Fase 2: Configurare e proteggere le workstation con privilegi

Questo articolo fa parte della guida implementare una soluzione di architettura con accesso con privilegi .

L'accesso con privilegi presenta un rischio critico per la sicurezza nella maggior parte delle organizzazioni perché consente il controllo diretto sui sistemi di identità, sui piani di controllo cloud e sugli asset critici per l'azienda.

Informazioni su come un'architettura di accesso con privilegi sicuri svolge un ruolo fondamentale nello scenario aziendale: proteggere gli asset aziendali critici , riducendo questo rischio e rafforzando il controllo sui sistemi sensibili.

Questo articolo descrive la fase 2 della soluzione. Distribuisce e protegge workstation per accessi privilegiati (PAW) affinché le attività privilegiate abbiano origine esclusivamente da dispositivi attendibili. Si basa sulla Fase 1 e produce i segnali di attendibilità del dispositivo (conformità di Intune e rischio di Microsoft Defender per endpoint) usati per l'applicazione nella Fase 3.

Obiettivi di protezione

La fase 2 garantisce che l'accesso privilegiato:

  • Ha origine solo da dispositivi attendibili e con protezione avanzata.
  • È isolato dalle attività di produttività ad alto rischio.
  • Genera un segnale di dispositivo pulito e affidabile per un'applicazione successiva.
  • Riduce il furto di credenziali, la riproduzione dei token e il rischio di hijack della sessione.
  • Limita il raggio di esplosione se un dispositivo è compromesso.

Ambito di protezione

L'accesso privilegiato è affidabile solo quanto il dispositivo da cui proviene. Le protezioni delle identità, ad esempio MFA, approvazioni e attivazione dei ruoli, non possono compensare una workstation compromessa. Se un utente malintenzionato controlla il dispositivo usato per l'accesso con privilegi, può:

  • Rubare i token di autenticazione dopo il completamento dell’MFA.
  • Inserire processi dannosi in sessioni amministrative.
  • Riprodurre le credenziali o i token dalla memoria.
  • Ignorare i flussi di lavoro di approvazione operando come utente legittimo.

Per i ruoli privilegiati, una singola postazione di lavoro compromessa può consentire una rapida escalation fino al controllo a livello di tenant o a livello aziendale. Di conseguenza, la sicurezza del dispositivo definisce il limite superiore di attendibilità per l'accesso con privilegi. I criteri di accesso con privilegi presuppongono quindi che le sessioni amministrative provengano da dispositivi che soddisfano la barra di sicurezza più elevata. Questi dispositivi costituiscono il limite di attendibilità per le operazioni con privilegi.

Workstation per accesso privilegiato (PAW)

Una PAW è una workstation Windows protetta e gestita, progettata esclusivamente per attività privilegiate. Le PAW definiscono il confine di attendibilità del dispositivo per l'accesso privilegiato e sono isolate dai vettori di attacco comuni.

  • Sono isolati dai carichi di lavoro di posta elettronica, esplorazione Web generale e produttività.
  • Vengono registrati e gestiti tramite Microsoft Intune.
  • Usare Microsoft Entra ID per l'integrazione delle identità.
  • Vengono monitorati da Microsoft Defender per endpoint.
  • Fornire una solida base di fiducia basata su hardware.

Ecco come si collocano i PAW in termini di livello/profilo di sicurezza.

Livello di sicurezza Profilo dispositivo
Utenti aziendali Dispositivo gestito standard
Operatori specializzati Dispositivo gestito con protezione avanzata
Con privilegi (amministratori del piano di controllo) ZAMPA

Rischi mitigati

Rischio Perché è importante Mitigazione della fase 1
L'utente malintenzionato ruba i token di autenticazione dopo l'autenticazione a più fattori L'autenticazione a più fattori protegge l'autenticazione, non l'ambiente di esecuzione. Se una workstation è compromessa, gli utenti malintenzionati possono rubare i token dopo l'autenticazione e riutilizzarli per rappresentare gli utenti con privilegi. Le PAW isolano le attività privilegiate su dispositivi protetti, dotati di una superficie di attacco ridotta, della protezione delle credenziali (Credential Guard) e del monitoraggio continuo, impedendo il furto di token dai dispositivi di produttività compromessi.
Iniezione di processi dannosi nelle sessioni amministrative Gli utenti malintenzionati possono inserire codice negli strumenti di amministrazione o nelle sessioni del browser nei dispositivi compromessi, ottenendo il controllo delle operazioni con privilegi anche quando le identità sono protette. Il controllo delle applicazioni, la rimozione dei diritti di amministratore locale e l'esecuzione di applicazioni con restrizioni nelle workstation PAW impediscono l'esecuzione di codice non autorizzato durante le sessioni amministrative.
Riesecuzione delle credenziali dalla memoria Gli attaccanti possono estrarre credenziali o token dalla memoria di workstation compromesse e riutilizzarli per escalare i privilegi o muoversi lateralmente. Le workstation PAW applicano l'isolamento delle credenziali usando configurazioni del sistema operativo basate su virtualizzazione e con protezione avanzata, riducendo l'esposizione delle credenziali in memoria e limitando le opportunità di riproduzione.
Flussi di approvazione aggirati da dispositivi compromessi Anche con l’attivazione dei ruoli subordinata all’approvazione, gli attaccanti che controllano una workstation possono dirottare le sessioni approvate ed escalare rapidamente i privilegi. L'attendibilità del dispositivo diventa un prerequisito per il lavoro con privilegi. Le PAW assicurano che le approvazioni e le azioni amministrative vengano eseguite solo da dispositivi progettati per resistere alla compromissione.
Elevazione rapida dalla workstation compromessa Una singola workstation amministrativa compromessa può consentire agli utenti malintenzionati di passare rapidamente ai sistemi di gestione delle identità, ai piani di controllo e all'amministrazione a livello aziendale. La sicurezza del dispositivo imposta un limite superiore sull'attendibilità. Le workstation PAW offrono il livello di sicurezza più elevato, riducendo la probabilità che un endpoint compromesso possa essere usato per ottenere un'escalation dei privilegi fino ad assumere ruoli privilegiati.

Risultati della fase

Dopo aver completato la fase 2:

  • Vengono configurati uno o più dispositivi PAW dedicati.
  • Le attività amministrative con privilegi provengono esclusivamente dalle PAW.
  • Le PAW sono isolate dall'uso per attività di produttività.
  • I dispositivi sono gestiti, monitorati e ripristinabili centralmente.
  • I presupposti di attendibilità dei dispositivi sono espliciti e applicabili.
  • Le fasi successive possono applicare in modo sicuro l'accesso condizionale e il monitoraggio.

Prerequisiti

Prima di configurare le procedure in questo articolo:

  • Assicurarsi che le istruzioni della fase 1 siano complete.
  • Informazioni sulla sicurezza dei dispositivi nella storia dell'accesso con privilegi.
  • Dovrebbero essere disponibili i servizi seguenti:
    • Microsoft Entra ID in qualità di provider di identità.
    • Microsoft Intune per la gestione dei dispositivi.
    • Microsoft Defender per endpoint per la protezione dalle minacce.
  • È necessario almeno un dispositivo supportato Windows per amministratore, con hardware Windows moderno che supporta:
    • TPM 2.0
    • Avvio protetto UEFI
    • BitLocker
    • Sicurezza basata su virtualizzazione (VBS/HVCI)
    • Firmware e driver gestiti tramite Windows Update.

I dispositivi che non soddisfano questa barra non devono essere usati per l'accesso con privilegi.

Passaggio 1: Definire il provisioning/la gestione del ciclo di vita di PAW

Definire quali dispositivi sono PAW, come vengono creati, iscritti, gestiti e come venga impedito il loro utilizzo prima che siano pronti.

Creare un gruppo di dispositivi PAW

Questo gruppo conterrà i dispositivi PAW e viene usato per:

  • Destinazione della registrazione
  • Profili di protezione avanzata
  • Valutazione della conformità
  • Applicazione dell'accesso condizionale in una fase successiva.

Creare come segue:

  1. Nell'interfaccia di amministrazione Microsoft Entra passare a Microsoft Entra ID>Groups>Nuovo gruppo.

  2. Configurare le impostazioni del gruppo e quindi selezionare Crea.

    • Tipo di gruppo: Sicurezza
    • Nome del gruppo: Dispositivi per workstation sicure
    • Tipo di appartenenza: Dispositivi dinamici

  3. Seleziona Aggiungi query dinamica e aggiungi una regola con questa sintassi: device.devicePhysicalIds -any _ -contains "[OrderID]: PAW"

  4. Selezionare Salva>crea.

I dispositivi registrati con il tag del gruppo PAW Autopilot vengono identificati dalla regola del dispositivo dinamico PAW e considerati workstation con accesso con privilegi.

Controlla chi può creare PAW

Assicurati che le PAW siano registrate in modo deliberato e sicuro.

  • Limitare gli utenti che possono aggiungere i dispositivi a Microsoft Entra ID.
  • Richiedi l'autenticazione a più fattori per aggiungere dispositivi.
  • Rimuovere i diritti automatici di amministratore locale al momento dell'aggiunta.
  1. Nell'interfaccia di amministrazione di Entra passare a Dispositivi>Impostazioni dispositivo.
  2. In Utenti possono aggiungere i dispositivi a Microsoft Entra ID>Selezionato, selezionare Utenti di workstation protette.
  3. In Richiedi autenticazione a più fattori per aggiungere i dispositivi selezionare .
  4. In Amministratore locale aggiuntivo nei dispositivi aggiunti a Microsoft Entra selezionare None.
  5. Salvare le impostazioni.

Con questa configurazione, solo gli utenti PAW possono registrare i PAW, l'autenticazione a più fattori è obbligatoria e nessun utente PAW diventa amministratore locale per impostazione predefinita.

Gestire i PAW dal primo avvio

Le workstation PAW devono essere gestite fin dal primo avvio. I dispositivi non gestiti non possono essere considerati attendibili per l'accesso con privilegi.

  • Configurare Microsoft Entra ID per registrare automaticamente i dispositivi in Intune.
  • Assicurarsi che tutti i PAW siano gestiti tramite MDM immediatamente dopo l'aggiunta al dominio.
  • Limitare la registrazione dei dispositivi alle piattaforme approvate.
  1. Aprire Microsoft Entra ID>Mobility (MDM e MAM)>Microsoft Intune.
  2. Impostare l'ambito utente MDM su Tutti e salvare.
  3. Configurare le restrizioni di registrazione:
    • Consentire la registrazione dei dispositivi Windows.
    • Bloccare o limitare i dispositivi di proprietà personale.

Le PAW sono sempre gestite, mai lasciate non gestite.

Effettuare il provisioning dei PAW in modo coerente

Usa Windows Autopilot per imporre un provisioning delle PAW coerente e ripetibile, che garantisca l'avvio delle PAW in uno stato noto e affidabile.

Creare un profilo di distribuzione Autopilot dedicato e assegnarlo al gruppo di dispositivi PAW.

  1. Nell'interfaccia di amministrazione di Microsoft Intune passare a Devices>Windows>Windows enrollment>Deployment profiles.
  2. Selezionare Crea profilo e creare un profilo con le impostazioni seguenti:
    • Nome: Profilo di distribuzione della workstation sicura
    • Convertire tutti i dispositivi di destinazione in Autopilot: Sì
    • Modalità di distribuzione: distribuzione automatica
    • Tipo di account utente: Standard
  3. Fare clic su Crea.

Impedire l'uso delle PAW prima della configurazione di sicurezza

Evita che le workstation PAW vengano utilizzate prima di essere completamente messe in sicurezza. Ciò impedisce l'esposizione anticipata durante l'installazione.

  • Configurare una pagina relativa allo stato della registrazione (ESP)
  • Bloccare l'uso del dispositivo fino a quando non vengono installati tutti i profili e le applicazioni necessari
  • Assegnare ESP ai dispositivi PAW

  1. Nell'interfaccia di amministrazione di Microsoft Intune passare a Devices>Windows>Windows enrollment>Enrollment status.

  2. Selezionare Crea profilo e creare un profilo con le impostazioni seguenti:

    • Mostra lo stato di installazione dell'app e del profilo: Sì
    • Blocca l'uso del dispositivo fino a quando non vengono installati tutti i profili e le app: Sì

  3. Assegna a Dispositivi di workstation sicura e seleziona Crea.

Operazioni del ciclo di vita in corso

  1. Per ripristinare e ricostruire i PAW:

    • Reimpostare/effettuare il provisioning delle workstation PAW tramite Autopilot in caso di compromissione.
    • Considerare i PAW come elementi da sostituire, non da riparare manualmente.

  2. Per identificare e monitorare i PAW, utilizzare:

    • Appartenenza al gruppo di dispositivi
    • Registrazione di Autopilot

Con questi processi in atto, i PAW sono dispositivi chiaramente identificabili e gestiti centralmente, che possono essere inventariati, revisionati e cancellati in sicurezza e nuovamente sottoposti a provisioning tramite Autopilot se compromessi.

Passaggio 2: Mettere in sicurezza i PAW

Mettere in sicurezza le workstation per l’accesso privilegiato (PAW) in modo da fornire un segnale del dispositivo pulito e a basso rischio. I controlli di hardening includono la riduzione della superficie di attacco, l'applicazione delle patch e la generazione di segnali Defender relativi a rischio e conformità.

I controlli di accesso condizionale e monitoraggio si basano su questo comportamento per applicare decisioni di accesso con privilegi.

Questi controlli presuppongono che le workstation PAW soddisfino i prerequisiti di sicurezza hardware richiesti definiti in precedenza.

Configurare gli anelli di Windows Update

Le workstation con accesso privilegiato (PAW) devono essere aggiornate con le patch rapidamente e in modo prevedibile. Ritardi o rinvii controllati dall'utente minano l'attendibilità dei dispositivi.

  1. Nel centro di amministrazione di Microsoft Intune passare a Dispositivi>Windows>Aggiornamenti software>Anelli di aggiornamento di Windows.

  2. Selezionare Crea profilo.

  3. Configura le impostazioni seguenti:

    • Nome: PAW – gruppo di distribuzione di Windows Update
    • Rinvio dell'aggiornamento qualitativo (giorni): 3
    • Rinvio dell'aggiornamento delle funzionalità (giorni): 3
    • Comportamento di aggiornamento automatico: installazione automatica e riavvio senza controllo dell'utente finale
    • Impedisci all'utente di sospendere gli aggiornamenti: Blocca
    • Impostare la scadenza per i riavvii in sospeso: 3 giorni

  4. In Assegnazioni, assegna ai dispositivi workstation protetti.

  5. Creare il profilo.

Dopo aver completato questa procedura, le workstation PAW rimangono aggiornate con le patch, con una finestra di esposizione ridotta al minimo e senza possibilità di aggiramento da parte dell'utente.

Esegui l'onboarding a Defender for Endpoint

L'accesso condizionale e la conformità dipendono dai segnali di rischio Defender. Senza Defender per Endpoint, l'attendibilità del dispositivo è incompleta.

  1. Nell'interfaccia di amministrazione di Microsoft Intune passare a Endpoint security>Microsoft Defender per endpoint.
  2. Impostare Connetti Microsoft Defender per endpoint a Intune su On.
  3. Seleziona Salva.
  4. Aggiorna in Intune per confermare la connessione.

Crea un profilo di configurazione iniziale

  1. Nell'interfaccia di amministrazione di Microsoft Intune passare a Endpoint security>Endpoint detection and response.

  2. Selezionare Crea profilo e configurare le impostazioni seguenti:

    • Piattaforma: Windows 10 e versioni successive
    • Tipo di profilo: rilevamento e risposta degli endpoint
    • Nome: PAW - Defender for Endpoint

  3. In Impostazioni di configurazione abilitare La condivisione di esempio per tutti i file.

  4. Assegna al gruppo Dispositivi per workstation sicure.

  5. Creare il profilo.

Dopo aver configurato la procedura, i PAW emettono telemetria del rischio del dispositivo, del malware e di EDR utilizzata da Accesso condizionale e da SecOps.

Applicare restrizioni del firewall e della rete

La maggior parte dei percorsi di compromissione dei PAW è verso l'esterno. La limitazione dell'uscita è fondamentale.

  1. Nell'interfaccia di amministrazione di Microsoft Intune passare a Endpoint security>Firewall.
  2. Creare un profilo di Endpoint Protection .
  3. Configurare le regole del firewall in uscita per consentire solo i servizi necessari, ad esempio DNS, DHCP, NTP e endpoint amministrativi e di gestione approvati. Blocca il traffico in uscita non necessario per impostazione predefinita.
  4. Assegna aDispositivi per workstation sicure.

Dopo aver configurato la procedura, le workstation PAW possono raggiungere solo gli endpoint amministrativi necessari per le attività di gestione.

Passaggi successivi

Con le workstation PAW configurate e rafforzate, il passaggio successivo consiste nell'applicare controlli di accesso privilegiato tramite Accesso Condizionale e criteri.

  • Last updated on