# Criar Política de EPM

## Índice

- [Introdução](https://www.manageengine.com/br/desktop-central/help/endpoint-privilege-management/epm-policy-creation.html#intro)
- [Criar Lista de application Privilegiados](https://www.manageengine.com/br/desktop-central/help/endpoint-privilege-management/epm-policy-creation.html#create)
- [Selecionando application Específicos](https://www.manageengine.com/br/desktop-central/help/endpoint-privilege-management/epm-policy-creation.html#specific)
- [Criando Regra Personalizada](https://www.manageengine.com/br/desktop-central/help/endpoint-privilege-management/epm-policy-creation.html#custom)

## Introdução

A implementação do gerenciamento de privilégios no Endpoint Central começa com a criação de uma política robusta de Endpoint Privilege Management que define como os usuários podem acessar e executar application com direitos elevados. Os administradores começam definindo uma Lista de application Privilegiados, que inclui application que exigem acesso administrativo. Depois que a lista é organizada, ela é associada a grupos personalizados específicos que contêm dispositivos de usuários que precisam desse nível de acesso.

Após a associação, a política é implantada a partir do console do Endpoint Central, permitindo que usuários selecionados executem application aprovados com privilégios elevados — mantendo os direitos de usuário padrão em outros contextos. Essa abordagem estruturada garante que a elevação de privilégios seja rigidamente controlada e aplicada conforme o contexto, reduzindo riscos de segurança e assegurando a conformidade em toda a empresa.

## Criar Lista de application Privilegiados

Os application podem ser executados com privilégios elevados das seguintes maneiras:

- **Autoelevação de application**: Todos os application podem ser elevados das duas formas indicadas abaixo, e essa capacidade pode ser configurada para application específicos ou para todos os application permitidos. Ela também pode ser deixada como "Não Configurado" caso você não deseje permitir a elevação.

  - **Permitir que os usuários elevem application com justificativa**: Os administradores podem permitir que os usuários elevem os privilégios de seus application fornecendo uma justificativa. A justificativa fornecida será registrada e poderá ser visualizada em **Relatórios → Relatório de application Elevados com Justificativa**.

    [![Self Elevation](https://www.manageengine.com/products/desktop-central/help/images/ac-pm-self-elevation.png)](https://www.manageengine.com/products/desktop-central/help/images/ac-pm-self-elevation.png)

    Aqui está a notificação exibida no endpoint quando o usuário tenta autoelevar um application:

    ![Self-Elevation of Application prompt](https://www.manageengine.com/products/desktop-central/help/images/self-elevation-com.png)

    **Observação:** Para mais detalhes sobre notificações ao usuário final, consulte [esta página](https://www.manageengine.com/products/desktop-central/help/application-control/ac-enduser-notifications.html#self-elevate).

  - **Permitir que os usuários elevem application mediante solicitação**: Os administradores podem permitir que os usuários solicitem elevação Just-In-Time por uma duração específica, com uma justificativa. Para mais detalhes sobre solicitações de elevação iniciadas pelo usuário, consulte [esta página](https://www.manageengine.com/products/desktop-central/help/endpoint-privilege-management/epm-jit-access.html#jit-request).

- **Elevação para todos os application permitidos**: Os grupos personalizados associados à Lista de application Privilegiados durante a implantação da política terão permissão para autoelevar seus privilégios para todos os application permitidos.

  [![Elevation for Allowed Applications](https://www.manageengine.com/products/desktop-central/help/images/ac-pm-elevation-allowed-apps.png)](https://www.manageengine.com/products/desktop-central/help/images/ac-pm-elevation-allowed-apps.png)

- **Elevação para application específicos**: Os grupos associados à Lista de application Privilegiados durante a implantação da política terão permissão para autoelevar seus privilégios para todos os application selecionados.

  [![Elevation for Specific Applications](https://www.manageengine.com/products/desktop-central/help/images/ac-pm-specific-apps.png)](https://www.manageengine.com/products/desktop-central/help/images/ac-pm-specific-apps.png)

- **Elevação Automática**: Os grupos associados terão permissão para executar automaticamente application com privilégios elevados.

  [![Auto Elevation](https://www.manageengine.com/products/desktop-central/help/images/ac-pm-auto-elevation.png)](https://www.manageengine.com/products/desktop-central/help/images/ac-pm-auto-elevation.png)

## Selecionando application Específicos

A elevação de privilégios pode ser configurada para todos os application permitidos ou para application específicos. Os **application específicos** para elevação podem ser adicionados usando tipos de regra como Fornecedor, Produtos, Executável Verificado, Hash de Arquivo, CLSID e Caminho de Pasta.

**Observação:** Para saber quais extensões são suportadas por cada tipo de regra, consulte [aqui](https://www.manageengine.com/products/desktop-central/help/endpoint-privilege-management/epm-how-it-works.html#rule-support).

[![EPM Specific Applications](https://www.manageengine.com/products/desktop-central/help/images/epm-1.png)](https://www.manageengine.com/products/desktop-central/help/images/epm-1.png)

O **tipo de regra CLSID** permite controlar a elevação de objetos COM fazendo referência aos seus IDs de Classe exclusivos em vez de executáveis ou caminhos. Isso garante que as regras de elevação sejam aplicadas diretamente a componentes do sistema Windows ou objetos COM registrados, reduzindo a dependência de atributos de arquivo mutáveis. Ele fornece um gerenciamento de privilégios granular para funções nativas do sistema operacional.

[![EPM Specific Applications CLSID filter](https://www.manageengine.com/products/desktop-central/help/images/epm-cls-id.png)](https://www.manageengine.com/products/desktop-central/help/images/epm-cls-id.png)

## Criando Regra Personalizada

Regras personalizadas também podem ser configuradas para definir critérios personalizados, como fornecedor, nome do produto, executável verificado, hash do arquivo ou CLSID, para criar regras de application para aqueles que não são detectados na sua rede. Clique em **Adicionar** no tipo de regra específico para definir a regra personalizada.

![EPM Custom Rule](https://www.manageengine.com/products/desktop-central/help/images/epm-custom-rule.png)