> For the complete documentation index, see [llms.txt](https://wiki.datadike.com/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://wiki.datadike.com/product-guide/configuracoes/pam/epm.md). # Endpoint Privilege Management (EPM) O módulo **Endpoint Privilege Management (EPM)** do DataDike PAM estende o controle de acesso privilegiado para dentro do sistema operacional alvo. Em vez de conceder direitos administrativos permanentes a contas e usuários, o EPM aplica o princípio do menor privilégio diretamente no endpoint: cada execução de aplicação, script, biblioteca ou instalador é avaliada contra **políticas reutilizáveis** que decidem se a operação deve ser permitida, bloqueada, elevada ou apenas auditada. O EPM opera por meio de um **componente de endpoint do DataDike** (agente) instalado no SO alvo — estações de trabalho e servidores Windows. O agente é gerenciado de forma centralizada pelo console do PAM e comunica-se de forma autenticada e cifrada com o servidor, herdando os mecanismos de **auditoria central**, **RBAC**, **relatórios** e **alertas** do produto. {% hint style="info" %} O EPM não substitui os cofres de senha e a gravação de sessão do DataDike PAM; ele os complementa, controlando o que acontece **depois** do acesso, no nível do processo e do arquivo dentro do SO alvo. {% endhint %} ## Conceitos fundamentais * **Componente de endpoint (agente):** software do DataDike instalado no SO alvo, responsável por interceptar eventos de criação de processo, carregamento de bibliotecas, instalação de software e acesso a recursos sensíveis do sistema. Aplica as decisões de política localmente, mesmo quando temporariamente sem conexão com o servidor. * **Política (Policy):** conjunto reutilizável de regras que associa **objetos** (alvos a serem avaliados) a um **modo de ação** e a um **escopo** de máquinas. * **Objeto reutilizável:** descrição de um alvo de controle (um executável, script, DLL, instalador, controle ActiveX ou objeto COM) que pode ser referenciado por múltiplas políticas. * **Escopo:** conjunto de máquinas, grupos de máquinas e contextos de usuário aos quais a política se aplica. * **Evento:** registro de uma decisão ou de uma atividade observada pelo agente, enviado ao console e à auditoria central. A navegação principal do módulo encontra-se em **Sysadmin > EPM**, com as áreas **Policies**, **Objects**, **Endpoints**, **Events** e **Credential Theft Protection**. ## Políticas reutilizáveis de controle de aplicação As políticas de controle de aplicação são criadas em **Sysadmin > EPM > Policies > New Policy**. Uma política é composta por um ou mais **objetos reutilizáveis**, um **modo de ação** e um **escopo**. ### Tipos de objeto suportados O EPM avalia, no mínimo, os seguintes tipos de objeto no SO alvo: | Tipo de objeto | Descrição | Exemplos típicos | | --------------------------------- | ------------------------------------------------------------ | ------------------------------------------------------------------------- | | **Executáveis** | Programas executáveis em geral | `.exe`, `.bat`, `.cmd`, `.com` | | **Scripts** | Scripts interpretados | PowerShell (`.ps1`), VBScript (`.vbs`), JScript (`.js`), `.wsf` | | **Aplicações nativas do Windows** | Aplicativos empacotados e componentes nativos da plataforma | aplicativos empacotados (AppX/MSIX), aplicativos da loja, componentes UWP | | **Bibliotecas dinâmicas (DLL)** | Bibliotecas carregadas por processos | `.dll`, `.ocx` carregadas em tempo de execução | | **Instaladores** | Pacotes de instalação de software | `.msi`, `.msp`, instaladores executáveis | | **Controles ActiveX** | Controles ActiveX registrados e invocados no host | controles `.ocx` registrados, componentes de navegador legados | | **Objetos COM** | Objetos Component Object Model instanciados por CLSID/ProgID | servidores COM in-process e out-of-process | Cada objeto pode ser **reutilizado** em quantas políticas forem necessárias. A alteração de um objeto reflete-se automaticamente em todas as políticas que o referenciam, garantindo consistência e reduzindo retrabalho. ### Modos de ação Cada política define como o EPM deve reagir quando um objeto em seu escopo é acionado: | Modo | Comportamento | | ----------- | ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | | **Allow** | Permite a execução sem alteração de privilégios. Usado para liberar explicitamente aplicações confiáveis. | | **Deny** | Bloqueia a execução/carregamento. O usuário recebe uma notificação e o evento é registrado na auditoria central. | | **Elevate** | Eleva temporariamente os privilégios do processo (execução como administrador) sem conceder direitos administrativos permanentes à conta do usuário. A elevação é granular, limitada ao objeto e ao escopo da política. | | **Audit** | Não interfere na execução, apenas registra o evento. Indicado para fase de descoberta e modelagem de políticas (modo de observação). | {% hint style="warning" %} O modo **Elevate** concede privilégios apenas ao processo identificado pela política, e não ao usuário. Isso evita a distribuição de senhas administrativas e a inclusão de contas em grupos privilegiados locais. {% endhint %} ### Escopo por grupos de máquinas O escopo determina **onde** e **para quem** a política vale. É possível combinar: * **Grupos de máquinas:** conjuntos lógicos de endpoints (por unidade, função, ambiente — produção, homologação — ou sistema operacional). * **Máquinas individuais:** seleção pontual de um ou mais endpoints. * **Contexto de usuário/grupo:** restrição por usuário ou grupo de diretório que dispara a ação. A combinação de objetos reutilizáveis com escopos por grupos de máquinas permite padronizar políticas corporativas e aplicá-las em larga escala, com exceções controladas por escopos mais específicos. ## Critérios de identificação de objetos Para evitar evasão por renomeação ou substituição de arquivos, cada objeto pode ser identificado por um ou mais critérios combináveis. A identificação é configurada em **Sysadmin > EPM > Objects** ao criar ou editar um objeto. ### Verificação de checksum, parâmetros e assinatura do fabricante Para cada objeto reutilizável das políticas, o EPM suporta a verificação de: * **Checksum (hash) do arquivo:** cálculo do hash criptográfico do arquivo em disco e comparação com o valor cadastrado. Garante que o conteúdo exato corresponde ao objeto autorizado; qualquer alteração de bytes invalida a correspondência. * **Parâmetros permitidos (linha de comando):** definição dos argumentos que podem acompanhar a execução. É possível restringir o objeto a um conjunto específico de parâmetros, recusando invocações com argumentos não previstos (útil contra abuso de utilitários legítimos com flags perigosas). * **Assinatura digital do fabricante:** validação da assinatura Authenticode/certificado do publicador. Permite autorizar todos os binários assinados por um fabricante confiável e rejeitar arquivos não assinados ou com assinatura inválida/expirada. {% hint style="info" %} Os três critérios podem ser combinados em um mesmo objeto. Por exemplo: permitir um executável **somente** se o checksum corresponder **e** a assinatura do fabricante for válida **e** os parâmetros estiverem na lista autorizada. {% endhint %} ### Nome exato e expressões regulares O alvo de um objeto pode ser descrito por: * **Nome exato** da aplicação, do arquivo ou do script, incluindo caminho completo quando desejado (correspondência literal). * **Expressão regular (regex)** em qualquer formato, aplicável a nome de arquivo, caminho, nome de processo, publicador ou parâmetros. O suporte a expressões regulares permite cobrir variações de versão, diretórios dinâmicos (por exemplo, perfis de usuário) e famílias de arquivos com um único objeto, mantendo as políticas enxutas e reutilizáveis. | Critério | Quando usar | Exemplo de intenção | | -------------- | --------------------------------------- | --------------------------------------------------------------- | | **Nome exato** | Alvo único e estável | Um instalador corporativo específico | | **Regex** | Conjunto de alvos ou caminhos variáveis | Todos os scripts em um diretório, qualquer versão de um binário | | **Checksum** | Garantia de integridade do conteúdo | Binário homologado e congelado | | **Assinatura** | Confiança no publicador | Todos os softwares assinados por um fabricante | | **Parâmetros** | Restringir uso de utilitários legítimos | Bloquear flags perigosas de uma ferramenta de sistema | ## Proteção contra roubo de credenciais A área **Sysadmin > EPM > Credential Theft Protection** monitora e protege as bases de senhas em formato hash do sistema operacional contra acessos anômalos, com foco nas técnicas de **credential dumping**. ### O que é monitorado * **SAM local:** o banco de contas de segurança local (Security Account Manager), que armazena hashes de senhas das contas locais. * **LSASS:** o processo `lsass.exe` (Local Security Authority Subsystem Service), cuja memória contém material de credenciais de sessões ativas. * Outras superfícies relacionadas, como tentativas de leitura direta de memória de processos sensíveis, acesso a hives de registro de segurança e uso de utilitários de extração de hashes. ### Detecção de dump de credenciais O componente de endpoint observa padrões característicos de roubo de credenciais, entre eles: * Abertura de handle com permissões de leitura de memória sobre o processo **LSASS** por processos não autorizados. * Tentativas de cópia, exportação ou leitura bruta da base **SAM** e dos hives de segurança do registro. * Execução de ferramentas e técnicas conhecidas de extração de hashes e de despejo de memória. * Comportamento anômalo de arquivos e de usuários durante a interação com essas bases. ### Resposta a atividade anômala Ao identificar atividade suspeita, o EPM executa, de acordo com a política configurada: * **Alertar:** geração imediata de alerta no console do PAM e pelos canais de notificação integrados. * **Reportar:** registro detalhado do evento na **auditoria central** (processo de origem, usuário, alvo, horário, ação tomada), disponível para correlação e relatórios. * **Bloquear:** interrupção da atividade anômala — negação do acesso, encerramento ou contenção do processo ofensor — impedindo a conclusão do dump de credenciais. {% hint style="danger" %} Acessos legítimos (por exemplo, ferramentas de backup ou de segurança homologadas) devem ser explicitamente autorizados por objetos e políticas dedicados, para evitar bloqueios indevidos. Recomenda-se iniciar em modo **Audit** e promover para **Deny/Block** após validação. {% endhint %} ## Criação de políticas a partir de eventos A área **Sysadmin > EPM > Events** lista todos os eventos reportados pelos endpoints — execuções permitidas, bloqueadas, elevadas, auditadas e alertas de proteção de credenciais. A partir de qualquer evento, o operador pode, com a devida permissão de RBAC: * **Criar uma nova política** diretamente do evento, com os atributos do objeto (caminho, checksum, assinatura, parâmetros) pré-preenchidos a partir do que foi observado. Basta ajustar o modo de ação e o escopo e salvar. * **Incluir o evento em uma política existente**, adicionando o objeto correspondente a uma política já cadastrada — útil para consolidar exceções em um conjunto de regras já aprovado. Esse fluxo orientado a eventos acelera a modelagem de políticas: opera-se primeiro em modo **Audit** para descobrir o comportamento real do parque, e depois convertem-se os eventos relevantes em regras de **Allow**, **Deny** ou **Elevate**. {% hint style="info" %} Ao gerar uma política a partir de um evento, revise o critério de identificação sugerido. Para alvos estáveis prefira **checksum + assinatura**; para famílias de arquivos prefira **regex** sobre o caminho ou o nome. {% endhint %} ## Proteção do componente de endpoint (anti-tamper) O EPM impede que suas funcionalidades instaladas no SO alvo sejam desativadas sem autorização e sem registro: * **Proteção de processo e serviço:** o agente protege seu próprio processo, serviço, arquivos e chaves de registro contra encerramento, desinstalação ou adulteração por usuários e processos não autorizados — inclusive por contas com privilégios elevados, salvo autorização explícita. * **Autorização obrigatória:** operações de parada, desinstalação ou alteração de configuração do componente exigem autorização concedida pelo console do PAM, sujeita às regras de **RBAC**. * **Registro indelével:** toda tentativa — bem-sucedida ou não — de desativar, parar ou adulterar o componente é registrada como evento na **auditoria central**, com geração de alerta. Não há caminho silencioso para desligar a proteção. {% hint style="warning" %} A combinação de autorização obrigatória e registro indelével garante que a remoção do controle seja sempre uma ação rastreável e atribuível, atendendo aos requisitos de não repúdio. {% endhint %} ## Integração com o restante do DataDike PAM O EPM não é um produto isolado: ele compartilha a plataforma do DataDike PAM. * **Auditoria central:** todos os eventos de execução, elevação, bloqueio, proteção de credenciais e anti-tamper são gravados no repositório de auditoria do PAM, permitindo correlação com sessões privilegiadas, acessos a cofres e demais módulos. * **RBAC:** a criação e a aprovação de políticas, a autorização de operações sobre o agente e o acesso às áreas do módulo são controlados pelos papéis e permissões do PAM. Operadores só veem e alteram o que seu papel permite. * **Relatórios:** os dados do EPM alimentam os relatórios do PAM (conformidade, atividade por endpoint, políticas aplicadas, tentativas de dump de credenciais), exportáveis e agendáveis. * **Alertas e notificações:** os alertas do EPM utilizam os mesmos canais de notificação e integrações de terceiros já configurados no PAM. ## Boas práticas de implantação * Implante o componente em **modo Audit** inicialmente, observando o comportamento real antes de aplicar bloqueios. * Padronize **objetos reutilizáveis** corporativos (suítes homologadas, instaladores aprovados) e referencie-os em múltiplas políticas. * Prefira **checksum + assinatura do fabricante** para alvos críticos e **regex** para famílias de arquivos. * Ative a **proteção contra roubo de credenciais** em todos os endpoints, autorizando explicitamente apenas ferramentas legítimas. * Revise periodicamente os **eventos** para refinar políticas e reduzir falsos positivos. --- # Agent Instructions This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com. ## Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://wiki.datadike.com/product-guide/configuracoes/pam/epm.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.