2. fázis: Emelt szintű munkaállomások konfigurálása és biztonságossá tétele

Ez a cikk a Kiemelt hozzáférésű architektúra megoldási útmutatójának része.

A kiemelt hozzáférés kritikus biztonsági kockázatot jelent a legtöbb szervezetben, mivel lehetővé teszi az identitásrendszerek, a felhővezérlő síkok és az üzleti szempontból kritikus fontosságú objektumok közvetlen vezérlését.

Megtudhatja, hogyan játszik kritikus szerepet a biztonságos emelt szintű hozzáférési architektúra az üzleti forgatókönyvben – a kritikus üzleti eszközök védelme – azáltal, hogy csökkenti ezt a kockázatot, és erősíti a bizalmas rendszerek feletti ellenőrzést.

Ez a cikk a megoldás 2. fázisát ismerteti. Üzembe helyezi és megkeményíti a Privileged Access-munkaállomásokat (PAW-ket), így a kiemelt tevékenységek csak megbízható eszközökről származnak. Az 1. fázisra épül, és létrehozza a 3. fázisban a végrehajtáshoz használt eszközmegbízhatósági jeleket (Intune-megfelelőség és Végponthoz készült Microsoft Defender kockázat).

Védelmi célok

A 2. fázis biztosítja a kiemelt hozzáférést:

  • Csak megbízható, megerősített biztonságú eszközökről származik.
  • Elkülönítve van a magas kockázatú termelékenységi tevékenységektől.
  • Tiszta, megbízható eszközjelet hoz létre a későbbi kényszerítéshez.
  • Csökkenti a hitelesítő adatok ellopását, a tokenek visszajátszását és a munkamenet-eltérítés kockázatát.
  • Korlátozza a robbanási sugarat, ha egy eszköz megsérül.

Védelmi hatókör

A kiemelt hozzáférés csak olyan megbízható, mint az eszköz, ahonnan származik. Az identitásvédelem – például az MFA, a jóváhagyások és a szerepkör aktiválása – nem tudja kompenzálni a sérült munkaállomásokat. Ha egy támadó szabályozza a kiemelt hozzáféréshez használt eszközt, a következő lehetőségek közül választhat:

  • Hitelesítési jogkivonatok ellopása az MFA befejezése után.
  • Rosszindulatú folyamatok injektálása felügyeleti munkamenetekbe.
  • Hitelesítő adatok vagy jogkivonatok visszajátszása a memóriából.
  • A jóváhagyási munkafolyamatok megkerülése a jogszerű felhasználóként való működéssel.

A kiemelt szerepkörök esetében egyetlen feltört munkaállomás gyors eszkalációt tehet lehetővé a bérlői vagy nagyvállalati szintű vezérlésre. Ennek eredményeképpen az eszközbiztonság határozza meg a jogosultsági hozzáférés megbízhatóságának felső határát. A kiemelt hozzáférési szabályzatok ezért feltételezik, hogy a felügyeleti munkamenetek olyan eszközökről származnak, amelyek megfelelnek a legmagasabb biztonsági sávnak. Ezek az eszközök alkotják a kiemelt műveletek megbízhatósági határát.

Emelt szintű hozzáférési munkaállomások (PAW-k)

A PAW egy kizárólag kiemelt feladatokhoz tervezett, edzett, felügyelt Windows munkaállomás. A PAW-k meghatározzák az eszköz megbízhatósági határát a kiemelt hozzáféréshez, és elkülönítve vannak a gyakori támadási vektoroktól.

  • Elkülönítve vannak az e-mailektől, az általános webböngészéstől és a termelékenységi számítási feladatoktól.
  • A Microsoft Intune-on keresztül vannak regisztrálva és kezelve.
  • Az identitásintegrációhoz használja a Microsoft Entra ID.
  • A Végponthoz készült Microsoft Defender által figyelve.
  • Erős hardveralapú megbízhatósági gyökerének biztosítása.

Íme, hogyan illeszkednek a PAW-k a biztonsági szint/profil szerinti besorolásba.

Biztonsági szint Eszközprofil
Vállalati felhasználók Standard felügyelt eszköz
Speciális operátorok Megerősített felügyelt eszköz
Kiemelt jogosultságú (a vezérlősík rendszergazdái) PAW

A kockázatok mérséklése

Risk Miért fontos? 1. fázisú kockázatcsökkentés
A támadó hitelesítési tokeneket lop a többtényezős hitelesítést követően Az MFA a hitelesítést védi, nem a végrehajtási környezetet. Ha egy munkaállomás biztonsága sérül, a támadók ellophatják a jogkivonatokat a hitelesítés után, és újra felhasználhatják őket a kiemelt felhasználók megszemélyesítéséhez. A PAW-ok elkülönítik az emelt jogosultságú munkavégzést a megerősített, csökkentett támadási felülettel, hitelesítőadat-védelemmel (Credential Guard) és folyamatos felügyelettel ellátott eszközökre, megakadályozva a tokenek ellopását a kompromittált felhasználói eszközökről.
Rosszindulatú folyamatinjektálás felügyeleti munkamenetekbe A támadók kódokat injektálhatnak a rendszergazdai eszközökbe vagy a böngésző munkameneteibe a feltört eszközökön, így az identitások védelme esetén is szabályozhatják a kiemelt műveleteket. Az alkalmazásvezérlés, a helyi rendszergazdai jogosultságok eltávolítása és a korlátozott alkalmazásvégrehajtás a paW-kon megakadályozza a kód jogosulatlan végrehajtását a felügyeleti munkamenetek során.
Hitelesítő adatok visszajátszása a memóriából A támadók hitelesítő adatokat vagy jogkivonatokat nyerhetnek ki a memóriából a feltört munkaállomásokon, és visszajátszhatják őket a jogosultságok eszkalálása vagy oldalirányú mozgás eszkalálása érdekében. A PAW-k virtualizációalapú biztonság és megerősödött operációsrendszer-konfigurációk használatával kényszerítik a hitelesítő adatok elkülönítését, csökkentve a hitelesítő adatok memóriabeli kitettségét, és korlátozzák a visszajátszási lehetőségeket.
A feltört eszközökről megkerült jóváhagyási munkafolyamatok A munkaállomást vezérlő támadók még jóváhagyásalapú szerepkör-aktiválással is eltéríthetik a jóváhagyott munkameneteket, és gyorsan eszkalálhatják a jogosultságokat. Az eszközmegbízhatóság a kiemelt munka előfeltétele lesz. A PAW-k biztosítják, hogy a jóváhagyások és a felügyeleti műveletek csak a biztonsági rések ellen tervezett eszközökről történjenek.
Gyors jogosultságkiterjesztés kompromittált munkaállomásról Egyetlen feltört rendszergazdai munkaállomás lehetővé teszi a támadók számára, hogy gyorsan kimutatást tudjanak készíteni az identitásrendszerekre, a vezérlősíkokra és a nagyvállalati szintű felügyeletre. Az eszközbiztonság a megbízhatóság felső határát állítja be. A PAW-k a legmagasabb biztonsági sávot biztosítják, így csökken annak a valószínűsége, hogy a feltört végpontok emelt szintű szerepkörökké eszkalálhatók.

Fáziseredmények

A 2. fázis befejezése után:

  • Egy vagy több dedikált PAW-eszköz van beállítva.
  • A privilegizált adminisztrátori tevékenység kizárólag PAW-okról végezhető.
  • A PAW-k elkülönítve vannak a termelékenységi használattól.
  • Az eszközök központilag felügyelhetők, monitorozhatók és helyreállíthatók.
  • Az eszközmegbízhatósági feltételezések explicitek és kikényszeríthetők.
  • A későbbi fázisok biztonságosan alkalmazhatják a feltételes hozzáférést és a monitorozást.

Prerequisites

A cikkben szereplő eljárások konfigurálása előtt:

  • Győződjön meg arról, hogy az 1. fázis utasításai befejeződnek.
  • Ismerje meg az eszközbiztonságot a kiemelt hozzáférési történetben.
  • A következő szolgáltatásoknak kell rendelkezésre állniuk:
    • Microsoft Entra ID identitásszolgáltatóként.
    • Microsoft Intune eszközfelügyelethez.
    • Végponthoz készült Microsoft Defender veszélyforrások elleni védelemhez.
  • Rendszergazdaként legalább egy támogatott Windows eszközre van szüksége, modern Windows hardverrel, amely támogatja a következőket:
    • TPM 2.0
    • UEFI biztonságos rendszerindítás
    • BitLocker
    • Virtualizációalapú biztonság (VBS/HVCI)
    • A firmver és az illesztőprogramok frissítése a Windows Update-en keresztül történik.

Azokat az eszközöket, amelyek nem felelnek meg ennek a küszöbnek, nem szabad emelt szintű hozzáféréshez használni.

1. lépés: A PAW kiépítésének/életciklusának meghatározása

Határozza meg, mely eszközök számítanak emelt szintű hozzáférésű munkaállomásoknak (PAW-knak), hogyan hozzák létre, regisztrálják és felügyelik őket, valamint hogyan akadályozzák meg a használatukat, mielőtt használatra készek lennének.

PAW-eszközcsoport létrehozása

Ez a csoport PAW-eszközöket tartalmaz, és a következő célokra használható:

  • Regisztráció célzása
  • Profilok megkeményítése
  • Megfelelőség kiértékelése
  • Feltételes hozzáférés érvényesítése egy későbbi fázisban.

Hozza létre az alábbiak szerint:

  1. A Microsoft Entra Felügyeleti központban lépjen a Microsoft Entra ID>Groups>Új csoport elemre.

  2. Konfigurálja a csoportbeállításokat, majd válassza a Létrehozás lehetőséget.

    • Csoport típusa: Biztonság
    • Csoport neve: Biztonságos munkaállomási eszközök
    • Tagság típusa: Dinamikus eszközök

  3. Válassza a Dinamikus lekérdezés hozzáadása lehetőséget, és adjon hozzá egy szabályt a következő szintaxissal: device.devicePhysicalIds -any _ -contains "[OrderID]: PAW"

  4. Válassza a Mentés>Létrehozás elemet.

A PAW Autopilot-csoport címkével regisztrált eszközöket a PAW dinamikus eszközszabály azonosítja, és kiemelt hozzáférési munkaállomásként kezeli.

Annak szabályozása, hogy ki hozhat létre kiemelt hozzáférésű munkaállomásokat

Győződjön meg arról, hogy a PAW-k szándékosan és biztonságosan vannak regisztrálva.

  • Korlátozza, hogy kik csatlakozhatnak az eszközökhöz a Microsoft Entra ID.
  • MFA megkövetelése az eszközök csatlakoztatásához.
  • Távolítsa el az automatikus helyi rendszergazdai jogosultságokat a csatlakozáshoz.
  1. Az Entra Felügyeleti központban keresse meg az Eszközök>eszközbeállításokat.
  2. A Felhasználók csatlakoztathatnak eszközöket a Microsoft Entra ID-hoz>Kiválasztva beállításnál válassza a Secure Workstation Users lehetőséget.
  3. A Többtényezős hitelesítés megkövetelése az eszközökhöz való csatlakozáshoz válassza az Igen lehetőséget.
  4. A Microsoft Entra-hoz csatlakoztatott eszközök további helyi rendszergazdája beállításnál válassza a Nincs lehetőséget.
  5. Mentse el a beállításokat.

Ennek bevezetésével csak a PAW-felhasználók regisztrálhatnak PAW-okat, kötelező az MFA, és alapértelmezés szerint egyetlen PAW-felhasználó sem válik helyi adminisztrátorrá.

PAW-k kezelése az első rendszerindításkor

A PAW-kat már az első indítástól kezdve kezelni kell. A nem felügyelt eszközök nem megbízhatók a kiemelt hozzáféréshez.

  • Konfigurálja a Microsoft Entra ID-t az eszközök Intune-ba való automatikus regisztrálásához.
  • Győződjön meg arról, hogy az összes privilegizált hozzáférésű munkaállomás a csatlakoztatást követően azonnal MDM által felügyelt legyen.
  • Az eszközregisztráció korlátozása jóváhagyott platformokra.
  1. Nyissa meg a Microsoft Entra ID>Mobility (MDM and MAM)>Microsoft Intune.
  2. Állítsa az MDM felhasználói hatókörétaz Összes értékre, és mentse.
  3. Regisztrációs korlátozások konfigurálása:
    • Windows eszközregisztráció engedélyezése.
    • Személyes tulajdonú eszközök letiltása vagy korlátozása.

A PAW-k mindig felügyeltek, soha nem felügyeltek.

PAW-k következetes biztosítása

A Windows Autopilot használatával biztosíthatja az egységes, ismételhető PAW-üzembe helyezést, amely garantálja, hogy a PAW-k ismerten megfelelő állapotban induljanak.

Hozzon létre egy dedikált Autopilot-telepítési profilt, és rendelje hozzá a PAW-eszközcsoporthoz.

  1. A Microsoft Intune felügyeleti központban nyissa meg a Eszközök>Windows>Windows-regisztráció>Telepítési profilok.
  2. Válassza a Profil létrehozása lehetőséget, és hozzon létre egy profilt az alábbi beállításokkal:
    • Név: Biztonságos munkaállomás üzembehelyezési profilja
    • Az összes megcélzott eszköz átalakítása Autopilot-ra: Igen
    • Üzembe helyezési mód: Önálló üzembe helyezés
    • Felhasználói fiók típusa: Standard
  3. Válassza a Create gombot.

A PAW-k használatának megakadályozása a megkeményedés előtt

Akadályozza meg, hogy a PAW-kat használják, mielőtt teljesen megszilárdulnának. Ez megakadályozza a korai expozíciót a beállítás során.

  • Regisztrációs állapotlap konfigurálása (ESP)
  • Eszközhasználat letiltása az összes szükséges profil és alkalmazás telepítéséig
  • ESP hozzárendelése PAW-eszközökhöz

  1. A Microsoft Intune Felügyeleti központban nyissa meg a Devices>Windows>Windows regisztráció>Beléptetés állapota.

  2. Válassza a Profil létrehozása lehetőséget, és hozzon létre egy profilt az alábbi beállításokkal:

    • Alkalmazás- és profiltelepítési folyamat megjelenítése: Igen
    • Az eszköz használatának letiltása az összes alkalmazás és profil telepítéséig: Igen

  3. Rendelje a Biztonságos munkaállomási eszközök csoporthoz, és válassza a Létrehozás lehetőséget.

Folyamatban lévő életciklus-műveletek

  1. PAW-k helyreállítása és újraépítése:

    • A kompromittálódott PAW-k alaphelyzetbe állítása, illetve újraüzembe helyezése az Autopilot használatával.
    • A PAW-okat cserélendő egységként kezelje, ne kézzel javíthatóként.

  2. A PAW-k azonosításához és nyomon követéséhez használja a következőt:

    • Eszközcsoport-tagság
    • Autopilot-regisztráció

Ezen folyamatok végrehajtásával a PAW-k explicit módon azonosíthatók, központilag felügyelt eszközök, amelyek feltörése esetén leltározhatók, áttekinthetők és biztonságosan törölhetők és újra kiépíthetők az Autopiloton keresztül.

2. lépés: A PAW-k keményítése

Erősítse meg a kiemelt hozzáférésű munkaállomásokat (PAW-kat), hogy tiszta, alacsony kockázatú eszközjelzést biztosítsanak. A megkeményítési vezérlők közé tartozik a támadási felület csökkentése, a javítás kényszerítése, valamint Defender kockázati/megfelelőségi jelek létrehozása.

A feltételes hozzáférési és monitorozási vezérlők erre a helyzetre támaszkodva kényszerítik ki a kiemelt hozzáférési döntéseket.

Ezek a vezérlők feltételezik, hogy a PAW-k megfelelnek a korábban meghatározott szükséges hardverbiztonsági előfeltételeknek.

Windows Update gyűrűk konfigurálása

A PAW-okat gyorsan és kiszámíthatóan kell javítani. A késések vagy a felhasználó által vezérelt halasztások aláássák az eszköz megbízhatóságát.

  1. A Microsoft Intune Felügyeleti központban lépjen a Devices>Windows>Software-frissítések>Windows Update gyűrűk.

  2. Válassza a Profil létrehozása lehetőséget.

  3. Adja meg a következő beállításokat:

    • Név: PAW – Windows Update gyűrű
    • Minőségi frissítési halasztás (nap): 3
    • Funkciófrissítési halasztás (nap): 3
    • Automatikus frissítési viselkedés: Automatikus telepítés és újraindítás végfelhasználói vezérlés nélkül
    • A felhasználó ne tudja szüneteltetni a frissítéseket: Letiltás
    • A függőben lévő újraindítások határidejének beállítása: 3 nap

  4. A Hozzárendelések területen rendelje hozzá a biztonságos munkaállomás-eszközökhöz.

  5. Hozza létre a profilt.

Az eljárás befejezése után a PAW-k frissítettek maradnak, minimális kitettségi idővel, és a felhasználók nem kerülhetik meg ezt.

Bevezetés a Végponthoz készült Defenderbe

A feltételes hozzáférés és a megfelelőség Defender kockázati jelektől függ. A végpont Defender nélkül az eszköz megbízhatósága hiányos.

  1. A Microsoft Intune felügyeleti központjában navigáljon a következő helyre: Endpoint security>Végponthoz készült Microsoft Defender.
  2. Állítsa a(z) Végponthoz készült Microsoft Defender csatlakoztatása az Intune-hoz beállítást Be értékre.
  3. Válassza az Mentésgombot.
  4. Frissítsen az Intune-ban a kapcsolat megerősítéséhez.

Bevezetési profil létrehozása

  1. A Microsoft Intune felügyeleti központban lépjen a következő helyre: Endpoint security>Endpoint detection and response.

  2. Válassza a Profil létrehozása lehetőséget, és konfigurálja a következő beállításokat:

    • Platform: Windows 10 és újabb verziók
    • Profil típusa: Végpontészlelés és válasz
    • Név: PAW – Defender for Endpoint

  3. A konfigurációs beállításokban engedélyezze a mintamegosztást az összes fájlhoz.

  4. Hozzárendelés a Biztonságos munkaállomáseszközök csoporthoz .

  5. Hozza létre a profilt.

Az eljárás konfigurálása után a PAW-k eszközkockázatot, kártevőt és EDR-telemetriát bocsátanak ki, amelyet a feltételes hozzáférés és a SecOps használ.

Tűzfal- és hálózati korlátozások kényszerítése

A legtöbb PAW-kompromittálási útvonal kimenő. A kimenő forgalom korlátozása kritikus fontosságú.

  1. A Microsoft Intune felügyeleti központban nyissa meg a Endpoint security>Firewall elemet.
  2. Végpontvédelmi profil létrehozása.
  3. A kimenő tűzfalszabályokat úgy konfigurálhatja, hogy csak a szükséges szolgáltatásokat, például a DNS-t, a DHCP-t, az NTP-t és a jóváhagyott felügyeleti és felügyeleti végpontokat engedélyezze. Alapértelmezés szerint blokkolja a szükségtelen kimenő forgalmat.
  4. Hozzárendelés a következőhöz:Biztonságos munkaállomás-eszközök.

Az eljárás konfigurálása után az emelt hozzáférési szintű munkaállomások csak a felügyeleti feladatokhoz szükséges felügyeleti végpontokat érhetik el.

Következő lépések

Miután a PAW-okat konfigurálták és biztonságilag megerősítették, a következő lépés az emelt szintű hozzáférés kikényszerítése a Feltételes hozzáférés és a szabályzat használatával.

  • Last updated on