Apparaten beveiligen als onderdeel van het verhaal over bevoegde toegang
Deze richtlijnen maken deel uit van een volledige strategie voor bevoegde toegang en worden geïmplementeerd als onderdeel van de implementatie van bevoegde toegang
End-to-end zero trust-beveiliging voor bevoegde toegang vereist een sterke basis van apparaatbeveiliging waarop andere beveiligingsgaranties voor de sessie kunnen worden gebouwd. Hoewel beveiligingsgaranties tijdens de sessie kunnen worden uitgebreid, worden ze altijd beperkt door hoe sterk de beveiligingsgaranties zijn in het oorspronkelijke apparaat. Een aanvaller met controle over dit apparaat kan gebruikers op het apparaat imiteren of hun referenties stelen voor toekomstige imitatie. Dit risico ondergraaft andere garanties op het account, tussenpersonen zoals jumpservers en op de resources zelf. Zie Het principe van schone bron voor meer informatie
Het artikel biedt een overzicht van beveiligingscontroles om gedurende de levenscyclus een veilig werkstation te bieden voor gevoelige gebruikers.
Deze oplossing is afhankelijk van de belangrijkste beveiligingsmogelijkheden in het Windows 10 besturingssysteem, Microsoft Defender voor Eindpunt, Azure Active Directory en Microsoft InTune.
Wie profiteert van een beveiligd werkstation?
Alle gebruikers en operators profiteren van het gebruik van een beveiligd werkstation. Een aanvaller die inbreuk maakt op een pc of apparaat kan referenties/tokens imiteren of stelen voor alle accounts die deze gebruiken, waardoor veel of alle andere beveiligingsgaranties worden ondermijnd. Voor beheerders of gevoelige accounts kunnen aanvallers hierdoor bevoegdheden escaleren en de toegang die ze hebben in uw organisatie vergroten, vaak aanzienlijk tot domein-, globale of ondernemingsbeheerdersbevoegdheden.
Zie Beveiligingsniveaus voor bevoegde toegang voor meer informatie over beveiligingsniveaus en welke gebruikers moeten worden toegewezen aan welk niveau
Besturingselementen voor apparaatbeveiliging
De succesvolle implementatie van een beveiligd werkstation vereist dat het deel uitmaakt van een end-to-end-benadering, inclusief apparaten, accounts, tussenpersonen en beveiligingsbeleid dat wordt toegepast op uw toepassingsinterfaces. Alle elementen van de stack moeten worden aangepakt voor een volledige beveiligingsstrategie voor bevoegde toegang.
Deze tabel bevat een overzicht van de beveiligingsbesturingselementen voor verschillende apparaatniveaus:
| Profiel | Enterprise | Gespecialiseerd | Gemachtigd |
|---|---|---|---|
| Door Microsoft Endpoint Manager (MEM) beheerd | Ja | Ja | Ja |
| Registratie van BYOD-apparaten weigeren | Nee | Ja | Ja |
| MEM-beveiligingsbasislijn toegepast | Ja | Ja | Ja |
| Microsoft Defender voor Eindpunten | Ja* | Ja | Ja |
| Deelnemen aan een persoonlijk apparaat via Autopilot | Ja* | Ja* | Nee |
| URL's die zijn beperkt tot goedgekeurde lijst | De meeste toestaan | De meeste toestaan | Standaardinstelling weigeren |
| Verwijdering van beheerdersrechten | Ja | Ja | |
| Beheer van toepassingsuitvoering (AppLocker) | Controle -> Afgedwongen | Ja | |
| Toepassingen die alleen door MEM zijn geïnstalleerd | Ja | Ja |
Notitie
De oplossing kan worden geïmplementeerd met nieuwe hardware, bestaande hardware en BYOD-scenario's (Bring Your Own Device).
Op alle niveaus wordt een goede beveiligingsonderhoudshygiëne voor beveiligingsupdates afgedwongen door Intune-beleid. De verschillen in beveiliging naarmate het beveiligingsniveau van het apparaat toeneemt, zijn gericht op het verminderen van de kwetsbaarheid voor aanvallen die een aanvaller kan proberen te misbruiken (met behoud van zo veel mogelijk gebruikersproductiviteit). Apparaten op ondernemingsniveau en gespecialiseerde apparaten staan productiviteitstoepassingen en algemeen surfen op het web toe, maar werkstations met bevoegde toegang niet. Enterprise-gebruikers kunnen hun eigen toepassingen installeren, maar gespecialiseerde gebruikers niet (en zijn geen lokale beheerders van hun werkstations).
Notitie
Surfen op het web verwijst hier naar algemene toegang tot willekeurige websites, wat een activiteit met een hoog risico kan zijn. Dergelijke browsen verschilt sterk van het gebruik van een webbrowser om toegang te krijgen tot een klein aantal bekende beheerwebsites voor services zoals Azure, Microsoft 365, andere cloudproviders en SaaS-toepassingen.
Hardwarebasis van vertrouwensrelatie
Essentieel voor een beveiligd werkstation is een supply chain-oplossing waarbij u een vertrouwd werkstation gebruikt dat de 'basis van vertrouwen' wordt genoemd. Technologie waarmee rekening moet worden gehouden bij de selectie van de hardware voor de basis van vertrouwen, moet de volgende technologieën omvatten die zijn opgenomen in moderne laptops:
- Trusted Platform Module (TPM) 2.0
- BitLocker-stationsversleuteling
- Beveiligd opstarten van UEFI
- Stuurprogramma's en firmware gedistribueerd via Windows Update
- Virtualisatie en HVCI ingeschakeld
- Stuurprogramma's en apps HVCI-ready
- Windows Hello
- DMA I/O-beveiliging
- System Guard
- Moderne stand-by
Voor deze oplossing wordt basis van vertrouwen geïmplementeerd met behulp van Windows Autopilot-technologie met hardware die voldoet aan de moderne technische vereisten. Als u een werkstation wilt beveiligen, kunt u met Autopilot gebruikmaken van microsoft OEM-geoptimaliseerde Windows 10-apparaten. Deze apparaten zijn in een bekende goede staat van de fabrikant. In plaats van een mogelijk onveilig apparaat opnieuw te gebruiken, kan Autopilot een Windows 10 apparaat transformeren in een status 'bedrijfsklaar'. Hiermee worden instellingen en beleidsregels toegepast, apps geïnstalleerd en zelfs de editie van Windows 10 gewijzigd.
Apparaatrollen en -profielen
Deze richtlijnen laten zien hoe u Windows 10 kunt beperken en de risico's kunt verminderen die gepaard gaan met inbreuk op apparaten of gebruikers. Om te profiteren van de moderne hardwaretechnologie en het basisapparaat van vertrouwen, maakt de oplossing gebruik van Device Health Attestation. Deze mogelijkheid is aanwezig om ervoor te zorgen dat de aanvallers niet permanent kunnen zijn tijdens het vroeg opstarten van een apparaat. Dit gebeurt door gebruik te maken van beleid en technologie om beveiligingsfuncties en risico's te beheren.
- Enterprise Device : de eerste beheerde rol is geschikt voor thuisgebruikers, gebruikers van kleine bedrijven, algemene ontwikkelaars en ondernemingen waar organisaties de minimale beveiligingsbalk willen verhogen. Met dit profiel kunnen gebruikers alle toepassingen uitvoeren en door elke website bladeren, maar er is een antimalware- en eindpuntdetectie- en responsoplossing (EDR) vereist, zoals Microsoft Defender voor Eindpunt. Er wordt een op beleid gebaseerde benadering gebruikt om de beveiligingspostuur te verhogen. Het biedt een veilige manier om met klantgegevens te werken en tegelijkertijd productiviteitstools zoals e-mail en surfen op het web te gebruiken. Met controlebeleid en Intune kunt u een Enterprise-werkstation controleren op gebruikersgedrag en profielgebruik.
Het bedrijfsbeveiligingsprofiel in de richtlijnen voor de implementatie van bevoegde toegang maakt gebruik van JSON-bestanden om dit te configureren met Windows 10 en de opgegeven JSON-bestanden.
- Gespecialiseerd apparaat : dit is een aanzienlijke stap vooruit ten opzichte van het bedrijfsgebruik door de mogelijkheid om het werkstation zelf te beheren te verwijderen en te beperken welke toepassingen mogen worden uitgevoerd tot alleen de toepassingen die zijn geïnstalleerd door een geautoriseerde beheerder (in de programmabestanden en vooraf goedgekeurde toepassingen op de locatie van het gebruikersprofiel). Het verwijderen van de mogelijkheid om toepassingen te installeren kan van invloed zijn op de productiviteit als deze onjuist is geïmplementeerd. Zorg er dus voor dat u toegang hebt verleend tot Microsoft Store-toepassingen of door het bedrijf beheerde toepassingen die snel kunnen worden geïnstalleerd om aan de behoeften van gebruikers te voldoen. Zie Beveiligingsniveaus voor bevoegde toegang voor richtlijnen over welke gebruikers moeten worden geconfigureerd met apparaten op gespecialiseerd niveau
- De gespecialiseerde beveiligingsgebruiker vereist een meer gecontroleerde omgeving, terwijl het nog steeds activiteiten zoals e-mail en surfen op het web kan uitvoeren in een eenvoudig te gebruiken ervaring. Deze gebruikers verwachten dat functies zoals cookies, favorieten en andere snelkoppelingen werken, maar hebben niet de mogelijkheid nodig om hun apparaatbesturingssysteem te wijzigen of fouten op te sporen, stuurprogramma's te installeren of iets dergelijks te installeren.
Het gespecialiseerde beveiligingsprofiel in de richtlijnen voor de implementatie van bevoegde toegang maakt gebruik van JSON-bestanden om dit te configureren met Windows 10 en de opgegeven JSON-bestanden.
- Privileged Access Workstation (PAW): dit is de hoogste beveiligingsconfiguratie die is ontworpen voor uiterst gevoelige rollen die een aanzienlijke of materiële impact hebben op de organisatie als hun account is gehackt. De PAW-configuratie bevat beveiligingscontroles en beleidsregels die lokale beheerderstoegang en productiviteitsprogramma's beperken om de kwetsbaarheid voor aanvallen te minimaliseren tot alleen wat absoluut vereist is voor het uitvoeren van gevoelige taaktaken.
Dit maakt het PAW-apparaat moeilijk voor aanvallers om inbreuk te maken, omdat het de meest voorkomende vector voor phishingaanvallen blokkeert: e-mail en surfen op het web.
Om deze gebruikers productiviteit te bieden, moeten afzonderlijke accounts en werkstations worden opgegeven voor productiviteitstoepassingen en surfen op het web. Hoewel dit onhandig is, is dit een noodzakelijke controle om gebruikers te beschermen van wie het account schade kan toebrengen aan de meeste of alle resources in de organisatie.
- Een bevoegd werkstation biedt een beveiligd werkstation met duidelijk toepassingsbeheer en application guard. Het werkstation maakt gebruik van Credential Guard, Device Guard, App Guard en Exploit Guard om de host te beschermen tegen schadelijk gedrag. Alle lokale schijven worden versleuteld met BitLocker en webverkeer wordt beperkt tot een limiet van toegestane bestemmingen (Alles weigeren).
Het bevoegde beveiligingsprofiel in de richtlijnen voor de implementatie van bevoegde toegang maakt gebruik van JSON-bestanden om dit te configureren met Windows 10 en de opgegeven JSON-bestanden.