Fase 2: Bevoegde werkstations configureren en beveiligen

Dit artikel maakt deel uit van de oplossingshandleiding voor een uitgebreide toegangsarchitectuur implementeren .

Bevoegde toegang vormt een kritiek beveiligingsrisico in de meeste organisaties, omdat hiermee directe controle over identiteitssystemen, cloudbesturingsvlakken en bedrijfskritieke assets mogelijk is.

Meer informatie over hoe een beveiligde bevoorrechte toegangsarchitectuur een cruciale rol speelt in uw bedrijfsscenario - Kritieke bedrijfsactiva beveiligen - door dit risico te verminderen en de controle over gevoelige systemen te versterken.

In dit artikel wordt fase 2 van de oplossing beschreven. Het implementeert en beveiligt Privileged Access Workstations (PAW's), zodat activiteiten met verhoogde bevoegdheden uitsluitend plaatsvinden vanaf vertrouwde apparaten. Deze fase bouwt voort op fase 1 en genereert de vertrouwenssignalen voor apparaten (Intune-naleving en het Microsoft Defender voor Eindpunt-risico) die worden gebruikt voor handhaving in fase 3.

Beveiligingsdoelen

Fase 2 zorgt ervoor dat bevoegde toegang:

  • Is uitsluitend afkomstig van vertrouwde, geharde apparaten.
  • Is geïsoleerd van productiviteitsactiviteiten met een hoog risico.
  • Produceert een schoon, betrouwbaar apparaatsignaal voor latere afdwinging.
  • Vermindert het risico op diefstal van aanmeldingsgegevens, hergebruik van tokens en sessiekaping.
  • Beperkt straal van explosie als een apparaat is aangetast.

Beveiligingsbereik

Bevoegde toegang is alleen net zo betrouwbaar als het apparaat van waaruit het afkomstig is. Identiteitsbeveiligingen, zoals MFA, goedkeuringen en activering van rollen, kunnen geen compensatie bieden voor een gecompromitteerd werkstation. Als een aanvaller het apparaat beheert dat wordt gebruikt voor bevoegde toegang, kan deze het volgende doen:

  • Stel verificatietokens nadat MFA is voltooid.
  • Injecteer schadelijke processen in beheersessies.
  • Referenties of tokens uit het geheugen opnieuw afspelen.
  • Goedkeuringswerkstromen overslaan door te werken als de legitieme gebruiker.

Voor bevoorrechte rollen kan één gecompromitteerd werkstation snelle escalatie naar tenantbrede of bedrijfsbrede controle mogelijk maken. Hierdoor definieert apparaatbeveiliging de bovengrens van vertrouwensrelatie voor bevoegde toegang. Beleid voor bevoegde toegang gaat er daarom van uit dat beheersessies afkomstig zijn van apparaten die voldoen aan de hoogste beveiligingsbalk. Deze apparaten vormen de vertrouwensgrens voor bevoegde bewerkingen.

Werkstations voor bevoegde toegang (PAWs)

Een PAW is een beveiligd, beheerd Windows werkstation dat uitsluitend is ontworpen voor bevoegde taken. PAW's definiëren de grens van de apparaatvertrouwensrelatie voor bevoegde toegang en zijn geïsoleerd van algemene aanvalsvectoren.

  • Zijn geïsoleerd van e-mail, algemene webbrowsers en productiviteitsworkloads.
  • Worden ingeschreven en beheerd via Microsoft Intune.
  • Gebruik Microsoft Entra ID voor identiteitsintegratie.
  • Worden bewaakt door Microsoft Defender voor Eindpunt.
  • Zorg voor een sterke vertrouwensbasis op basis van hardware.

Hier ziet u hoe PAW's passen vanuit het perspectief van een beveiligingsniveau/profiel.

Beveiligingsniveau Apparaatprofiel
Zakelijke gebruikers Standaard beheerd apparaat
Gespecialiseerde operators Beheerd apparaat met beperkte beveiliging
Geprivilegieerd (beheerders van de besturingslaag) PAW

Risico’s beperkt

Risico Waarom het belangrijk is Fase 1-mitigatie
Een aanvaller steelt authenticatietokens na MFA MFA beveiligt verificatie, niet de uitvoeringsomgeving. Als een werkstation is aangetast, kunnen aanvallers tokens na verificatie stelen en opnieuw gebruiken om bevoegde gebruikers te imiteren. PAW's isoleren geprivilegieerd werk op beveiligde apparaten met verminderde kwetsbaarheid voor aanvallen, referentiebeveiliging (Credential Guard) en continue bewaking, waardoor tokendiefstal van gecompromitteerde productiviteitsapparaten wordt voorkomen.
Schadelijke procesinjectie in beheersessies Aanvallers kunnen code injecteren in beheerhulpprogramma's of browsersessies op gecompromitteerde apparaten, waardoor ze de controle over bevoegde bewerkingen krijgen, zelfs wanneer identiteiten worden beveiligd. Toepassingsbeheer, verwijdering van lokale beheerdersrechten en beperkte uitvoering van toepassingen op PAW's voorkomen dat niet-geautoriseerde code wordt uitgevoerd tijdens beheersessies.
Referentieherplay vanuit het geheugen Aanvallers kunnen referenties of tokens extraheren uit het geheugen op gecompromitteerde werkstations en ze opnieuw afspelen om bevoegdheden te escaleren of lateraal te verplaatsen. PAW's dwingen isolatie van referenties af met behulp van beveiliging op basis van virtualisatie en beperkte besturingssysteemconfiguraties, waardoor de blootstelling van referenties in het geheugen wordt verminderd en de mogelijkheden voor opnieuw afspelen worden beperkt.
Omzeilde goedkeuringsworkflows vanaf gecompromitteerde apparaten Zelfs bij activering van rol op basis van goedkeuring kunnen aanvallers die een werkstation beheren goedgekeurde sessies kapen en snel bevoegdheden escaleren. Apparaatvertrouwen wordt een vereiste voor bevoegd werk. PAW's zorgen ervoor dat goedkeuringen en beheeracties alleen plaatsvinden vanaf apparaten die zijn ontworpen om inbreuk te weerstaan.
Snelle escalatie vanaf gecompromitteerd werkstation Eén gecompromitteerd beheerwerkstation kan aanvallers in staat stellen snel door te dringen tot identiteitssystemen, beheerlagen en bedrijfsbrede beheersystemen. Met apparaatbeveiliging wordt een bovengrens ingesteld voor vertrouwen. PAW's bieden de hoogste beveiligingsbalk, waardoor de kans wordt verkleind dat een aangetast eindpunt kan worden gebruikt om te escaleren naar bevoorrechte rollen.

Faseresultaten

Na voltooiing van fase 2:

  • Een of meer specifieke PAW-apparaten zijn geconfigureerd.
  • Bevoorrechte administratieve werkzaamheden mogen alleen afkomstig zijn van PAW's.
  • PAW's zijn geïsoleerd van productiviteitsgebruik.
  • Apparaten worden centraal beheerd, bewaakt en hersteld.
  • Veronderstellingen over apparaatvertrouwen zijn expliciet en afdwingbaar.
  • Latere fasen kunnen veilig voorwaardelijke toegang en bewaking toepassen.

Prerequisites

Voordat u procedures in dit artikel configureert:

  • Zorg ervoor dat de instructies voor fase 1 zijn voltooid.
  • Meer informatie over apparaatbeveiliging in het verhaal over bevoegde toegang.
  • De volgende services moeten beschikbaar zijn:
    • Microsoft Entra ID als id-provider.
    • Microsoft Intune voor apparaatbeheer.
    • Microsoft Defender voor Eindpunt voor bescherming tegen bedreigingen.
  • U hebt ten minste één ondersteund Windows apparaat per beheerder nodig, met moderne Windows hardware die ondersteuning biedt voor:
    • TPM 2.0
    • UEFI Secure Boot
    • BitLocker
    • Beveiliging op basis van virtualisatie (VBS/HVCI)
    • Firmware en stuurprogramma's die worden onderhouden via Windows Update.

Apparaten die niet aan deze balk voldoen, mogen niet worden gebruikt voor bevoegde toegang.

Stap 1: PAW-inrichting/levenscyclus definiëren

Definieer welke apparaten PAW's zijn, hoe ze worden gemaakt, ingeschreven, beheerd en voorkomen dat ze worden gebruikt voordat ze gereed zijn.

Een PAW-apparaatgroep maken

Deze groep bevat PAW-apparaten en wordt gebruikt voor:

  • Doelgroep voor inschrijving
  • Profielen voor hardening
  • Nalevingsevaluatie
  • Afdwingen van voorwaardelijke toegang in een latere fase.

Maak als volgt:

  1. Navigeer in het Microsoft Entra-beheercentrum naar Microsoft Entra ID>Groups>Nieuwe groep.

  2. Stel de groepsinstellingen in en selecteer vervolgens Maken.

    • Groepstype: Beveiliging
    • Groepsnaam: Beveiligde werkstationapparaten
    • Lidmaatschapstype: dynamische apparaten

  3. Selecteer Dynamische query toevoegen en voeg een regel toe met deze syntaxis: device.devicePhysicalIds -any _ -contains "[OrderID]: PAW"

  4. Selecteer Opslaan>Maken.

Apparaten die zijn ingeschreven met de PAW Autopilot-groepstag, worden geïdentificeerd door de regel voor dynamische PAW-apparaten en worden behandeld als werkstations voor bevoegde toegang.

Bepalen wie PAW's kan maken

Zorg ervoor dat PAW's bewust en veilig worden geregistreerd.

  • Beperken wie apparaten kan koppelen aan Microsoft Entra ID.
  • MFA vereisen om apparaten te koppelen.
  • Verwijder automatische lokale beheerdersrechten voor deelname.
  1. Navigeer in het Entra-beheercentrum naarapparaatinstellingen voor >.
  2. In Gebruikers kunnen apparaten toevoegen aan Microsoft Entra ID>Selected en selecteert u Secure Workstation Users.
  3. Selecteer in Meervoudige verificatie vereisen om apparaten toe te voegen de optie Ja.
  4. Selecteer in Aanvullende lokale beheerder op met Microsoft Entra verbonden apparaten, Geen.
  5. Sla de instellingen op.

Op deze locatie kunnen alleen PAW-gebruikers PAW's inschrijven, MFA is vereist en wordt geen PAW-gebruiker standaard een lokale beheerder.

PAW's beheren vanaf de eerste opstart

PAW's moeten vanaf de eerste opstart worden beheerd. Niet-beheerde apparaten kunnen niet worden vertrouwd voor bevoegde toegang.

  • Configureer Microsoft Entra ID om apparaten automatisch in te schrijven bij Intune.
  • Zorg ervoor dat alle PAW's direct na deelname worden beheerd door MDM.
  • Apparaatinschrijving beperken tot goedgekeurde platforms.
  1. Open Microsoft Entra ID>Mobility (MDM en MAM)>Microsoft Intune.
  2. Stel het MDM-gebruikersbereik in op Alles en sla het op.
  3. Inschrijvingsbeperkingen configureren:
    • Windows apparaatinschrijving toestaan.
    • Apparaten in persoonlijk eigendom blokkeren of beperken.

PAW's worden altijd beheerd, nooit onbeheerd.

PAW's consistent inrichten

Gebruik Windows Autopilot om het inrichten van PAW's consistent en herhaalbaar af te dwingen, zodat PAW's vanuit een aantoonbaar goede uitgangsstatus starten.

Maak een toegewezen Autopilot-implementatieprofiel en wijs dit toe aan de PAW-apparaatgroep.

  1. Ga in het Microsoft Intune-beheercentrum naar Devices>Windows>Windows enrollment>Deployment profiles.
  2. Selecteer Profiel maken en maak een profiel met de volgende instellingen:
    • Naam: Implementatieprofiel voor beveiligd werkstation
    • Alle doelapparaten converteren naar Autopilot: Ja
    • Implementatiemodus: Zelfimplementatie
    • Gebruikersaccounttype: Standaard
  3. Klik op Creëren.

Voorkom dat PAW's worden gebruikt voordat hardening is toegepast

Voorkom dat PAW's worden gebruikt voordat ze volledig worden beveiligd. Dit voorkomt vroege blootstelling tijdens de installatie.

  • Een pagina Status van inschrijving configureren (ESP)
  • Apparaatgebruik blokkeren totdat alle vereiste profielen en toepassingen worden geïnstalleerd
  • ESP toewijzen aan PAW-apparaten

  1. Ga in het Microsoft Intune-beheercentrum naar Devices>Windows>Windows enrollment>Inschrijvingsstatus.

  2. Selecteer Profiel maken en maak een profiel met de volgende instellingen:

    • Voortgang van app- en profielinstallatie weergeven: Ja
    • Apparaatgebruik blokkeren totdat alle apps en profielen zijn geïnstalleerd: Ja

  3. Wijs toe aan Beveiligde werkstations en selecteer Aanmaken.

Doorlopende levenscyclusbewerkingen

  1. PAWs herstellen en opnieuw opbouwen:

    • Stel PAW’s opnieuw in / rol ze opnieuw uit via Autopilot als ze zijn gecompromitteerd.
    • Beschouw PAW’s als vervangbaar; repareer ze niet handmatig.

  2. Gebruik het volgende om PAWs te identificeren en te volgen:

    • Lidmaatschap van apparaatgroep
    • Autopilot-registratie

Met deze processen zijn PAW’s eenduidig identificeerbare, centraal beheerde apparaten die kunnen worden geïnventariseerd, gecontroleerd en veilig kunnen worden gewist en via Autopilot opnieuw geprovisioneerd als ze gecompromitteerd raken.

Stap 2: PAW’s beveiligen

Beveilig Privileged Access Workstations (PAW's) zodat ze een schoon apparaatsignaal met een laag risico afgeven. Beveiligingsmaatregelen omvatten het verminderen van het kwetsbaarheid voor aanvallen, het afdwingen van patches en het produceren van Defender risico-/nalevingssignalen.

Beheerelementen voor voorwaardelijke toegang en monitoring zijn afhankelijk van deze beveiligingsstatus om beslissingen over bevoorrechte toegang af te dwingen.

Bij deze besturingselementen wordt ervan uitgegaan dat PAW's voldoen aan de vereiste vereisten voor hardwarebeveiliging die eerder zijn gedefinieerd.

Windows Update-ringen configureren

PAWs moeten snel en op een voorspelbare manier van patches worden voorzien. Vertragingen of door de gebruiker beheerde uitstelbewerkingen ondermijnen het vertrouwen van apparaten.

  1. Ga in het Microsoft Intune-beheercentrum naar Devices>Windows>Software-updates>Windows Update-ringen.

  2. Selecteer Profiel maken.

  3. Configureer de volgende instellingen:

    • Naam: PAW – Windows Update ring
    • Uitstel van kwaliteitsupdate (dagen): 3
    • Uitstel van functie-update (dagen): 3
    • Gedrag van automatische updates: Automatisch installeren en opnieuw opstarten zonder controle door de eindgebruiker
    • Voorkomen dat de gebruiker updates pauzeert: Blokkeren
    • Stel de uiterste termijn in voor wachtende herstarts: 3 dagen

  4. Wijs in Toewijzingen beveiligde werkstationapparaten toe.

  5. Maak het profiel.

Nadat u deze procedure hebt voltooid, blijven PAW's gepatcht met een minimale blootstellingsperiode en zonder mogelijkheid voor gebruikers om dit te omzeilen.

Registreren bij Defender for Endpoint

Voorwaardelijke toegang en naleving zijn afhankelijk van Defender risicosignalen. Zonder Defender for Endpoint is apparaatvertrouwen onvolledig.

  1. Ga in het Microsoft Intune-beheercentrum naar Beveiliging>Microsoft Defender voor Eindpunt.
  2. Stel Connect Microsoft Defender voor Eindpunt to Intune in op On.
  3. Selecteer Opslaan.
  4. Vernieuw in Intune om de verbinding te bevestigen.

Een onboardingprofiel maken

  1. Ga in het Microsoft Intune-beheercentrum naar Endpoint-beveiliging>Dedpoint-detectie en -respons.

  2. Selecteer Profiel maken en configureer de volgende instellingen:

    • Platform: Windows 10 en hoger
    • Profieltype: Eindpuntdetectie en -respons
    • Naam: PAW - Defender for Endpoint

  3. Schakel in Configuratie-instellingenhet delen van voorbeelden voor alle bestanden in.

  4. Wijs deze toe aan de groep Apparaten voor beveiligde werkstations .

  5. Maak het profiel.

Nadat u de procedure hebt geconfigureerd, verzenden PAW's apparaatrisico's, malware en EDR-telemetrie die wordt gebruikt door voorwaardelijke toegang en SecOps.

Firewall- en netwerkbeperkingen afdwingen

De meeste PAW-inbreukpaden zijn uitgaand. Het beperken van uitgaand verkeer is essentieel.

  1. Ga in het Microsoft Intune-beheercentrum naar Beveiliging>Firewall.
  2. Maak een Endpoint Protection-profiel .
  3. Configureer uitgaande firewallregels om alleen vereiste services toe te staan, zoals DNS, DHCP, NTP en goedgekeurde beheer- en beheereindpunten. Blokkeer standaard onnodig uitgaand verkeer.
  4. Toewijzen aan Secure Workstation-apparaten.

Nadat u de procedure hebt geconfigureerd, kunnen PAW's alleen beheereindpunten bereiken die vereist zijn voor beheertaken.

Volgende stappen 

Wanneer PAW's zijn geconfigureerd en beveiligd, is de volgende stap het afdwingen van bevoegde toegang met behulp van voorwaardelijke toegang en beleid.

  • Last updated on