创建 EPM 策略

目录

简介

Endpoint Central 中实施权限管理,首先需要创建一个强大的终端权限管理策略,用于管控用户如何以提升的权限访问和运行应用程序。管理员首先定义一个特权应用程序列表,其中包含需要管理员访问权限的应用程序。整理好该列表后,再将其与包含需要此级别访问权限的用户设备的特定自定义组相关联。完成关联后,可从 Endpoint Central 控制台部署该策略,使选定用户能够以提升的权限运行已批准的应用程序,同时在其他场景中仍保留标准用户权限。这种结构化方法可确保权限提升受到严格控制并按上下文应用,从而降低安全风险并确保整个企业范围内的合规性。

创建特权应用程序列表

应用程序可以通过以下方式以提升的权限运行:

  • 应用程序自助提权:所有应用程序都可以通过以下两种方式进行提权,并且此功能可针对特定应用程序或所有已加入允许列表的应用程序进行配置。如果您不希望允许提权,也可以将其保留为“未配置”。

    • 允许用户基于原因提升应用程序权限:管理员可允许用户通过提供理由来提升其应用程序权限。所提供的理由将被记录,并可在 报表 → 基于原因提升的应用程序报表 下查看。

      Self Elevation

      当用户尝试自助提升应用程序权限时,终端上会显示如下通知:

      Self-Elevation of Application prompt

      注意:有关终端用户通知的更多详细信息,请参阅此页面
    • 允许用户按请求提升应用程序权限:管理员可允许用户提供理由后,请求在特定时长内获得即时提权(Just-In-Time)。有关用户发起的提权请求的更多详细信息,请参阅此页面

  • 提升到所有允许的应用程序:在策略部署期间,与特权应用程序列表关联的自定义组将被允许对所有已加入允许列表的应用程序进行自助提权。

    Elevation for Allowed Applications

  • 提升到特定应用程序:在策略部署期间,与特权应用程序列表关联的组将被允许对所有已选择的应用程序进行自助提权。

    Elevation for Specific Applications

  • 自动提权:关联的组将被允许自动以提升的权限运行应用程序。

    Auto Elevation

选择特定应用程序

权限提升可以配置为适用于所有允许的应用程序,或仅适用于特定应用程序。用于提权的特定应用程序可以通过供应商、产品、已验证可执行文件、文件哈希、CLSID 和文件夹路径等规则类型来添加。

注意:要了解每种规则类型支持的扩展名,请参阅此处

EPM Specific Applications

CLSID 规则类型允许您通过引用 COM 对象唯一的类 ID,而不是可执行文件或路径,来控制其提权。这可确保提权规则直接应用于 Windows 系统组件或已注册的 COM 对象,从而减少对可变文件属性的依赖。它为内置操作系统功能提供了精细化的权限管理。

EPM Specific Applications CLSID filter

创建自定义规则

还可以配置自定义规则,以定义供应商、产品名称、已验证可执行文件、文件哈希或 CLSID 等自定义条件,从而为网络中未检测到的应用程序创建应用程序规则。在特定规则类型下单击添加以定义自定义规则。

EPM Custom Rule

我们的客户