Schützen von Geräten als Teil der Geschichte mit privilegiertem Zugriff
Dieser Leitfaden ist Teil einer vollständigen Privilegierten Zugriffsstrategie und wird als Teil der Bereitstellung mit privilegiertem Zugriff implementiert.
End-to-End Zero Trust-Sicherheit für privilegierten Zugriff erfordert eine starke Grundlage der Gerätesicherheit, auf der andere Sicherheitsüberprüfungen für die Sitzung erstellt werden können. Während die Sicherheitsüberprüfungen in der Sitzung verbessert werden können, werden sie immer dadurch eingeschränkt, wie stark die Sicherheitsüberprüfungen auf dem ursprünglichen Gerät sind. Ein Angreifer, der die Kontrolle über dieses Gerät hat, kann die Identität von Benutzern annehmen oder seine Anmeldeinformationen für zukünftige Identitätswechsel stehlen. Dieses Risiko untergräbt andere Zusicherungen auf dem Konto, Vermittler wie Sprungserver und die Ressourcen selbst. Weitere Informationen finden Sie unter Clean Source-Prinzip
Der Artikel enthält eine Übersicht über Sicherheitskontrollen, um eine sichere Arbeitsstation für vertrauliche Benutzer während des gesamten Lebenszyklus bereitzustellen.
Diese Lösung basiert auf den wichtigsten Sicherheitsfunktionen im Windows 10 Betriebssystem, Microsoft Defender für Endpunkt, Azure Active Directory und Microsoft InTune.
Wer Vorteile einer sicheren Arbeitsstation?
Alle Benutzer und Betreiber profitieren von der Verwendung einer sicheren Arbeitsstation. Ein Angreifer, der einen PC oder ein Gerät kompromittiert, kann die Identität annehmen oder Anmeldeinformationen/Token für alle Konten stehlen, die ihn verwenden, wodurch viele oder alle anderen Sicherheitsgarantien untergraben werden. Für Administratoren oder vertrauliche Konten ermöglicht dies Angreifern, Berechtigungen zu eskalieren und den Zugriff zu erhöhen, den sie in Ihrer Organisation haben, häufig erheblich auf Domänen-, globale oder Unternehmensadministratorrechte.
Ausführliche Informationen zu Sicherheitsstufen und zu welchen Benutzern welcher Ebene zugewiesen werden soll, finden Sie unter Sicherheitsstufen für privilegierten Zugriff
Gerätesicherheitskontrollen
Die erfolgreiche Bereitstellung einer sicheren Arbeitsstation erfordert, dass sie Teil eines End-to-End-Ansatzes ist, einschließlich Geräten, Konten, Vermittlern und Sicherheitsrichtlinien, die auf Ihre Anwendungsschnittstellen angewendet werden. Alle Elemente des Stapels müssen für eine vollständige Sicherheitsstrategie für privilegierten Zugriff adressiert werden.
In dieser Tabelle sind die Sicherheitskontrollen für verschiedene Geräteebenen zusammengefasst:
| Profil | Enterprise | Spezialisiert | Privilegierten |
|---|---|---|---|
| Microsoft Endpoint Manager (MEM) verwaltet | Ja | Ja | Ja |
| Byod-Geräteregistrierung verweigern | Nein | Ja | Ja |
| Angewendete MEM-Sicherheitsbaseline | Ja | Ja | Ja |
| Microsoft Defender für Endpunkt | Ja* | Ja | Ja |
| Teilnehmen am persönlichen Gerät über Autopilot | Ja* | Ja* | Nein |
| AUF genehmigte Liste beschränkte URLs | Die meisten zulassen | Die meisten zulassen | Standard verweigern |
| Entfernen von Administratorrechten | Ja | Ja | |
| Anwendungsausführungssteuerelement (AppLocker) | Überwachung –> erzwungen | Ja | |
| Nur von MEM installierte Anwendungen | Ja | Ja |
Hinweis
Die Lösung kann mit neuer Hardware, vorhandener Hardware und byOD-Szenarien (Eigene Geräte) bereitgestellt werden.
Auf allen Ebenen wird eine gute Sicherheitswartungshygiene für Sicherheitsupdates durch Intune Richtlinien erzwungen. Die Unterschiede bei der Sicherheit bei steigender Gerätesicherheit konzentrieren sich auf die Verringerung der Angriffsfläche, die ein Angreifer ausnutzen kann (und gleichzeitig so viel Benutzerproduktivität wie möglich beibehalten). Enterprise- und Spezialgeräte ermöglichen Produktivitätsanwendungen und allgemeines Surfen im Web, arbeitsstationen mit privilegiertem Zugriff jedoch nicht. Enterprise Benutzer können ihre eigenen Anwendungen installieren, aber spezialisierte Benutzer sind möglicherweise nicht (und sind keine lokalen Administratoren ihrer Arbeitsstationen).
Hinweis
Webbrowsen bezieht sich hier auf den allgemeinen Zugriff auf beliebige Websites, die eine Aktivität mit hohem Risiko darstellen können. Ein solches Browsen unterscheidet sich deutlich von der Verwendung eines Webbrowsers für den Zugriff auf eine kleine Anzahl bekannter administrativer Websites für Dienste wie Azure, Microsoft 365, andere Cloudanbieter und SaaS-Anwendungen.
Hardwarestamm der Vertrauensstellung
Wichtig für eine gesicherte Arbeitsstation ist eine Supply Chain-Lösung, bei der Sie eine vertrauenswürdige Arbeitsstation verwenden, die als "Stamm der Vertrauensstellung" bezeichnet wird. Technologie, die bei der Auswahl der Stammhardware berücksichtigt werden muss, sollte die folgenden Technologien enthalten, die in modernen Laptops enthalten sind:
- Trusted Platform Module (TPM) 2.0
- BitLocker-Laufwerkverschlüsselung
- Sicherer UEFI-Start
- Treiber und Firmware, verteilt über Windows Update
- Virtualisierung und HVCI aktiviert
- Treiber und Apps HVCI-ready
- Windows Hello
- DMA-E/A-Schutz
- System Guard
- Moderner Standbymodus
Für diese Lösung wird root of trust mit Windows Autopilot-Technologie mit Hardware bereitgestellt, die den modernen technischen Anforderungen entspricht. Um eine Arbeitsstation zu sichern, können Sie mit Autopilot von Microsoft OEM optimierte Windows 10-Geräte nutzen. Diese Geräte befinden sich im bekannten guten Zustand des Herstellers. Anstatt ein potenziell unsicheres Gerät neu zu erstellen, kann Autopilot ein Windows 10 Gerät in einen "betriebsbereiten" Zustand umwandeln. Es wendet Einstellungen und Richtlinien an, installiert Apps und ändert sogar die Edition von Windows 10.
Geräterollen und -profile
In diesem Leitfaden wird gezeigt, wie Sie Windows 10 härtungen und die Risiken verringern, die mit der Kompromittierung von Geräten oder Benutzern verbunden sind. Um die Vorteile der modernen Hardwaretechnologie und des Root of Trust-Geräts zu nutzen, verwendet die Lösung den Geräteintegritätsnachweis. Diese Funktion ist vorhanden, um sicherzustellen, dass die Angreifer während des frühen Starts eines Geräts nicht dauerhaft sein können. Dazu werden Richtlinien und Technologien zum Verwalten von Sicherheitsfeatures und -risiken verwendet.
- Enterprise Gerät – Die erste verwaltete Rolle eignet sich gut für private Benutzer, kleine Unternehmen, allgemeine Entwickler und Unternehmen, in denen Organisationen die Mindestsicherheitsgrenze erhöhen möchten. Dieses Profil ermöglicht benutzern das Ausführen von Anwendungen und das Durchsuchen einer website, aber eine Antischadsoftware und EDR (EDR) Lösung wie Microsoft Defender für Endpunkt erforderlich ist. Es wird ein richtlinienbasierter Ansatz zur Erhöhung des Sicherheitsstatus verfolgt. Es bietet eine sichere Möglichkeit, mit Kundendaten zu arbeiten und gleichzeitig Produktivitätstools wie E-Mail und Webbrowsen zu verwenden. Überwachungsrichtlinien und Intune ermöglichen es Ihnen, eine Enterprise Arbeitsstation auf Benutzerverhalten und Profilnutzung zu überwachen.
Das Unternehmenssicherheitsprofil in der Bereitstellungsanleitung für privilegierten Zugriff verwendet JSON-Dateien, um dies mit Windows 10 und den bereitgestellten JSON-Dateien zu konfigurieren.
- Spezialisiertes Gerät – Dies stellt einen erheblichen Schritt gegenüber der Unternehmensnutzung dar, indem die Möglichkeit zur selbstverwaltenden Verwaltung der Arbeitsstation entfernt und beschränkt wird, welche Anwendungen nur auf die Anwendungen ausgeführt werden können, die von einem autorisierten Administrator installiert wurden (in den Programmdateien und vorab genehmigten Anwendungen am Benutzerprofilspeicherort). Wenn Sie die Möglichkeit zum Installieren von Anwendungen entfernen, kann sich dies auf die Produktivität auswirken, wenn sie falsch implementiert wurde. Stellen Sie daher sicher, dass Sie Zugriff auf Microsoft Store-Anwendungen oder vom Unternehmen verwaltete Anwendungen bereitgestellt haben, die schnell installiert werden können, um die Anforderungen der Benutzer zu erfüllen. Anleitungen dazu, welche Benutzer mit Geräten auf spezialisierter Ebene konfiguriert werden sollten, finden Sie unter Sicherheitsstufen für privilegierten Zugriff.
- Der spezialisierte Sicherheitsbenutzer erfordert eine kontrolliertere Umgebung, während er dennoch Aktivitäten wie E-Mail und Webbrowsen in einer einfach zu verwendenden Umgebung ausführen kann. Diese Benutzer erwarten, dass Features wie Cookies, Favoriten und andere Tastenkombinationen funktionieren, erfordern jedoch nicht die Möglichkeit, ihr Gerätebetriebssystem zu ändern oder zu debuggen, Treiber zu installieren oder ähnliches.
Das spezielle Sicherheitsprofil in der Bereitstellungsanleitung für privilegierten Zugriff verwendet JSON-Dateien, um dies mit Windows 10 und den bereitgestellten JSON-Dateien zu konfigurieren.
- Privileged Access Workstation (PAW) – Dies ist die höchste Sicherheitskonfiguration, die für extrem sensible Rollen entwickelt wurde, die erhebliche oder wesentliche Auswirkungen auf die Organisation haben würden, wenn ihr Konto kompromittiert würde. Die PAW-Konfiguration umfasst Sicherheitskontrollen und Richtlinien, die den lokalen Administratorzugriff und Produktivitätstools einschränken, um die Angriffsfläche auf das zu minimieren, was für die Ausführung vertraulicher Aufgaben unbedingt erforderlich ist.
Dies macht das PAW-Gerät für Angreifer schwierig zu kompromittieren, da es den häufigsten Vektor für Phishingangriffe blockiert: E-Mail und Webbrowsen.
Um diesen Benutzern Produktivität zu bieten, müssen separate Konten und Arbeitsstationen für Produktivitätsanwendungen und Webbrowsen bereitgestellt werden. Obwohl dies unbequem ist, ist dies ein notwendiges Steuerelement, um Benutzer zu schützen, deren Konto den meisten oder allen Ressourcen in der Organisation Schaden zufügen könnte.
- Eine privilegierte Arbeitsstation bietet eine gehärtete Arbeitsstation mit klarer Anwendungssteuerung und Anwendungsschutz. Die Arbeitsstation verwendet Credential Guard, Device Guard, App Guard und Exploit Guard, um den Host vor böswilligem Verhalten zu schützen. Alle lokalen Datenträger werden mit BitLocker verschlüsselt, und der Webdatenverkehr ist auf einen Grenzwert für zulässige Ziele beschränkt (alle verweigern).
Das privilegierte Sicherheitsprofil in der Bereitstellungsanleitung für privilegierten Zugriff verwendet JSON-Dateien, um dies mit Windows 10 und den bereitgestellten JSON-Dateien zu konfigurieren.
Nächste Schritte
Stellen Sie eine sichere, von Azure verwaltete Arbeitsstation bereit.