Zabezpečení zařízení v rámci privilegovaného přístupu
Tyto pokyny jsou součástí úplné strategie privilegovaného přístupu a implementované jako součást nasazení privilegovaného přístupu.
Zabezpečení koncové nulové důvěryhodnosti pro privilegovaný přístup vyžaduje silný základ zabezpečení zařízení, na kterém se vytvářejí další záruky zabezpečení pro relaci. I když mohou být záruky zabezpečení v relaci rozšířeny, budou vždy omezeny tím, jak silné jsou záruky zabezpečení na původním zařízení. Útočník, který má kontrolu nad tímto zařízením, může zosobnit uživatele nebo ukrást své přihlašovací údaje pro budoucí zosobnění. Toto riziko podkopává další záruky na účtu, zprostředkovatelé, jako jsou jump servery, a prostředky samotné. Další informace najdete v tématu princip čistých zdrojů.
Článek obsahuje přehled kontrolních mechanismů zabezpečení, které poskytují zabezpečenou pracovní stanici pro citlivé uživatele v průběhu životního cyklu.
Toto řešení spoléhá na základní možnosti zabezpečení v operačním systému Windows 10, v programu Microsoft Defender for Endpoint, na Id Microsoft Entra a v Microsoft InTune.
Kdo výhody zabezpečené pracovní stanice?
Všichni uživatelé a operátoři můžou využívat zabezpečenou pracovní stanici. Útočník, který ohrožuje počítač nebo zařízení, může zosobnit nebo ukrást přihlašovací údaje nebo tokeny pro všechny účty, které ho používají, podnítit mnoho nebo všechny ostatní bezpečnostní záruky. Pro správce nebo citlivé účty to umožňuje útočníkům eskalovat oprávnění a zvýšit přístup, který mají ve vaší organizaci, často výrazně k doméně, globálním nebo podnikovým oprávněním správce.
Podrobnosti o úrovních zabezpečení a o tom, kterým uživatelům by se mělo přiřadit, najdete v tématu Úrovně zabezpečení privilegovaného přístupu.
Ovládací prvky zabezpečení zařízení
Úspěšné nasazení zabezpečené pracovní stanice vyžaduje, aby byl součástí koncového přístupu, včetně zařízení, účtů, zprostředkovatelů a zásad zabezpečení použitých pro vaše aplikační rozhraní. Všechny prvky zásobníku musí být vyřešeny pro úplnou strategii zabezpečení privilegovaného přístupu.
Tato tabulka shrnuje bezpečnostní prvky pro různé úrovně zařízení:
| Profil | Enterprise | Specializovaná | Privilegované |
|---|---|---|---|
| Spravovaný Microsoft Endpoint Managerem (MEM) | Ano | Ano | Yes |
| Odepřít registraci zařízení BYOD | No | Ano | Yes |
| Použité standardní hodnoty zabezpečení MEM | Ano | Ano | Yes |
| Microsoft Defender for Endpoint | Ano* | Ano | Yes |
| Připojení osobního zařízení přes Autopilot | Ano* | Ano* | No |
| Adresy URL omezené na schválený seznam | Povolit většinu | Povolit většinu | Odepřít výchozí |
| Odebrání práv správce | Ano | Yes | |
| Řízení spouštění aplikací (AppLocker) | Audit –> vynuceno | Ano | |
| Aplikace nainstalované pouze pomocí MEM | Ano | Ano |
Poznámka:
Řešení je možné nasadit s novým hardwarem, stávajícím hardwarem a přineste si vlastní zařízení (BYOD).
Na všech úrovních budou zásady Intune vynucovat dobrou hygienu údržby zabezpečení pro aktualizace zabezpečení. Rozdíly v zabezpečení při zvýšení úrovně zabezpečení zařízení se zaměřují na snížení prostoru pro útoky, který se útočník může pokusit zneužít (a současně zachovat maximální produktivitu uživatelů). Podniková a specializovaná zařízení umožňují kancelářské aplikace a obecné procházení webu, ale pracovní stanice s privilegovaným přístupem ne. Podnikoví uživatelé mohou instalovat vlastní aplikace, ale specializovaní uživatelé nemusí (a nejsou místními správci jejich pracovních stanic).
Poznámka:
Procházení webu zde odkazuje na obecný přístup k libovolným webům, které mohou být vysoce rizikové aktivity. Takové procházení se výrazně liší od použití webového prohlížeče pro přístup k malému počtu známých webů pro správu pro služby, jako je Azure, Microsoft 365, další poskytovatelé cloudu a aplikace SaaS.
Kořen důvěryhodnosti hardwaru
Pro zabezpečenou pracovní stanici je nezbytné řešení dodavatelského řetězce, ve kterém používáte důvěryhodnou pracovní stanici označovanou jako "kořen důvěryhodnosti". Technologie, která musí být považována za výběr kořenového hardwaru důvěryhodnosti, by měla zahrnovat následující technologie zahrnuté v moderních přenosných počítačích:
- Čip TPM (Trusted Platform Module) 2.0
- BitLocker Drive Encryption
- Zabezpečené spouštění UEFI
- Ovladače a firmware distribuované prostřednictvím služba Windows Update
- Povolená virtualizace a HVCI
- Ovladače a aplikace HVCI připravené
- Windows Hello
- Ochrana vstupně-výstupních operací DMA
- Ochrana System Guard
- Moderní pohotovostní režim
Pro toto řešení se kořen důvěryhodnosti nasadí pomocí technologie Windows Autopilot s hardwarem, který splňuje moderní technické požadavky. K zabezpečení pracovní stanice vám Autopilot umožňuje využívat zařízení s Windows 10 optimalizovaná pro Microsoft OEM. Tato zařízení mají od výrobce známý dobrý stav. Autopilot může místo potenciálně nezabezpečeného zařízení transformovat zařízení s Windows 10 do stavu připraveného pro firmy. Používá nastavení a zásady, instaluje aplikace a dokonce mění edici Windows 10.
Role a profily zařízení
V těchto doprovodných materiálech se dozvíte, jak posílit zabezpečení Windows 10 a snížit rizika spojená s ohrožením zařízení nebo uživatele. K využití moderních hardwarových technologií a kořenu důvěryhodného zařízení používá řešení ověření stavu zařízení. Tato funkce je k dispozici, aby se zajistilo, že útočníci nemohou být během počátečního spuštění zařízení trvalí. Dělá to pomocí zásad a technologií, které pomáhají spravovat funkce zabezpečení a rizika.
- Podnikové zařízení – první spravovaná role je vhodná pro domácí uživatele, malé firemní uživatele, obecné vývojáře a podniky, kde organizace chtějí zvýšit minimální bezpečnostní pruh. Tento profil umožňuje uživatelům spouštět jakékoli aplikace a procházet jakýkoli web, ale vyžaduje se antimalwarové řešení a řešení detekce a reakce u koncových bodů (EDR), jako je Microsoft Defender for Endpoint. Používá se přístup založený na zásadách pro zvýšení stavu zabezpečení. Poskytuje bezpečné prostředky pro práci s zákaznickými daty a také používání nástrojů pro produktivitu, jako je e-mail a procházení webu. Zásady auditu a Intune umožňují monitorovat podnikovou pracovní stanici pro chování uživatelů a využití profilu.
Profil podnikového zabezpečení v pokynech k nasazení privilegovaného přístupu používá soubory JSON ke konfiguraci s Windows 10 a zadanými soubory JSON.
- Specializované zařízení – To představuje významný krok od podnikového využití odebráním možnosti samoobslužné správy pracovní stanice a omezením, které aplikace mohou běžet pouze na aplikace nainstalované autorizovaným správcem (v programových souborech a předem schválených aplikacích v umístění profilu uživatele). Odebrání možnosti instalace aplikací může mít vliv na produktivitu, pokud je implementovaná nesprávně, takže zajistěte, abyste měli přístup k aplikacím microsoft Storu nebo podnikovým spravovaným aplikacím, které je možné rychle nainstalovat, aby vyhovovaly potřebám uživatelů. Pokyny k tomu, kteří uživatelé mají být nakonfigurováni se specializovanými zařízeními na úrovni, najdete v tématu Úrovně zabezpečení privilegovaného přístupu.
- Specializovaný uživatel zabezpečení vyžaduje více řízené prostředí, zatímco stále může provádět aktivity, jako je e-mail a procházení webu v jednoduchém prostředí. Tito uživatelé očekávají, že budou fungovat funkce, jako jsou soubory cookie, oblíbené položky a další klávesové zkratky, ale nevyžadují možnost upravovat nebo ladit operační systém zařízení, instalovat ovladače nebo podobné.
Specializovaný profil zabezpečení v pokynech k nasazení privilegovaného přístupu používá soubory JSON ke konfiguraci s Windows 10 a zadanými soubory JSON.
- Pracovní stanice s privilegovaným přístupem (PAW) – Jedná se o nejvyšší konfiguraci zabezpečení určenou pro extrémně citlivé role, které by měly významný nebo podstatný dopad na organizaci, pokud by došlo k ohrožení jejich účtu. Konfigurace pracovních stanic s privilegovaným přístupem zahrnuje kontrolní mechanismy zabezpečení a zásady, které omezují místní přístup pro správu a nástroje pro produktivitu, aby se minimalizoval prostor pro útoky jenom na to, co je naprosto nezbytné pro provádění citlivých úloh.
To znesnadňuje útočníkům ohrožení zabezpečení zařízení s privilegovaným přístupem, protože blokuje nejběžnější vektor útoků phishing: e-mail a procházení webu.
Pokud chcete těmto uživatelům poskytnout produktivitu, musí být k dispozici samostatné účty a pracovní stanice pro kancelářské aplikace a procházení webu. I když je to nevhodné, je to nezbytná kontrola pro ochranu uživatelů, jejichž účet by mohl způsobit poškození většiny nebo všech prostředků v organizaci.
- Privilegovaná pracovní stanice poskytuje posílenou pracovní stanici, která má jasné řízení aplikací a ochranu application guard. Pracovní stanice používá ochranu credential guard, device guard, app guard a exploit guard k ochraně hostitele před škodlivým chováním. Všechny místní disky se šifrují pomocí Nástroje BitLocker a webový provoz je omezený na omezenou sadu povolených cílů (Odepřít vše).
Profil privilegovaného zabezpečení v pokynech k nasazení privilegovaného přístupu používá soubory JSON ke konfiguraci s Windows 10 a zadanými soubory JSON.
Další kroky
Nasaďte zabezpečenou pracovní stanici spravovanou v Azure.