Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Panduan ini adalah bagian dari strategi akses istimewa lengkap dan diimplementasikan sebagai bagian dari penyebaran akses istimewa
Keamanan kepercayaan nol dari ujung ke ujung untuk akses khusus memerlukan dasar keamanan perangkat yang kuat untuk membangun jaminan keamanan lainnya selama sesi tersebut. Meskipun jaminan keamanan dapat ditingkatkan dalam sesi, mereka akan selalu dibatasi oleh seberapa kuat jaminan keamanan di perangkat asal. Penyerang dengan kontrol perangkat ini dapat meniru pengguna di atasnya atau mencuri kredensial mereka untuk peniruan di masa depan. Risiko ini merusak jaminan lain pada akun, perantara seperti jump server, dan pada sumber daya itu sendiri. Untuk informasi selengkapnya, lihat prinsip sumber bersih
Artikel ini menyediakan gambaran umum kontrol keamanan untuk menyediakan stasiun kerja yang aman untuk pengguna sensitif sepanjang siklus hidupnya.
Solusi ini bergantung pada kemampuan keamanan inti dalam sistem operasi Windows 10, Pertahanan Microsoft untuk Titik Akhir, ID Microsoft Entra, dan Microsoft InTune.
Siapa yang mendapat manfaat dari stasiun kerja yang aman?
Semua pengguna dan operator mendapat manfaat dari menggunakan stasiun kerja yang aman. Penyerang yang membobol PC atau perangkat dapat meniru atau mencuri informasi login/data autentikasi untuk semua akun yang menggunakannya, merusak banyak atau semua jaminan keamanan lainnya. Untuk administrator atau akun sensitif, ini memungkinkan penyerang untuk meningkatkan hak istimewa dan meningkatkan akses yang mereka miliki di organisasi Anda, sering kali secara dramatis ke hak istimewa administrator domain, global, atau perusahaan.
Untuk detail tentang tingkat keamanan dan pengguna mana yang harus ditetapkan ke tingkat mana, lihat tingkat keamanan akses istimewa
Kontrol Keamanan Perangkat
Keberhasilan penyebaran stasiun kerja yang aman mengharuskannya menjadi bagian dari pendekatan menyeluruh termasuk perangkat, akun , perantara , dan kebijakan keamanan yang diterapkan ke antarmuka aplikasi Anda. Semua elemen tumpukan harus ditangani untuk strategi keamanan akses istimewa lengkap.
Tabel ini meringkas kontrol keamanan untuk tingkat perangkat yang berbeda:
| Profil | Perusahaan | Terspesialisasi | Istimewa |
|---|---|---|---|
| Microsoft Endpoint Manager (MEM) dikelola | Ya | Ya | Ya |
| Tolak pendaftaran Perangkat BYOD | Tidak | Ya | Ya |
| Garis besar keamanan MEM diterapkan | Ya | Ya | Ya |
| Microsoft Defender untuk Perangkat Akhir | Ya* | Ya | Ya |
| Hubungkan perangkat pribadi dengan Autopilot | Ya* | Ya* | Tidak |
| URL dibatasi untuk daftar yang disetujui | Izinkan Sebagian | Izinkan Sebagian Besar | Tolak Pengaturan Default |
| Penghapusan hak admin | Ya | Ya | |
| Kontrol eksekusi aplikasi (AppLocker) | Audit -> Diberlakukan | Ya | |
| Aplikasi yang hanya diinstal oleh MEM | Ya | Ya |
Nota
Solusinya dapat disebarkan dengan perangkat keras baru, perangkat keras yang sudah ada, dan skenario Bring Your Own Device (BYOD).
Di semua tingkatan, kebersihan pemeliharaan keamanan yang baik untuk pembaruan keamanan akan diberlakukan oleh kebijakan Intune. Perbedaan keamanan saat peningkatan tingkat keamanan perangkat difokuskan pada pengurangan permukaan serangan yang dapat dieksploitasi oleh penyerang (sambil mempertahankan produktivitas pengguna sebanyak mungkin). Perangkat tingkat perusahaan dan khusus memungkinkan aplikasi produktivitas dan penjelajahan web umum, tetapi stasiun kerja dengan akses istimewa tidak. Pengguna perusahaan dapat menginstal aplikasi mereka sendiri, tetapi pengguna khusus mungkin tidak (dan bukan administrator lokal stasiun kerja mereka).
Nota
Penjelajahan web di sini mengacu pada akses umum ke situs web sewenang-wenang yang dapat menjadi aktivitas berisiko tinggi. Penjelajahan tersebut berbeda dari menggunakan browser web untuk mengakses sejumlah kecil situs web administratif terkenal untuk layanan seperti Azure, Microsoft 365, penyedia cloud lainnya, dan aplikasi SaaS.
Pondasi Kepercayaan Perangkat Keras
Penting untuk memiliki stasiun kerja yang aman adalah dengan menerapkan solusi rantai pasokan di mana Anda menggunakan stasiun kerja terpercaya yang dikenal sebagai 'basis kepercayaan'. Teknologi yang harus dipertimbangkan dalam memilih perangkat keras akar kepercayaan harus mencakup teknologi berikut yang terdapat dalam laptop modern:
- Modul Platform Tepercaya (TPM) 2.0
- Enkripsi Drive BitLocker
- Boot Aman UEFI
- Driver dan Firmware Didistribusikan melalui Windows Update
- Virtualisasi dan HVCI Diaktifkan
- Driver dan Aplikasi HVCI-Siap
- Windows Hello
- Perlindungan I/O DMA
- System Guard
- Siaga Modern
Untuk solusi ini, akar kepercayaan akan disebarkan menggunakan teknologi Windows Autopilot dengan perangkat keras yang memenuhi persyaratan teknis modern. Untuk mengamankan stasiun kerja, Autopilot memungkinkan Anda memanfaatkan perangkat Windows 10 yang dioptimalkan Microsoft OEM. Perangkat ini datang dalam keadaan baik dari produsen. Alih-alih menggambarkan kembali perangkat yang berpotensi tidak aman, Autopilot dapat mengubah perangkat Windows 10 menjadi status "siap bisnis". Ini menerapkan pengaturan dan kebijakan, menginstal aplikasi, dan bahkan mengubah edisi Windows 10.
Peran dan profil perangkat
Panduan ini menunjukkan cara mengeraskan Windows 10 dan mengurangi risiko yang terkait dengan kompromi perangkat atau pengguna. Untuk memanfaatkan teknologi perangkat keras modern dan akar perangkat kepercayaan, solusinya menggunakan Pengesahan Kesehatan Perangkat. Kemampuan ini ada untuk memastikan penyerang tidak dapat bertahan selama boot awal perangkat. Hal ini dilakukan dengan menggunakan kebijakan dan teknologi untuk membantu mengelola fitur dan risiko keamanan.
- Enterprise Device – Peran terkelola pertama baik untuk pengguna rumahan, pengguna bisnis kecil, pengembang umum, dan perusahaan di mana organisasi ingin menaikkan batas keamanan minimum. Profil ini memungkinkan pengguna untuk menjalankan aplikasi apa pun dan mengakses situs web apa pun, tetapi diperlukan solusi anti-malware dan deteksi dan respons titik akhir (EDR) seperti Microsoft Defender untuk Endpoint. Pendekatan berbasis kebijakan untuk meningkatkan postur keamanan diambil. Ini menyediakan cara yang aman untuk bekerja dengan data pelanggan sambil juga menggunakan alat produktivitas seperti email dan penjelajahan web. Kebijakan audit dan Intune memungkinkan Anda memantau stasiun kerja Enterprise untuk perilaku pengguna dan penggunaan profil.
Profil keamanan perusahaan dalam panduan penyebaran akses istimewa menggunakan file JSON untuk mengonfigurasi ini dengan Windows 10 dan file JSON yang disediakan.
-
Perangkat Khusus – Ini mewakili langkah signifikan dari penggunaan perusahaan dengan menghapus kemampuan untuk mengelola sendiri stasiun kerja dan membatasi aplikasi mana yang hanya dapat berjalan ke aplikasi yang diinstal oleh administrator resmi (dalam file program dan aplikasi yang telah disetujui sebelumnya di lokasi profil pengguna. Menghapus kemampuan untuk menginstal aplikasi dapat berdampak pada produktivitas jika diimplementasikan dengan tidak benar, jadi pastikan Anda telah menyediakan akses ke aplikasi penyimpanan Microsoft atau aplikasi terkelola perusahaan yang dapat diinstal dengan cepat untuk memenuhi kebutuhan pengguna. Untuk panduan tentang pengguna mana yang harus dikonfigurasi dengan perangkat tingkat khusus, lihat Tingkat keamanan akses istimewa
- Pengguna keamanan Khusus menuntut lingkungan yang lebih terkontrol sambil masih dapat melakukan aktivitas seperti email dan penjelajahan web dalam pengalaman yang mudah digunakan. Pengguna ini mengharapkan fitur seperti cookie, favorit, dan pintasan lain untuk bekerja tetapi tidak memerlukan kemampuan untuk memodifikasi atau men-debug sistem operasi perangkat mereka, menginstal driver, atau serupa.
Profil keamanan khusus dalam panduan penerapan akses istimewa menggunakan file JSON untuk mengonfigurasinya di Windows 10 dan file JSON yang disediakan.
-
Privileged Access Workstation (PAW) – Ini adalah konfigurasi keamanan tertinggi yang dirancang untuk peran yang sangat sensitif yang akan berdampak signifikan atau material pada organisasi jika akun mereka disusupi. Konfigurasi PAW mencakup kontrol dan kebijakan keamanan yang membatasi akses administratif lokal dan alat produktivitas untuk meminimalkan permukaan serangan hanya untuk apa yang benar-benar diperlukan untuk melakukan tugas pekerjaan sensitif.
Hal ini membuat perangkat PAW sulit disusupi oleh penyerang karena memblokir vektor yang paling umum untuk serangan phishing: penjelajahan email dan web.
Untuk memberikan produktivitas kepada pengguna ini, akun dan stasiun kerja terpisah harus disediakan untuk aplikasi produktivitas dan penjelajahan web. Meskipun tidak nyaman, ini adalah kontrol yang diperlukan untuk melindungi pengguna yang akunnya dapat menimbulkan kerusakan pada sebagian besar atau semua sumber daya dalam organisasi.
- Stasiun kerja dengan hak istimewa menyediakan stasiun kerja yang diperkuat yang memiliki kontrol aplikasi dan perlindungan aplikasi yang jelas. Stasiun kerja menggunakan penjaga info masuk, penjaga perangkat, penjaga aplikasi, dan penjaga eksploitasi untuk melindungi host dari perilaku berbahaya. Semua disk lokal dienkripsi dengan BitLocker dan lalu lintas web dibatasi untuk sekumpulan batas tujuan yang diizinkan (Tolak semua).
Profil keamanan khusus dalam panduan penerapan akses istimewa menggunakan file JSON dengan Windows 10 dan file JSON yang disediakan untuk mengonfigurasinya.