Share via


Eszközök védelme a kiemelt hozzáférési történet részeként

Ez az útmutató egy teljes jogosultsági szintű hozzáférési stratégia része, és a Privileged access üzembe helyezésének részeként implementálva van

A kiemelt hozzáférés teljes körű megbízhatósági biztonsága megköveteli az eszközbiztonság erős alapját, amely alapján további biztonsági garanciákat hozhat létre a munkamenethez. Bár a biztonsági biztosítékok fokozhatók a munkamenet során, azokat mindig korlátozni fogja, hogy milyen erősek a biztonsági garanciák az eredeti eszközben. Az eszköz irányításával rendelkező támadók megszemélyesíthetik a felhasználókat, vagy ellophatják a hitelesítő adataikat a későbbi megszemélyesítéshez. Ez a kockázat aláássa a fiókra, a közvetítőkre, például a jump-kiszolgálókra és magukra az erőforrásokra vonatkozó egyéb biztosítékokat. További információ: tiszta forrás elve

A cikk áttekintést nyújt a biztonsági vezérlőkről, amelyek biztonságos munkaállomást biztosítanak a bizalmas felhasználók számára az életciklusuk során.

Workflow to acquire and deploy a secure workstation

Ez a megoldás a Windows 10 operációs rendszer, a Végponthoz készült Microsoft Defender, a Microsoft Entra ID és a Microsoft InTune alapvető biztonsági képességeire támaszkodik.

Ki élvezi a biztonságos munkaállomás előnyeit?

Minden felhasználó és operátor számára előnyös a biztonságos munkaállomás használata. Azok a támadók, akik feltörnek egy számítógépet vagy eszközt, megszemélyesíthetik vagy ellophatják a hitelesítő adatokat/jogkivonatokat az azt használó összes fiókhoz, ezzel aláásva számos vagy minden más biztonsági biztosítékot. Rendszergazdák vagy bizalmas fiókok esetén ez lehetővé teszi a támadók számára, hogy eszkalálják a jogosultságokat, és növeljék a szervezeten belüli hozzáférését, gyakran drámai módon a tartományi, globális vagy vállalati rendszergazdai jogosultságokhoz.

A biztonsági szintekről és a felhasználók melyik szinthez való hozzárendeléséről további információt a Kiemelt hozzáférés biztonsági szintjei című témakörben talál .

Eszközbiztonsági vezérlők

A biztonságos munkaállomás sikeres üzembe helyezéséhez hozzá kell tartoznia egy végpontok közötti megközelítésnek, beleértve az alkalmazásfelületekre alkalmazott eszközöket, fiókokat, közvetítőket és biztonsági szabályzatokat. A verem minden elemével foglalkozni kell egy teljes jogosultsági szintű hozzáférési biztonsági stratégiához.

Ez a táblázat a különböző eszközszintek biztonsági vezérlőit foglalja össze:

Profil Vállalat Specializált Rendszerjogosultságú
Felügyelt Microsoft Endpoint Manager (MEM) Igen Igen Igen
BYOD-eszközregisztráció megtagadása Nem Igen Igen
MEM biztonsági alapkonfiguráció alkalmazása Igen Igen Igen
Microsoft Defender végponthoz Igen* Igen Igen
Személyes eszköz csatlakoztatása az Autopiloton keresztül Igen* Igen* Nem
Jóváhagyott listára korlátozott URL-címek A legtöbb engedélyezése A legtöbb engedélyezése Alapértelmezett megtagadás
Rendszergazdai jogosultságok eltávolítása Igen Igen
Alkalmazásvégrehajtás-vezérlés (AppLocker) Naplózás –> Kényszerítve Igen
Csak a MEM által telepített alkalmazások Igen Igen

Feljegyzés

A megoldás üzembe helyezhető új hardverrel, meglévő hardverrel, és saját eszköz (BYOD) forgatókönyvekkel is üzembe helyezhető.

A biztonsági frissítések megfelelő biztonsági karbantartási higiéniát minden szinten az Intune-szabályzatok érvényesítik. Az eszköz biztonsági szintjének növekedésével kapcsolatos biztonsági különbségek a támadó által kihasználni kívánt támadási felület csökkentésére összpontosítanak (a lehető legnagyobb felhasználói hatékonyság megőrzése mellett). A nagyvállalati és speciális szintű eszközök lehetővé teszik a hatékonyságnövelő alkalmazásokat és az általános webböngészést, a kiemelt hozzáférésű munkaállomások azonban nem. A vállalati felhasználók saját alkalmazásokat telepíthetnek, de a speciális felhasználók nem (és nem helyi rendszergazdák a munkaállomásaikon).

Feljegyzés

A webböngészés itt az tetszőleges webhelyekhez való általános hozzáférést jelenti, ami nagy kockázatú tevékenység lehet. Az ilyen böngészés teljesen más, mint a webböngésző használata, amely néhány jól ismert felügyeleti webhelyet biztosít olyan szolgáltatásokhoz, mint az Azure, a Microsoft 365, a többi felhőszolgáltató és az SaaS-alkalmazások.

A megbízhatóság hardveres gyökere

A biztonságos munkaállomások alapvető fontosságúak egy ellátási lánc megoldásában, ahol egy megbízható munkaállomást, az úgynevezett "megbízhatóság gyökerét" használjuk. A megbízhatósági hardver gyökerének kiválasztásánál figyelembe kell venni a modern laptopok következő technológiáit:

Ebben a megoldásban a megbízhatóság gyökere a Windows Autopilot technológiával lesz üzembe helyezve a modern technikai követelményeknek megfelelő hardverrel. A munkaállomások védelme érdekében az Autopilot lehetővé teszi a Microsoft OEM által optimalizált Windows 10-eszközök használatát. Ezek az eszközök ismert jó állapotban vannak a gyártótól. A potenciálisan nem biztonságos eszközök újraimálása helyett az Autopilot "üzleti használatra kész" állapotba alakíthatja a Windows 10-eszközöket. Beállításokat és szabályzatokat alkalmaz, alkalmazásokat telepít, és még a Windows 10 kiadását is módosítja.

Secure workstation Levels

Eszközszerepkörök és -profilok

Ez az útmutató bemutatja, hogyan edzheti meg a Windows 10-et, és hogyan csökkentheti az eszközök vagy a felhasználók sérülésével járó kockázatokat. A modern hardvertechnológia és a megbízhatósági eszköz gyökerének kihasználásához a megoldás eszközállapot-igazolást használ. Ez a képesség biztosítja, hogy a támadók ne legyenek állandók az eszköz korai indításakor. Ezt úgy teszi, hogy szabályzatot és technológiát használ a biztonsági funkciók és kockázatok kezeléséhez.

Secure workstation profiles

  • Nagyvállalati eszköz – Az első felügyelt szerepkör az otthoni felhasználók, a kisvállalati felhasználók, az általános fejlesztők és a vállalatok számára jó, ahol a szervezetek a minimális biztonsági sávot szeretnék emelni. Ez a profil lehetővé teszi, hogy a felhasználók bármilyen alkalmazást futtatjanak, és böngészhessenek bármilyen webhelyen, de kártevőirtó és végponti észlelés és reagálás (Végponti észlelés és reagálás) megoldásra van szükség, például Végponthoz készült Microsoft Defender. A biztonsági helyzet növeléséhez szabályzatalapú megközelítést alkalmazunk. Biztonságos eszközt biztosít az ügyféladatok kezeléséhez, miközben olyan hatékonyságnövelő eszközöket is használ, mint az e-mailek és a webböngészés. A naplózási szabályzatok és az Intune lehetővé teszi egy vállalati munkaállomás monitorozását a felhasználói viselkedés és a profilhasználat szempontjából.

A jogosultsági hozzáférési telepítési útmutató vállalati biztonsági profilja JSON-fájlokkal konfigurálja ezt a Windows 10-zel és a megadott JSON-fájlokkal.

  • Specializált eszköz – Ez jelentős lépést jelent a vállalati használatból azáltal, hogy megszünteti a munkaállomás önadminisztrációjának lehetőségét, és korlátozza, hogy mely alkalmazások futhatnak csak az arra jogosult rendszergazda által telepített alkalmazásokra (a programfájlokban és az előre jóváhagyott alkalmazásokban a felhasználói profil helyén). Az alkalmazások telepítésének megszüntetése hatással lehet a termelékenységre, ha helytelenül implementálják, ezért győződjön meg arról, hogy hozzáférést biztosított a Microsoft Store-alkalmazásokhoz vagy a vállalati felügyelt alkalmazásokhoz, amelyek gyorsan telepíthetők a felhasználók igényeinek megfelelően. A speciális szintű eszközökkel konfigurálandó felhasználókkal kapcsolatos útmutatásért lásd : Privileged access security levels
    • A specializált biztonsági felhasználó szabályozottabb környezetet igényel, miközben továbbra is képes az olyan tevékenységekre, mint az e-mailek és a webböngészés, egy egyszerűen használható felületen. Ezek a felhasználók olyan funkciókat várnak el, mint a cookie-k, a kedvencek és más billentyűparancsok, de nem igénylik az eszköz operációs rendszerének módosítását vagy hibakeresését, illesztőprogramok telepítését vagy hasonlókat.

A jogosultsági hozzáférési telepítési útmutató speciális biztonsági profilja JSON-fájlokkal konfigurálja ezt a Windows 10-zel és a megadott JSON-fájlokkal.

  • Privileged Access Workstation (PAW) – Ez a legmagasabb biztonsági konfiguráció, amelyet rendkívül érzékeny szerepkörökhöz terveztek, amelyek jelentős vagy jelentős hatással lennének a szervezetre, ha a fiókjuk sérülne. A PAW-konfiguráció olyan biztonsági vezérlőket és szabályzatokat tartalmaz, amelyek korlátozzák a helyi rendszergazdai hozzáférést és a hatékonyságnövelő eszközöket, hogy a támadási felület csak a bizalmas feladatok elvégzéséhez feltétlenül szükséges legyen. Ez megnehezíti a PAW-eszköz feltörését a támadók számára, mivel blokkolja az adathalász támadások leggyakoribb vektorát: az e-maileket és a webes böngészést. Ahhoz, hogy ezek a felhasználók termelékenységet biztosítsanak, külön fiókokat és munkaállomásokat kell biztosítani a hatékonyságnövelő alkalmazásokhoz és a webes böngészéshez. Bár ez kényelmetlen, ez egy szükséges ellenőrzés a felhasználók védelméhez, akiknek a fiókja kárt okozhat a szervezet legtöbb vagy összes erőforrásában.
    • A privileged munkaállomások olyan edzett munkaállomást biztosítanak, amely egyértelmű alkalmazásvezérléssel és alkalmazásőrrel rendelkezik. A munkaállomás hitelesítőadat-védőt, eszközőrt, alkalmazásőrt és biztonsági őrt használ, hogy megvédje a gazdagépet a rosszindulatú viselkedéstől. Minden helyi lemez titkosítva van a BitLockerrel, és a webes forgalom korlátozott számú engedélyezett célhelyre korlátozódik (az összes megtagadása).

A jogosultsági hozzáférési telepítési útmutató kiemelt biztonsági profilja JSON-fájlokkal konfigurálja ezt a Windows 10-zel és a megadott JSON-fájlokkal.

Következő lépések

Biztonságos Azure-beli felügyelt munkaállomás üzembe helyezése.