Mengamankan perangkat sebagai bagian dari kisah akses istimewa

Panduan ini adalah bagian dari strategi akses istimewa lengkap dan diimplementasikan sebagai bagian dari penyebaran akses istimewa

Keamanan tanpa kepercayaan menyeluruh untuk akses istimewa memerlukan fondasi keamanan perangkat yang kuat untuk membangun jaminan keamanan lainnya untuk sesi tersebut. Meskipun jaminan keamanan dapat ditingkatkan dalam sesi, mereka akan selalu dibatasi oleh seberapa kuat jaminan keamanan berada di perangkat asal. Penyerang dengan kontrol perangkat ini dapat meniru pengguna di atasnya atau mencuri kredensial mereka untuk peniruan di masa depan. Risiko ini merusak jaminan lain pada akun, perantara seperti jump server, dan pada sumber daya itu sendiri. Untuk informasi selengkapnya, lihat prinsip sumber bersih

Artikel ini memberikan gambaran umum kontrol keamanan untuk menyediakan stasiun kerja yang aman untuk pengguna sensitif sepanjang siklus hidupnya.

Workflow to acquire and deploy a secure workstation

Solusi ini bergantung pada kemampuan keamanan inti dalam sistem operasi Windows 10, Pertahanan Microsoft untuk Titik Akhir, Azure Active Directory, dan Microsoft InTune.

Siapa manfaat dari stasiun kerja yang aman?

Semua pengguna dan operator mendapat manfaat dari menggunakan stasiun kerja yang aman. Penyerang yang mengorbankan PC atau perangkat dapat meniru atau mencuri kredensial/token untuk semua akun yang menggunakannya, merusak banyak atau semua jaminan keamanan lainnya. Untuk administrator atau akun sensitif, ini memungkinkan penyerang untuk meningkatkan hak istimewa dan meningkatkan akses yang mereka miliki di organisasi Anda, sering kali secara dramatis ke hak istimewa administrator domain, global, atau perusahaan.

Untuk detail tentang tingkat keamanan dan pengguna mana yang harus ditetapkan ke tingkat mana, lihat Tingkat keamanan akses istimewa

Kontrol Keamanan Perangkat

Keberhasilan penyebaran stasiun kerja yang aman mengharuskannya menjadi bagian dari pendekatan ujung ke ujung termasuk perangkat, akun, perantara, dan kebijakan keamanan yang diterapkan ke antarmuka aplikasi Anda. Semua elemen tumpukan harus ditangani untuk strategi keamanan akses istimewa lengkap.

Tabel ini meringkas kontrol keamanan untuk tingkat perangkat yang berbeda:

Profil Perusahaan Khusus Istimewa
Microsoft Endpoint Manager (MEM) terkelola Ya Ya Ya
Menolak pendaftaran Perangkat BYOD Tidak Ya Ya
Garis besar keamanan MEM diterapkan Ya Ya Ya
Pertahanan Microsoft untuk Titik Akhir Ya* Ya Ya
Bergabung dengan perangkat pribadi melalui Autopilot Ya* Ya* Tidak
URL dibatasi untuk daftar yang disetujui Mengizinkan Sebagian Besar Mengizinkan Sebagian Besar Menolak Default
Penghapusan hak admin Ya Ya
Kontrol eksekusi aplikasi (AppLocker) Audit -> Diberlakukan Ya
Aplikasi yang hanya diinstal oleh MEM Ya Ya

Catatan

Solusinya dapat disebarkan dengan perangkat keras baru, perangkat keras yang ada, dan membawa skenario perangkat Anda sendiri (BYOD).

Di semua tingkatan, kebersihan pemeliharaan keamanan yang baik untuk pembaruan keamanan akan diberlakukan oleh kebijakan Intune. Perbedaan keamanan saat peningkatan tingkat keamanan perangkat difokuskan pada pengurangan permukaan serangan yang dapat dieksploitasi oleh penyerang (sambil mempertahankan produktivitas pengguna sebanyak mungkin). Perangkat tingkat perusahaan dan khusus memungkinkan aplikasi produktivitas dan penjelajahan web umum, tetapi stasiun kerja akses istimewa tidak. Pengguna perusahaan dapat menginstal aplikasi mereka sendiri, tetapi pengguna khusus mungkin tidak (dan bukan administrator lokal stasiun kerja mereka).

Catatan

Penjelajahan web di sini mengacu pada akses umum ke situs web arbitrer yang dapat menjadi aktivitas berisiko tinggi. Penjelajahan tersebut sangat berbeda dari menggunakan browser web untuk mengakses sejumlah kecil situs web administratif terkenal untuk layanan seperti Azure, Microsoft 365, penyedia cloud lainnya, dan aplikasi SaaS.

Akar kepercayaan perangkat keras

Penting untuk stasiun kerja yang aman adalah solusi rantai pasokan tempat Anda menggunakan stasiun kerja tepercaya yang disebut 'akar kepercayaan'. Teknologi yang harus dipertimbangkan dalam pemilihan akar kepercayaan perangkat keras harus mencakup teknologi berikut yang termasuk dalam laptop modern:

Untuk solusi ini, akar kepercayaan akan disebarkan menggunakan teknologi Windows Autopilot dengan perangkat keras yang memenuhi persyaratan teknis modern. Untuk mengamankan stasiun kerja, Autopilot memungkinkan Anda memanfaatkan perangkat Windows 10 yang dioptimalkan Microsoft OEM. Perangkat ini hadir dalam kondisi baik yang dikenal dari produsen. Alih-alih mencitrakan ulang perangkat yang berpotensi tidak aman, Autopilot dapat mengubah perangkat Windows 10 menjadi status “siap bisnis”. Tindakan ini menerapkan pengaturan dan kebijakan, menginstal aplikasi, dan bahkan mengubah edisi Windows 10.

Secure workstation Levels

Peran dan profil perangkat

Panduan ini menunjukkan cara memperkuat Windows 10 dan mengurangi risiko yang terkait dengan perangkat atau kompromi pengguna. Untuk memanfaatkan teknologi perangkat keras modern dan akar perangkat kepercayaan, solusinya menggunakan Pengesahan Kesehatan Perangkat. Kemampuan ini hadir untuk memastikan penyerang tidak dapat bertahan selama boot awal perangkat. Hal ini dilakukan dengan menggunakan kebijakan dan teknologi untuk membantu mengelola fitur dan risiko keamanan.

Secure workstation profiles

  • Perangkat Perusahaan - Peran terkelola pertama baik untuk pengguna rumahan, pengguna bisnis kecil, pengembang umum, dan perusahaan di mana organisasi ingin menaikkan bilah keamanan minimum. Profil ini memungkinkan pengguna untuk menjalankan aplikasi apa pun dan menelusuri situs web apa pun, tetapi solusi anti-malware dan deteksi dan respons titik akhir (EDR) seperti Pertahanan Microsoft untuk Titik Akhir diperlukan. Pendekatan berbasis kebijakan untuk meningkatkan postur keamanan diambil. Ini menyediakan cara yang aman untuk bekerja dengan data pelanggan sambil juga menggunakan alat produktivitas seperti email dan penjelajahan web. Kebijakan audit dan Intune memungkinkan Anda memantau stasiun kerja Enterprise untuk perilaku pengguna dan penggunaan profil.

Profil keamanan perusahaan dalam panduan penyebaran akses istimewa menggunakan file JSON untuk mengonfigurasi ini dengan Windows 10 dan file JSON yang disediakan.

  • Perangkat Khusus - Ini mewakili langkah signifikan dari penggunaan perusahaan dengan menghapus kemampuan untuk mengelola sendiri stasiun kerja dan membatasi aplikasi mana yang hanya dapat berjalan ke aplikasi yang diinstal oleh administrator resmi (dalam file program dan aplikasi yang disetujui sebelumnya di lokasi profil pengguna. Menghapus kemampuan untuk menginstal aplikasi dapat berdampak pada produktivitas jika diterapkan dengan salah, jadi pastikan Anda telah menyediakan akses ke aplikasi penyimpanan Microsoft atau aplikasi terkelola perusahaan yang dapat diinstal dengan cepat untuk memenuhi kebutuhan pengguna. Untuk panduan tentang pengguna mana yang harus dikonfigurasi dengan perangkat tingkat khusus, lihat Tingkat keamanan akses istimewa
    • Pengguna keamanan Khusus menuntut lingkungan yang lebih terkontrol sambil tetap dapat melakukan aktivitas seperti penjelajahan email dan web dalam pengalaman yang mudah digunakan. Pengguna ini mengharapkan fitur seperti cookie, favorit, dan pintasan lainnya untuk bekerja tetapi tidak memerlukan kemampuan untuk memodifikasi atau men-debug sistem operasi perangkat mereka, menginstal driver, atau sejenisnya.

Profil keamanan khusus dalam panduan penyebaran akses istimewa menggunakan file JSON untuk mengonfigurasi ini dengan Windows 10 dan file JSON yang disediakan.

  • Privileged Access Workstation (PAW) – Ini adalah konfigurasi keamanan tertinggi yang dirancang untuk peran yang sangat sensitif yang akan memiliki dampak signifikan atau material pada organisasi jika akun mereka disusupi. Konfigurasi PAW mencakup kontrol keamanan dan kebijakan yang membatasi akses administratif lokal dan alat produktivitas untuk meminimalkan permukaan serangan hanya untuk apa yang benar-benar diperlukan untuk melakukan tugas pekerjaan sensitif. Hal ini membuat perangkat PAW sulit disusupi oleh penyerang karena memblokir vektor yang paling umum untuk serangan phishing: penjelajahan email dan web. Untuk memberikan produktivitas kepada pengguna ini, akun dan stasiun kerja terpisah harus disediakan untuk aplikasi produktivitas dan penjelajahan web. Meskipun tidak nyaman, ini adalah kontrol yang diperlukan untuk melindungi pengguna yang akunnya dapat menimbulkan kerusakan pada sebagian besar atau semua sumber daya dalam organisasi.
    • Stasiun kerja Istimewa menyediakan stasiun kerja yang diperkeras yang memiliki kontrol aplikasi dan penjaga aplikasi yang jelas. Stasiun kerja menggunakan penjaga kredensial, penjaga perangkat, penjaga aplikasi, dan penjaga eksploitasi untuk melindungi host dari perilaku berbahaya. Semua disk lokal dienkripsi dengan BitLocker dan lalu lintas web dibatasi untuk sekumpulan batas tujuan yang diizinkan (Tolak semua).

Profil keamanan istimewa dalam panduan penyebaran akses istimewa menggunakan file JSON untuk mengonfigurasi ini dengan Windows 10 dan file JSON yang disediakan.

Langkah berikutnya

Menyebarkan stasiun kerja yang dikelola Azure yang aman.