere eseguito con privilegi elevati; questo settings risulta essere mandatorio se, dal menu a tendina Signature Source, è stata selezionata l’opzione Not configured. Per determinare l’hash del file, è possibile utilizzare il seguente command let Powershell: Get-FileHash <file>
- Premere sul pulsante Save.
- Confermare le modifiche attraverso il pulsante Next.
- Premere nuovamente sul pulsante Next.
- Premere sulla voce Add groups e selezionare un gruppo Azure AD contenente gli utenti interessati.
- Premere sul pulsante Create per completare il processo di creazione della policy.
User Experience
Una volta applicate tutte le policy definite nei precedenti paragrafi, l’utente sarà in grado di avviare la/le applicazioni che richiedono privilegi elevati senza la necessità di assegnare diritti amministrativi all’utente.
Come indicato in precedenza, l’utente dovrà eseguire tasto destro sul file e selezionare l’opzione Run with elevated access.
Nel caso in cui il file non rientri all’interno delle policy definite, l’utente riceverà un messaggio di errore che blocca l’azione di elevazione dei privilegi (se l’opzione Default evelation response è stata impostata a Deny all requests).
Invece, nel caso in cui il file rientri all’interno delle policy definite, verrà richiesto all’utente di inserire le proprie credenziali, un giustificativo oppure entrambe le opzioni in base a quanto definito nelle policy di configurazione.
Nel caso in cui venga richiesto l’inserimento delle credenziali, il processo prevede l’esecuzione di alcuni step:
Validate le credenziali, l’utente sarà in grado di eseguire correttamente la/le applicazioni con privilegi elevati.
Riferimenti
Si riportano alcuni utili riferimenti alle documentazioni ufficiali:
- Use Intune Suite add-on capabilities
- Reports for Endpoint Privilege Management
- Data collection and privacy for Endpoint Privilege Management
Conclusioni
In questo articolo, sono stati riportati i vari step necessari per attivare la funzionalità Endpoint Privilege Management disponibile su Microsoft Intune.
L’adozione di questa soluzione consente agli IT Admin di ridurre ai minimi termini i rischi generati da utenti standard che per varie esigenze sono stati elevati ad amministratori locali degli endpoint.