엔드포인트 권한 관리를 사용하여 권한 상승 규칙을 만들기 위한 지침
참고
이 기능은 Intune 추가 기능으로 사용할 수 있습니다. 자세한 내용은 Intune Suite 추가 기능 사용을 참조하세요.
개요
Microsoft Intune EPM(Endpoint Privilege Management) 을 사용하면 조직의 사용자가 관리자 권한 없이 표준 사용자로 실행하고 상승된 권한이 필요한 작업을 완료할 수 있습니다. 일반적으로 관리 권한이 필요한 작업은 애플리케이션 설치(예: Microsoft 365 애플리케이션), 디바이스 드라이버 업데이트 및 특정 Windows 진단 실행입니다.
Endpoint Privilege Management는 조직이 최소한의 권한으로 실행되는 광범위한 사용자 기반을 달성하는 동시에 사용자가 조직에서 허용하는 작업을 계속 실행하여 생산성을 유지할 수 있도록 지원하여 제로 트러스트 경험을 지원합니다.
엔드포인트 권한 관리와 함께 사용하기 위한 규칙 정의
엔드포인트 권한 관리 규칙은 검색 및 권한 상승 작업의 두 가지 기본 요소로 구성됩니다.
검색은 애플리케이션 또는 이진을 식별하는 데 사용되는 특성 집합으로 분류됩니다. 검색은 파일 이름, 파일 버전 또는 서명 특성과 같은 특성으로 구성됩니다.
권한 상승 작업은 애플리케이션 또는 이진 파일이 검색된 후 발생하는 결과 권한 상승입니다.
검색을 정의할 때는 검색이 가능한 한 설명적으로 정의되도록 정의하는 것이 중요합니다. 설명하려면 강력한 특성 또는 여러 특성을 사용하여 검색 강도를 높입니다. 검색을 정의할 때의 목표는 명시적으로 의도인 경우가 아니면 여러 파일이 동일한 규칙에 속하는 기능을 제거하는 것입니다.
파일 해시 규칙
파일 해시 규칙은 엔드포인트 권한 관리를 사용하여 만들 수 있는 가장 강력한 규칙입니다. 이러한 규칙은 상승하려는 파일이 상승된 파일인지 확인하는 것이 좋습니다 .
Get-Filehash PowerShell 메서드를 사용하거나 엔드포인트 권한 관리에 대한 보고서에서 직접 이진 파일에서 파일 해시를 수집할 수 있습니다.
인증서 규칙
인증서 규칙은 강력한 유형의 특성이며 다른 특성과 페어링되어야 합니다. 인증서를 제품 이름, 내부 이름 및 설명과 같은 특성과 페어링하면 규칙의 보안이 크게 향상됩니다. 이러한 특성은 파일 서명으로 보호되며 서명된 파일에 대한 세부 정보를 나타내는 경우가 많습니다.
주의
인증서와 파일 이름만 사용하면 규칙의 오용에 대한 보호가 매우 제한됩니다. 파일이 있는 디렉터리에 액세스할 수 있는 경우 모든 표준 사용자가 파일 이름을 변경할 수 있습니다. 이는 쓰기로 보호되는 디렉터리에 있는 파일에는 문제가 되지 않을 수 있습니다.
파일 이름을 포함하는 규칙
파일 이름은 상승해야 하는 애플리케이션을 검색하는 데 사용할 수 있는 특성입니다. 그러나 파일 이름은 파일의 서명으로 보호되지 않습니다.
즉, 파일 이름은 변경에 매우 취약 합니다. 신뢰할 수 있는 인증서로 서명된 파일은 해당 이름이 검색되고 이후에 상승되도록 변경될 수 있으며, 이는 의도한 동작이 아닐 수 있습니다.
중요
항상 파일 이름을 포함한 규칙에 파일 ID에 강력한 어설션을 제공하는 다른 특성이 포함되어 있는지 확인합니다. 파일 해시 또는 파일 서명에 포함된 속성과 같은 특성은 원하는 파일이 승격될 가능성이 높다는 좋은 지표입니다.
PowerShell에서 수집한 특성 기반 규칙
보다 정확한 파일 검색 규칙을 빌드하는 데 도움이 되도록 Get-FileAttributes PowerShell cmdlet을 사용할 수 있습니다. EpmTools PowerShell 모듈에서 사용할 수 있는 Get-FileAttributes 는 파일에 대한 파일 특성 및 인증서 체인 자료를 검색할 수 있으며 출력을 사용하여 특정 애플리케이션에 대한 권한 상승 규칙 속성을 채울 수 있습니다.
Windows 11 버전 10.0.22621.2506의 msinfo32.exe 대해 실행되는 Get-FileAttributes 모듈 가져오기 단계 및 출력 예제:
PS C:\Windows\system32> Import-Module 'C:\Program Files\Microsoft EPM Agent\EpmTools\EpmCmdlets.dll'
PS C:\Windows\system32> Get-FileAttributes -FilePath C:\Windows\System32\msinfo32.exe -CertOutputPath C:\CertsForMsInfo\
FileName : msinfo32.exe
FilePath : C:\Windows\System32
FileHash : 18C8442887C36F7DB61E77013AAA5A1A6CDAF73D4648B2210F2D51D8B405191D
HashAlgorithm : Sha256
ProductName : Microsoft® Windows® Operating System
InternalName : msinfo.dll
Version : 10.0.22621.2506
Description : System Information
CompanyName : Microsoft Corporation
참고
msinfo32.exe 인증서 체인은 위의 명령에 나열된 C:\CertsForMsInfo 디렉터리로 출력됩니다.
자세한 내용은 EpmTools PowerShell 모듈을 참조하세요.
자식 프로세스 동작 제어
자식 프로세스 동작을 사용하면 EPM으로 상승된 프로세스에서 자식 프로세스를 만들 때 컨텍스트를 제어할 수 있습니다. 이 동작을 사용하면 일반적으로 부모 프로세스의 컨텍스트를 자동으로 위임하는 프로세스를 추가로 제한할 수 있습니다.
Windows는 부모의 컨텍스트를 자식에 자동으로 위임하므로 허용된 애플리케이션의 동작을 제어하는 데 특히 주의해야 합니다. 권한 상승 규칙을 만들 때 필요한 사항을 평가하고 최소 권한 원칙을 구현해야 합니다.
참고
자식 프로세스 동작을 변경하면 기본 Windows 동작이 예상되는 특정 애플리케이션과 호환성 문제가 발생할 수 있습니다. 자식 프로세스 동작을 조작할 때 애플리케이션을 철저히 테스트해야 합니다.
엔드포인트 권한 관리를 사용하여 만든 규칙 배포
엔드포인트 권한 관리 규칙은 Microsoft Intune의 다른 정책과 마찬가지로 배포됩니다. 즉, 규칙을 사용자 또는 디바이스에 배포할 수 있으며 규칙은 클라이언트 쪽에서 병합되고 런타임에 선택됩니다. 모든 충돌은 정책 충돌 동작에 따라 해결됩니다.
디바이스에 배포된 규칙은 해당 디바이스를 사용하는 모든 사용자에게 적용됩니다. 사용자에게 배포되는 규칙은 사용하는 각 디바이스의 해당 사용자에게만 적용됩니다. 권한 상승 작업이 발생하면 사용자에게 배포된 규칙이 디바이스에 배포된 규칙보다 우선적으로 적용됩니다. 이 동작을 사용하면 해당 디바이스의 모든 사용자에게 적용될 수 있는 규칙을 디바이스에 배포하고, 디바이스에 일시적으로 로그인할 때 더 광범위한 애플리케이션 집합을 승격할 수 있도록 지원 관리자에게 더 관대한 규칙 집합을 배포할 수 있습니다.
기본 권한 상승 동작 은 규칙 일치를 찾을 수 없는 경우에만 사용됩니다. 또한 관리자 권한으로 실행 마우스 오른쪽 단추 클릭 메뉴를 사용해야 합니다. 이 메뉴는 애플리케이션의 승격을 명시적으로 요청하는 사용자로 해석됩니다.
엔드포인트 권한 관리 및 사용자 계정 제어
엔드포인트 권한 관리 및 Windows 기본 제공 UAC(사용자 계정 컨트롤)는 별도의 기능이 있는 별도의 제품입니다.
사용자를 표준 사용자로 실행하도록 이동하고 엔드포인트 권한 관리를 활용하는 경우 표준 사용자의 기본 UAC 동작을 변경하도록 선택할 수 있습니다. 이 변경은 애플리케이션에 상승이 필요한 경우 혼동을 줄이고 더 나은 최종 사용자 환경을 만들 수 있습니다. 자세한 내용은 표준 사용자에 대한 권한 상승 프롬프트의 동작 을 검토합니다.
참고
엔드포인트 권한 관리는 디바이스의 관리자가 실행하는 사용자 계정 제어 작업(또는 UAC)을 방해하지 않습니다. 디바이스의 관리자에게 적용되는 규칙을 만들 수 있으므로 디바이스의 모든 사용자에게 적용되는 규칙과 관리자 권한이 있는 사용자에게 미치는 영향에 대해 특별히 고려해야 합니다.