Microsoft Intune Endpoint Privilege Management (EPM) für kleine Unternehmen Berlin
Eine der wirkungsvollsten Sicherheitsverbesserungen, die ein kleines Unternehmen vornehmen kann, ist die Entfernung von lokalen Administratorrechten aus Standard-Benutzerkonten. Wenn Benutzer als lokale Admins ausgeführt werden, erbt jede Malware, die sie ausführen — durch das Öffnen eines bösartigen Anhangs, das Klicken auf einen Phishing-Link oder den Besuch einer kompromittierten Website — diese Administratorrechte und kann Software installieren, Systemdateien ändern und über Neustarts hinaus bestehen bleiben. Microsoft Intune Endpoint Privilege Management (EPM) ermöglicht es Ihnen, permanente lokale Administratorrechte zu entfernen, ohne Benutzer zu bitten, bei jeder Software-Aktualisierung oder jedem Legacy-Anwendungsstart ein IT-Ticket einzureichen.
Das Problem mit lokalen Administratorrechten
In den meisten kleinen Unternehmen sind Benutzer lokale Administratoren auf ihren Notebooks, weil es bei der Einrichtung einfacher war oder weil eine bestimmte Anwendung bei der ersten Bereitstellung vor Jahren Administratorrechte benötigte. Das Ergebnis ist, dass das gesamte Gerät — alle seine Dateien, Registry-Schlüssel, Dienste und installierte Software — von allem geändert werden kann, was in der Benutzersitzung ausgeführt wird, einschließlich Ransomware, Credential-Stealern und Remote-Access-Trojaner.
Die Entfernung von lokalen Administratorrechten wird in Frameworks wie ASD Essential Eight und NIST CSF konsequent als eine der effektivsten Schutzmaßnahmen eingestuft. Die praktische Hürde ist jedoch die damit verbundene Unterbrechung: Benutzer, die routinemäßig Software-Updates installieren, IT-Diagnosetools ausführen oder Legacy-Anwendungen verwenden, die fälschlicherweise Administratorrechte benötigen, sehen ihre Produktivität bei jeder Erhöhungsanfrage blockiert.
Wie EPM funktioniert
Endpoint Privilege Management löst dieses Problem, indem es das Konzept “vertrauenswürdige Anwendung, die Erhöhung benötigt” von “vertrauenswürdiger Benutzer, der permanente Administratorrechte haben sollte” trennt. EPM-Richtlinien, die über Intune bereitgestellt werden, definieren spezifische ausführbare Dateien — identifiziert durch Datei-Hash, Publisher-Zertifikat oder Dateipfad — die mit erhöhten Privilegien ausgeführt werden dürfen, auch wenn der Benutzer ein Standardkonto ist. Wenn der Benutzer diese Anwendung startet, erhöht Windows temporär nur diesen Prozess, ohne dem Benutzer ein permanentes Admin-Token zu geben.
EPM arbeitet mit zwei Erhöhungsmodellen. Bei der automatischen Erhöhung werden genehmigte Anwendungen transparent mit Erhöhung ausgeführt — der Benutzer sieht keine Aufforderung. Dies ist geeignet für IT-verwaltete Tools wie Software-Agenten, Endpunktmanagement-Utilities und geplante Wartungsaufgaben. Bei der benutzersbestätigten Erhöhung wird dem Benutzer eine Aufforderung angezeigt, die erklärt, dass die Anwendung mit erhöhten Privilegien ausgeführt wird, und ihn um Bestätigung bittet. Dieses Modell eignet sich für Anwendungen, bei denen Sie das Bewusstsein des Benutzers für die Erhöhung möchten — Installation eines Druckertreibers, Ausführen eines Setup-Assistenten — ohne die Aufgabe vollständig zu blockieren.
Support-genehmigte Erhöhung
EPM unterstützt auch einen Workflow für support-genehmigte Erhöhung, bei dem Benutzer eine Erhöhung für eine Anwendung anfordern können, die nicht in der genehmigten Richtlinie enthalten ist. Die Anfrage wird über Intune zur Genehmigung an einen IT-Administrator gesendet, und die Genehmigung ist zeitlich begrenzt — typischerweise für eine einzelne Sitzung oder ein 24-Stunden-Fenster gültig. Dies gibt Ihnen einen kontrollierten Mechanismus für den Umgang mit gelegentlichen legitimen Erhöhungsanfragen, ohne permanente Administratorrechte zu gewähren.
Alle Erhöhungsereignisse — automatisch, benutzersbestätigt und support-genehmigt — werden in Intune mit vollständigem Kontext protokolliert: welche ausführbare Datei erhöht wurde, von welchem Benutzer, auf welchem Gerät, zu welcher Zeit und ob die Erhöhung automatisch war oder eine Benutzersbestätigung erforderte. Dieser Prüfpfad unterstützt Sicherheitsvorfall-Untersuchungen und Compliance-Berichte.
Aufbau der Erhöhungsrichtlinie
Vor der Bereitstellung von EPM müssen Sie verstehen, welche Anwendungen in Ihrer Umgebung derzeit Erhöhung benötigen. Das Windows-Prozess-Audit “Erhöhung erforderlich” — das alle Prozesse protokolliert, die UAC-Erhöhung angefordert haben — liefert Ihnen diese Daten. Die EPM-Berichterstattung von Intune umfasst auch eine Ansicht “Nicht verwaltete Erhöhung”, die Ihnen Erhöhungsanfragen auf Geräten zeigt, auf denen EPM bereitgestellt ist, aber keine Richtlinie die spezifische ausführbare Datei abdeckt. Dieser datengesteuerte Ansatz ermöglicht es Ihnen, eine genaue Erhöhungsrichtlinie zu erstellen, bevor Sie Administratorrechte entfernen, anstatt Ausnahmen reaktiv zu entdecken, nachdem Benutzer blockiert werden.
EPM und Microsoft Defender for Endpoint
EPM integriert sich mit den Regeln zur Reduzierung der Angriffsoberfläche von Microsoft Defender for Endpoint. Wenn ein erhöhter Prozess über EPM gestartet wird, gelten die Attack Surface Reduction-Regeln von MDE weiterhin für diesen Prozess — ein erhöhter Prozess kann Windows Defender nicht deaktivieren, nicht in andere Prozesse injizieren und nicht auf Credential-Stores zugreifen, selbst mit dem temporär erhöhten Token. Dieser Defence-in-Depth-Ansatz bedeutet, dass selbst wenn ein Angreifer einen Benutzer dazu bringt, eine EPM-Erhöhung für eine legitim aussehende Anwendung zu initiieren, die Verhaltenserkennungen von MDE diesen Prozess weiterhin auf bösartige Aktivitäten überwachen.
Lizenzierung und Bereitstellung
Endpoint Privilege Management ist in Microsoft Intune Plan 2 und Microsoft Intune Suite-Add-ons enthalten. Es ist nicht im Basis-Intune (Plan 1) oder Microsoft 365 Business Premium enthalten. Für kleine Unternehmen, die bereits Microsoft 365 Business Premium oder Microsoft 365 E3 verwenden, schaltet das Hinzufügen der Intune Suite-Lizenz — derzeit zu ca. 10 € pro Benutzer pro Monat — EPM zusammen mit mehreren anderen erweiterten Intune-Funktionen frei, darunter Remote Help, Tunnel für MAM und Advanced Endpoint Analytics.
Die Bereitstellung folgt einem Standard-Intune-Richtlinienrollout: Erstellen Sie eine EPM-Richtlinie im Intune Admin Center, weisen Sie sie einer Pilotgruppe von Geräten zu, validieren Sie die Erhöhungsregeln anhand Ihres Anwendungsinventars und erweitern Sie dann auf alle verwalteten Geräte. Der EPM-Agent ist Teil der Standard-Intune-Verwaltungserweiterung und erfordert keine separate Installation. Für Berliner KMU, die Sicherheitszertifizierungen oder Cyber-Versicherungsrichtlinien anstreben, die Nachweise zur Durchsetzung geringstmöglicher Privilegien erfordern, bietet EPM eine direkte, prüfbare Kontrolle — mit Berichten, die zeigen, welche Benutzer erhöht wurden, für welche Anwendungen und wie lange.
Weiterfuehrende Artikel
- Microsoft Defender for Endpoint: EPM und MDE bieten komplementsrende Endpunkthärtung – EPM entfernt permanente Administratorrechte, um die Angriffsoberfläche zu reduzieren, MDE überwacht alle erhöhten Prozesse auf bösartiges Verhalten, selbst wenn legitime Erhöhung gewährt wurde
- Intune Compliance-Richtlinien: Intune Compliance mit EPM kombinieren – Compliance-Richtlinien verifizieren, dass Geräte Sicherheits-Baselines erfüllen, bevor EPM-Erhöhungsregeln aktiviert werden, nicht konforme Geräte von automatischen Erhöhungsrichtlinien ausschließen
- Microsoft Entra Privileged Identity Management (PIM): EPM steuert die lokale Privilegien-Erhöhung auf Endpunkten, PIM steuert die Aktivierung privilegierter Rollen in Entra ID – zusammen erzwingen sie Least Privilege auf der Geräte- und der Cloud-Identitätsebene