Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Queste linee guida fanno parte di una strategia completa di accesso con privilegi ed è implementata come parte della distribuzione dell'accesso con privilegi
La sicurezza end-to-end senza attendibilità per l'accesso con privilegi richiede una solida base di sicurezza dei dispositivi su cui creare altre garanzie di sicurezza per la sessione. Anche se le garanzie di sicurezza possono essere migliorate nella sessione, saranno sempre limitate dal livello di affidabilità delle garanzie di sicurezza nel dispositivo di origine. Un utente malintenzionato con il controllo di questo dispositivo può fingersi gli utenti su di esso o rubare le credenziali per una falsificazione futura. Questo rischio compromette altre garanzie sul conto, intermediari come jump server e sulle risorse stesse. Per altre informazioni, vedere principio di origine pulita
L'articolo offre una panoramica dei controlli di sicurezza per fornire una workstation sicura per gli utenti sensibili durante il ciclo di vita.
Questa soluzione si basa sulle funzionalità di sicurezza di base nel sistema operativo Windows 10, Microsoft Defender per endpoint, Microsoft Entra ID e Microsoft InTune.
Chi trae vantaggio da una workstation sicura?
Tutti gli utenti e gli operatori traggono vantaggio dall'uso di una workstation sicura. Un utente malintenzionato che compromette un PC o un dispositivo può impersonare o rubare credenziali/token per tutti gli account che lo usano, minando molte o tutte le altre garanzie di sicurezza. Per gli amministratori o gli account sensibili, ciò consente agli utenti malintenzionati di aumentare i privilegi e di espandere l'accesso di cui dispongono all'interno dell'organizzazione, spesso fino a ottenere privilegi di amministratore di dominio, globali o aziendali.
Per informazioni dettagliate sui livelli di sicurezza e sui livelli di sicurezza a cui gli utenti devono essere assegnati, vedere livelli di sicurezza con accesso con privilegi
Controlli di sicurezza dei dispositivi
La corretta distribuzione di una workstation sicura richiede che faccia parte di un approccio end-to-end, inclusi i dispositivi, gli account , gli intermediari e i criteri di sicurezza applicati alle interfacce dell'applicazione . Tutti gli elementi dello stack devono essere risolti per una strategia completa di sicurezza dell'accesso con privilegi.
Questa tabella riepiloga i controlli di sicurezza per diversi livelli di dispositivo:
| Profilo | Azienda | Specializzato | Privilegiato |
|---|---|---|---|
| Microsoft Endpoint Manager (MEM) gestito | Sì | Sì | Sì |
| Nega registrazione dispositivo BYOD | No | Sì | Sì |
| Baseline di sicurezza MEM applicata | Sì | Sì | Sì |
| Microsoft Defender per gli endpoint | Sì* | Sì | Sì |
| Aggiungere un dispositivo personale tramite Autopilot | Sì* | Sì* | No |
| Gli URL ristretti a elenco approvato | Consenti la maggior parte | Consenti la maggior parte | Nega impostazione predefinita |
| Rimozione dei diritti di amministratore | Sì | Sì | |
| Controllo dell'esecuzione dell'applicazione (AppLocker) | Audit -> applicato | Sì | |
| Applicazioni installate solo da MEM | Sì | Sì |
Nota
La soluzione può essere distribuita con nuovi scenari hardware, hardware esistente e BYOD (Bring Your Own Device).
A tutti i livelli, le buone pratiche di manutenzione della sicurezza per gli aggiornamenti della sicurezza verranno attuate dalle politiche di Intune. Le differenze nella sicurezza con l'aumento del livello di sicurezza del dispositivo sono incentrate sulla riduzione della superficie di attacco che un utente malintenzionato può tentare di sfruttare (mantenendo al tempo stesso la massima produttività possibile degli utenti). I dispositivi a livello aziendale e specializzato consentono applicazioni di produttività e esplorazione Web generale, ma le workstation con accesso privilegiato non lo fanno. Gli utenti aziendali possono installare le proprie applicazioni, ma gli utenti specializzati potrebbero non (e non sono amministratori locali delle loro workstation).
Nota
L'esplorazione Web qui si riferisce all'accesso generale a siti Web arbitrari che possono essere un'attività ad alto rischio. Tale esplorazione è diversa dall'uso di un Web browser per accedere a un numero ridotto di siti Web amministrativi noti per servizi come Azure, Microsoft 365, altri provider di servizi cloud e applicazioni SaaS.
Radice hardware dell'attendibilità
Essenziale per una workstation protetta è una soluzione di catena di fornitura in cui si utilizza una workstation attendibile denominata "radice di fiducia". La tecnologia che deve essere considerata nella selezione della radice dell'hardware attendibile deve includere le tecnologie seguenti incluse nei portatili moderni:
- TPM (Trusted Platform Module) 2.0
- Crittografia dell'unità BitLocker
- Avvio protetto UEFI
- driver e firmware distribuiti tramite Windows Update
- Virtualizzazione e HVCI abilitata
- Driver e App HVCI-Ready
- Windows Hello
- Protezione dell'I/O DMA
- Guardia del Sistema
- Standby moderno
Per questa soluzione, il Root of Trust verrà distribuito usando la tecnologia Windows Autopilot con hardware che soddisfa i moderni requisiti tecnici. Per proteggere una workstation, Autopilot consente di sfruttare i dispositivi Windows 10 ottimizzati per Oem Microsoft. Questi dispositivi provengono in uno stato valido noto dal produttore. Invece di reinstallare il sistema operativo su un dispositivo potenzialmente non sicuro, Autopilot può trasformare un dispositivo Windows 10 in uno stato pronto per l'uso aziendale. Applica impostazioni e criteri, installa le app e modifica anche l'edizione di Windows 10.
Ruoli e profili del dispositivo
Queste linee guida illustrano come rafforzare Windows 10 e ridurre i rischi associati al dispositivo o alla compromissione dell'utente. Per sfruttare la tecnologia hardware moderna e il dispositivo di radice di fiducia, la soluzione utilizza l'attestazione dell'integrità del dispositivo. Questa funzionalità è presente per garantire che gli utenti malintenzionati non possano essere persistenti durante l'avvio anticipato di un dispositivo. A tale scopo, si usano criteri e tecnologie per gestire le funzionalità e i rischi di sicurezza.
- Enterprise Device: il primo ruolo gestito è valido per gli utenti domestici, gli utenti aziendali di piccole dimensioni, gli sviluppatori generali e le aziende in cui le organizzazioni vogliono aumentare la barra di sicurezza minima. Questo profilo consente agli utenti di eseguire qualsiasi applicazione e esplorare qualsiasi sito Web, ma è necessaria una soluzione di rilevamento e risposta di endpoint e antimalware come Microsoft Defender per endpoint. Viene adottato un approccio basato su criteri per aumentare il comportamento di sicurezza. Offre un mezzo sicuro per lavorare con i dati dei clienti usando anche strumenti di produttività come la posta elettronica e l'esplorazione Web. Le politiche di audit e Intune consentono di monitorare una workstation aziendale per il comportamento degli utenti e l'utilizzo del profilo.
Il profilo di sicurezza aziendale nella distribuzione dell'accesso con privilegi linee guida usa i file JSON per configurare questa funzionalità con Windows 10 e i file JSON forniti.
-
dispositivo specializzato: rappresenta un passo avanti significativo rispetto all'utilizzo aziendale rimuovendo la possibilità di autoamministrare la workstation e limitando le applicazioni che possono essere eseguite solo alle applicazioni installate da un amministratore autorizzato (nei file di programma e nelle applicazioni pre-approvate nel percorso del profilo utente. La rimozione della possibilità di installare le applicazioni può influire sulla produttività se implementata in modo non corretto, quindi assicurarsi di avere fornito l'accesso alle applicazioni di Microsoft Store o alle applicazioni gestite aziendali che possono essere installate rapidamente per soddisfare le esigenze degli utenti. Per indicazioni su quali utenti devono essere configurati con dispositivi a livello specializzato, vedere livelli di sicurezza con accesso con privilegi
- L'utente specializzato per la sicurezza richiede un ambiente più controllato, pur essendo in grado di eseguire attività come la posta elettronica e l'esplorazione Web in un'esperienza semplice da usare. Questi utenti si aspettano funzionalità come cookie, preferiti e altri collegamenti per funzionare, ma non richiedono la possibilità di modificare o eseguire il debug del sistema operativo del dispositivo, installare driver o simili.
Il profilo di sicurezza specializzato nella guida alla distribuzione dell'accesso privilegiato utilizza i file JSON per configurarlo con Windows 10 e i file JSON forniti.
-
workstation con accesso privilegiato (PAW): questa è la configurazione di sicurezza più elevata progettata per ruoli estremamente sensibili che potrebbero avere un impatto significativo o rilevante sull'organizzazione se il loro account venisse compromesso. La configurazione PAW include controlli di sicurezza e criteri che limitano l'accesso amministrativo locale e gli strumenti di produttività per ridurre al minimo la superficie di attacco solo a ciò che è assolutamente necessario per eseguire attività di processo sensibili.
Questo rende difficile per gli utenti malintenzionati compromettere il dispositivo PAW perché blocca il vettore più comune per gli attacchi di phishing: la posta elettronica e la navigazione web.
Per garantire la produttività a questi utenti, è necessario fornire account e workstation separati per le applicazioni di produttività e l'esplorazione Web. Anche se scomodo, questo è un controllo necessario per proteggere gli utenti il cui account potrebbe infliggere danni alla maggior parte o a tutte le risorse dell'organizzazione.
- Una workstation privilegiata fornisce una workstation rinforzata con un chiaro controllo delle applicazioni e una guardia delle applicazioni. La workstation usa credential guard, device guard, app guard e exploit guard per proteggere l'host da comportamenti dannosi. Tutti i dischi locali vengono crittografati con BitLocker e il traffico Web è limitato a un set di destinazioni consentite (Nega tutto).
Il profilo di sicurezza con privilegi nella distribuzione dell'accesso privilegiato secondo le linee guida utilizza i file JSON per configurare questo profilo con Windows 10 e i file forniti.