Schützen von Geräten im Rahmen der Geschichte des privilegierten Zugriffs
Dieser Leitfaden ist Teil einer vollständigen Strategie für den privilegierten Zugriff und wird im Rahmen der Bereitstellung für privilegierten Zugriff implementiert.
Die End-to-End-Zero Trust-Sicherheit für privilegierten Zugriff erfordert als starke Grundlage eine Gerätesicherheit, auf der andere Sicherheitsgarantien für die Sitzung aufbauen können. Während die Sicherheitsgarantien in der Sitzung verbessert werden können, bleiben sie immer auf die Stärke der Sicherheitsgarantien auf dem ursprünglichen Gerät beschränkt. Angreifer*innen, die Kontrolle über dieses Gerät haben, können die Identität von Benutzer*innen auf diesem Gerät annehmen oder deren Anmeldeinformationen für zukünftigen Identitätswechsel stehlen. Dieses Risiko beeinträchtigt andere Garantien für das Konto, für zwischengeschaltete Komponenten wie Sprungserver und für die Ressourcen selbst. Weitere Informationen finden Sie unter Prinzip der vertrauenswürdigen Quelle.
Der Artikel bietet eine Übersicht über Sicherheitskontrollen, um verwundbaren Benutzern während der gesamten Nutzungsdauer eine sichere Arbeitsstation zu bieten.
Diese Lösung stützt sich auf die zentralen Sicherheitsfunktionen des Betriebssystems Windows 10, Microsoft Defender for Endpoint, Microsoft Entra ID und Microsoft InTune.
Wer profitiert von einer sicheren Arbeitsstation?
Alle Benutzer und Betreiber profitieren von der Verwendung einer sicheren Arbeitsstation. Ein Angreifer, der einen PC oder ein Gerät kompromittiert, kann die Identität aller Zugangsinformationen/Token für alle Konten, die ihn verwenden, imitieren oder stehlen und so viele oder alle anderen Sicherheitsgarantien unterminieren. Für Administratoren oder vertrauliche Konten ermöglicht dieses den Angreifern, Berechtigungen zu erlangen und den Zugriff zu erhöhen, den sie in Ihrem Unternehmen haben, häufig drastisch bis hin zu Domänen-, globalen oder Unternehmensadministratorrechten.
Weitere Informationen zu Sicherheitsebenen und welche Benutzer welcher Stufe zugewiesen werden sollten, finden Sie unter Sicherheitsebenen für privilegierten Zugriff.
Gerätesicherheitskontrollen
Die erfolgreiche Bereitstellung einer sicheren Arbeitsstation erfordert, dass sie Teil eines End-to-End-Ansatzes ist, der Geräte, Konten, Vermittlerund Sicherheitsrichtlinien, die auf Ihre Anwendungsschnittstellenangewendet werden, mit einschließt. Alle Elemente dieses Stapels müssen in eine vollständige Sicherheitsstrategie für privilegierten Zugriff mit einbezogen werden.
In dieser Tabelle werden die Sicherheitskontrollen für verschiedene Geräteebenen zusammengefasst:
| Profil | Enterprise | Spezialisiert | Privilegiert |
|---|---|---|---|
| Von Microsoft Endpoint Manager (MEM) verwaltet | Ja | Ja | Ja |
| Verweigerung von BYOD-Geräteregistrierung | Nein | Ja | Ja |
| MEM-Sicherheitsbaseline angewandt | Ja | Ja | Ja |
| Microsoft Defender für den Endpunkt | Ja* | Ja | Ja |
| Beitreten zu persönlichen Geräten über Autopilot | Ja* | Ja* | Nein |
| URLs auf genehmigte Liste beschränkt | Zulassen der meisten | Zulassen der meisten | Standardmäßig verweigern |
| Entfernen von Administratorrechten | Ja | Ja | |
| Anwendungsausführungssteuerung (AppLocker) | Audit -> Erzwungen | Ja | |
| Nur von MEM installierte Anwendungen | Ja | Ja |
Hinweis
Die Lösung kann mit neuer Hardware, vorhandener Hardware und in BYOD-Szenarien (Bring Your Own Device) bereitgestellt werden.
Auf allen Ebenen wird eine gute Sicherheitswartung für Sicherheitsupdates durch Intune-Richtlinien durchgesetzt. Die Sicherheitsunterschiede bei zunehmender Gerätesicherheitsstufe konzentrieren sich darauf, die Angriffsfläche zu verringern, die ein Angreifer ausnutzen kann (während gleichzeitig so viel Benutzerproduktivität wie möglich erhalten bleibt). Geräte der Unternehmens- und Spezialebene erlauben Produktivitätsanwendungen und allgemeines Web-Browsing, Workstations mit privilegiertem Zugriff jedoch nicht. Unternehmensbenutzer können ihre eigenen Anwendungen installieren, spezialisierte Benutzer jedoch nicht (und sind keine lokalen Administratoren ihrer Arbeitsstationen).
Hinweis
Das Surfen im Internet bezieht sich hier auf den allgemeinen Zugriff auf beliebige Websites, der eine risikoreiche Aktivität darstellen kann. Ein solches Surfen unterscheidet sich deutlich von der Verwendung eines Webbrowsers für den Zugriff auf eine kleine Anzahl bekannter administrativer Websites für Dienste wie Azure, Microsoft 365, andere Cloud-Anbieter und SaaS-Anwendungen.
Vertrauensanker in Hardware
Wesentlich für eine sichere Arbeitsstation ist eine Lieferkettenlösung, bei der Sie eine vertrauenswürdige Arbeitsstation verwenden, die als „root of trust“ (Vertrauensgrundlage) bezeichnet wird. Die Technologie, die in der Auswahl der „root of trust“-Hardware berücksichtigt werden muss, sollte die folgenden Technologien enthalten, die in modernen Laptops enthalten sind:
- Trusted Platform Module (TPM) 2.0
- BitLocker-Laufwerkverschlüsselung
- UEFI Secure Boot
- Über Windows Update verteilte Treiber und Firmware
- Aktivierte Virtualisierung und HVCI
- HVCI-bereite Treiber und Apps
- Windows Hello
- DMA-E/A-Schutz
- Systemschutz
- Moderner Standbymodus
Für diese Lösung wird die „Root of Trust“ – die Vertrauensgrundlage – unter Verwendung von Microsoft Autopilot-Technologie mit Hardware bereitgestellt, die die modernen technischen Anforderungen erfüllt. Um eine Arbeitsstation zu sichern, können Sie mit Autopilot OEM-optimierte Microsoft Windows 10-Geräte nutzen. Diese Geräte werden vom Hersteller in einem bekannt guten Zustand geliefert. Anstatt ein Reimaging bei einem potenziell unsicheren Gerät auszuführen, kann Autopilot ein Windows-Gerät in einen „geschäftsbereiten“ Zustand versetzen. Autopilot wendet Einstellungen und Richtlinien an, installiert Apps und ändert sogar die Edition von Windows 10.
Geräterollen und -profile
Diese Anleitung zeigt, wie Sie Windows 10 absichern und die mit Geräte- oder Benutzergefährdungen verbundenen Risiken reduzieren können. Um die Vorteile der modernen Hardware-Technologie und des Root-of-Trust-Geräts zu nutzen, verwendet die Lösung einen Integritätsnachweis für Geräte. Diese Funktion ist vorhanden, um sicherzustellen, dass Angreifer nicht schon während der frühen Startphase eines Geräts dieses kompromittieren. Dies geschieht durch den Einsatz von Richtlinien und Technologien, um die Verwaltung von Sicherheitsmerkmalen und -risiken zu unterstützen.
- Enterprise-Gerät: Die erste verwaltete Rolle eignet sich gut für Privatbenutzer*innen, Benutzer*inn kleiner Unternehmen, allgemeine Entwickler*innen und Unternehmen, in denen Organisationen die Mindestsicherheitsvorkehrungen erhöhen möchten. Dieses Profil ermöglicht Benutzern das Ausführen beliebiger Anwendungen und das Durchsuchen beliebiger Websites. Es ist jedoch eine Anti-Malware- und Endpunkterkennungs- und -antwortlösung (Endpoint Detection and Response, EDR) wie Microsoft Defender für Endpoint erforderlich. Es wird ein richtlinienbasierter Ansatz zum Erhöhen des Sicherheitsstatus verfolgt. Sie bietet eine sichere Möglichkeit für das Arbeiten mit Kundendaten und die gleichzeitige Nutzung von Produktivitätstools wie E-Mail und Webbrowsing. Sie können Überwachungsrichtlinien und Intune verwenden, um eine erweiterte Arbeitsstation auf Benutzerverhalten und Profilnutzung zu überwachen.
Das Unternehmenssicherheitsprofil im Leitfaden zur Bereitstellung mit privilegiertem Zugriff verwendet JSON-Dateien, um diese mit Windows 10 und den bereitgestellten JSON-Dateien zu konfigurieren.
- Spezialisiertes Gerät: Dies stellt einen erheblichen Schritt gegenüber der Nutzung im Unternehmen dar. Es wird die Möglichkeit der selbstverwalteten Arbeitsstation entfernt und die Ausführung der Anwendungen auf die Anwendungen beschränkt, die von einem autorisierten Administrator installiert wurden (in den Programmdateien und vorab genehmigten Anwendungen am Speicherort des Benutzerprofils). Das Entfernen der Möglichkeit, Anwendungen zu installieren, kann sich auf die Produktivität auswirken, wenn sie falsch implementiert wird. Stellen Sie daher sicher, dass Sie Zugriff auf Microsoft Store-Anwendungen oder von Unternehmen verwaltete Anwendungen bieten, die schnell installiert werden können, um die Anforderungen der Benutzer zu erfüllen. Anleitungen dazu, welche Benutzer mit Geräten auf spezialisierter Ebene konfiguriert werden sollen, finden Sie unter Sicherheitsstufen für privilegierten Zugriff.
- Der spezialisierte Sicherheitsbenutzer verlangt eine kontrolliertere Umgebung, während er gleichzeitig in der Lage ist, Aktivitäten wie E-Mail und Web-Browsing in einer einfach zu bedienenden Umgebung durchzuführen. Diese Benutzer erwarten, dass Features wie Cookies, Favoriten und andere Tastenkombinationen funktionieren, benötigen jedoch nicht die Möglichkeit, ihr Gerätebetriebssystem zu ändern oder zu debuggen, Treiber zu installieren oder ähnliches.
Das spezialisierte Sicherheitsprofil im Leitfaden zur Bereitstellung mit privilegiertem Zugriff verwendet JSON-Dateien, um dies mit Windows 10 und den bereitgestellten JSON-Dateien zu konfigurieren.
- Privileged Access Workstation (PAW) – Dies ist die höchste Sicherheitskonfiguration, die für extrem sensible Rollen entwickelt wurde, die erhebliche oder materielle Auswirkungen auf die Organisation haben würden, wenn ihr Konto kompromittiert würde. Die PAW-Konfiguration umfasst Sicherheitskontrollen und -richtlinien, die den lokalen Administratorzugriff und Produktivitätstools einschränken, um die Angriffsfläche auf das zu minimieren, was für die Ausführung sensibler Aufgaben unbedingt erforderlich ist.
Dies erschwert Angreifern die Kompromittierung des PAW-Geräts, da es den häufigsten Vektor für Phishingangriffe blockiert: E-Mail und Webbrowser.
Um diesen Benutzern Produktivität zu bieten, müssen separate Konten und Arbeitsstationen für Produktivitätsanwendungen und Webbrowser bereitgestellt werden. Dies ist zwar umständlich, aber zugleich eine notwendige Kontrollmaßnahme, um Benutzer zu schützen, deren Konto den meisten oder allen Ressourcen in dem Unternehmen Schaden zufügen könnte.
- Eine privilegierte Workstation stellt eine abgesicherte Workstation dar, die über eine klare Anwendungskontrolle und einen Anwendungsschutz verfügt. Die Workstation verwendet Credential Guard, Device Guard und Exploit Guard, um den Host vor bösartigem Verhalten zu schützen. Alle lokalen Datenträger werden mit BitLocker verschlüsselt, und der Webdatenverkehr ist auf einen Grenzwert von zulässigen Zielen (Alle verweigern) beschränkt.
Das spezialisierte Sicherheitsprofil im Leitfaden zur Bereitstellung mit privilegiertem Zugriff verwendet JSON-Dateien, um dies mit Windows 10 und den bereitgestellten JSON-Dateien zu konfigurieren.
Nächste Schritte
Bereitstellen einer sicheren, von Azure verwalteten Arbeitsstation