Zabezpieczanie urządzeń w ramach scenariusza dostępu uprzywilejowanego
Te wskazówki są częścią pełnej strategii dostępu uprzywilejowanego i są implementowane w ramach wdrożenia dostępu uprzywilejowanego
Kompleksowe zabezpieczenia zerowego zaufania dla uprzywilejowanego dostępu wymagają silnej podstawy zabezpieczeń urządzeń, na których można utworzyć inne zabezpieczenia dla sesji. Podczas gdy w sesji mogą być rozszerzone zabezpieczenia, zawsze będą one ograniczone przez to, jak silne zabezpieczenia znajdują się na urządzeniu źródłowym. Osoba atakująca z kontrolą tego urządzenia może personifikować użytkowników na nim lub ukraść swoje poświadczenia na potrzeby przyszłego personifikacji. To ryzyko podważa inne gwarancje na koncie, pośredników, takich jak serwery przesiadkowe, i na samych zasobach. Aby uzyskać więcej informacji, zobacz zasada czystego źródła
Artykuł zawiera omówienie mechanizmów kontroli zabezpieczeń zapewniających bezpieczną stację roboczą dla poufnych użytkowników w całym cyklu życia.
To rozwiązanie opiera się na podstawowych możliwościach zabezpieczeń w systemie operacyjnym Windows 10, Ochrona punktu końcowego w usłudze Microsoft Defender, Microsoft Entra ID i Microsoft InTune.
KtoTo korzyści z bezpiecznej stacji roboczej?
Wszyscy użytkownicy i operatorzy korzystają z bezpiecznej stacji roboczej. Osoba atakująca, która naruszy bezpieczeństwo komputera lub urządzenia, może personifikować lub ukraść poświadczenia/tokeny dla wszystkich kont, które go używają, podważając wiele lub wszystkie inne zabezpieczenia. W przypadku administratorów lub kont poufnych osoby atakujące mogą eskalować uprawnienia i zwiększyć dostęp, jaki mają w organizacji, często znacząco do domeny, uprawnień administratora globalnego lub administratora przedsiębiorstwa.
Aby uzyskać szczegółowe informacje na temat poziomów zabezpieczeń i których użytkowników należy przypisać do jakiego poziomu, zobacz Poziomy zabezpieczeń dostępu uprzywilejowanego
Mechanizmy kontroli zabezpieczeń urządzeń
Pomyślne wdrożenie bezpiecznej stacji roboczej wymaga, aby była częścią kompleksowego podejścia, w tym urządzeń, kont, pośredników i zasad zabezpieczeń stosowanych do interfejsów aplikacji. Wszystkie elementy stosu należy rozwiązać w celu uzyskania pełnej strategii zabezpieczeń dostępu uprzywilejowanego.
W tej tabeli przedstawiono podsumowanie mechanizmów kontroli zabezpieczeń dla różnych poziomów urządzeń:
Profile | Przedsiębiorstwa | Wyspecjalizowany | Uprzywilejowane |
---|---|---|---|
Zarządzane przez rozwiązanie Microsoft Endpoint Manager (MEM) | Tak | Tak | Tak |
Odmowa rejestracji urządzenia BYOD | Nie. | Tak | Tak |
Zastosowano punkt odniesienia zabezpieczeń MEM | Tak | Tak | Tak |
Usługa Microsoft Defender dla punktu końcowego | Tak* | Tak | Tak |
Dołączanie urządzenia osobistego za pośrednictwem rozwiązania Autopilot | Tak* | Tak* | Nie. |
Adresy URL ograniczone do listy zatwierdzonych | Zezwalaj na większość | Zezwalaj na większość | Odmów domyślnej |
Usuwanie praw administratora | Tak | Tak | |
Kontrola wykonywania aplikacji (AppLocker) | Inspekcja —> wymuszone | Tak | |
Aplikacje zainstalowane tylko przez MEM | Tak | Tak |
Uwaga
Rozwiązanie można wdrożyć przy użyciu nowego sprzętu, istniejącego sprzętu i scenariuszy byOD .
Na wszystkich poziomach dobra higiena konserwacji zabezpieczeń aktualizacji zabezpieczeń będzie wymuszana przez zasady usługi Intune. Różnice w zabezpieczeniach w miarę zwiększania poziomu zabezpieczeń urządzeń koncentrują się na zmniejszeniu obszaru ataków, które osoba atakująca może podjąć próbę wykorzystania (zachowując jak najwięcej produktywności użytkowników). Urządzenia na poziomie korporacyjnym i wyspecjalizowanym umożliwiają aplikacje zwiększające produktywność i ogólne przeglądanie w Internecie, ale stacje robocze z dostępem uprzywilejowanym nie są. Użytkownicy korporacyjni mogą instalować własne aplikacje, ale wyspecjalizowani użytkownicy mogą nie (i nie są lokalnymi administratorami stacji roboczych).
Uwaga
Przeglądanie sieci Web w tym miejscu odnosi się do ogólnego dostępu do dowolnych witryn internetowych, które mogą być działaniami wysokiego ryzyka. Takie przeglądanie różni się od korzystania z przeglądarki internetowej w celu uzyskania dostępu do niewielkiej liczby dobrze znanych witryn administracyjnych dla usług, takich jak Azure, Microsoft 365, inni dostawcy usług w chmurze i aplikacje SaaS.
Katalog główny sprzętu zaufania
Niezbędna dla zabezpieczonej stacji roboczej jest rozwiązaniem łańcucha dostaw, w którym używasz zaufanej stacji roboczej nazywanej "katalogiem głównym zaufania". Technologia, którą należy wziąć pod uwagę w wyborze głównego sprzętu zaufania, powinna obejmować następujące technologie zawarte w nowoczesnych laptopach:
- Moduł TPM (Trusted Platform Module) 2.0
- Szyfrowanie dysków funkcją BitLocker
- Bezpieczny rozruch UEFI
- Sterowniki i oprogramowanie układowe dystrybuowane za pośrednictwem usługi Windows Update
- Wirtualizacja i włączona funkcja HVCI
- Sterowniki i aplikacje gotowe do użycia przez interfejs HVCI
- Windows Hello
- Ochrona we/wy dma
- System Guard
- Nowoczesne wstrzymanie
W przypadku tego rozwiązania główny element zaufania zostanie wdrożony przy użyciu technologii Windows Autopilot ze sprzętem spełniającym nowoczesne wymagania techniczne. Aby zabezpieczyć stację roboczą, rozwiązanie Autopilot umożliwia korzystanie z urządzeń z systemem Windows 10 zoptymalizowanych pod kątem producenta OEM firmy Microsoft. Te urządzenia są w znanym dobrym stanie od producenta. Zamiast ponownie wyobrażać sobie potencjalnie niezabezpieczone urządzenie, rozwiązanie Autopilot może przekształcić urządzenie z systemem Windows 10 w stan "gotowy do działania". Stosuje ustawienia i zasady, instaluje aplikacje, a nawet zmienia wersję systemu Windows 10.
Role i profile urządzeń
W tych wskazówkach pokazano, jak wzmocnić zabezpieczenia systemu Windows 10 i zmniejszyć ryzyko związane z naruszeniem zabezpieczeń urządzenia lub użytkownika. Aby korzystać z nowoczesnej technologii sprzętowej i głównego źródła zaufania urządzenia, rozwiązanie korzysta z zaświadczania o kondycji urządzenia. Ta możliwość zapewnia, że osoby atakujące nie mogą być trwałe podczas wczesnego rozruchu urządzenia. Robi to przy użyciu zasad i technologii, aby ułatwić zarządzanie funkcjami zabezpieczeń i ryzykiem.
- Urządzenie przedsiębiorstwa — pierwsza rola zarządzana jest dobra dla użytkowników domowych, użytkowników małych firm, deweloperów ogólnych i przedsiębiorstw, w których organizacje chcą podnieść minimalny pasek zabezpieczeń. Ten profil umożliwia użytkownikom uruchamianie dowolnych aplikacji i przeglądanie dowolnej witryny internetowej, ale wymagane jest rozwiązanie chroniące przed złośliwym oprogramowaniem i wykrywanie i reagowanie w punktach końcowych (EDR), takie jak Ochrona punktu końcowego w usłudze Microsoft Defender. Podejście oparte na zasadach w celu zwiększenia poziomu zabezpieczeń jest podejmowane. Zapewnia ona bezpieczny sposób pracy z danymi klientów, a jednocześnie korzystanie z narzędzi zwiększających produktywność, takich jak poczta e-mail i przeglądanie w Internecie. Zasady inspekcji i usługa Intune umożliwiają monitorowanie stacji roboczej przedsiębiorstwa pod kątem zachowania użytkownika i użycia profilu.
Profil zabezpieczeń przedsiębiorstwa we wskazówkach dotyczących wdrażania dostępu uprzywilejowanego używa plików JSON do skonfigurowania go za pomocą systemu Windows 10 i udostępnionych plików JSON.
- Wyspecjalizowane urządzenie — stanowi to znaczący krok od użycia przedsiębiorstwa przez usunięcie możliwości samodzielnego administrowania stacją roboczą i ograniczenia aplikacji, które mogą być uruchamiane tylko do aplikacji zainstalowanych przez autoryzowanego administratora (w plikach programu i wstępnie zatwierdzonych aplikacji w lokalizacji profilu użytkownika. Usunięcie możliwości instalowania aplikacji może mieć wpływ na wydajność w przypadku nieprawidłowego wdrożenia, dlatego upewnij się, że masz dostęp do aplikacji ze sklepu Microsoft store lub aplikacji zarządzanych przez firmę Microsoft, które mogą być szybko instalowane w celu zaspokojenia potrzeb użytkowników. Aby uzyskać wskazówki dotyczące konfigurowania użytkowników z urządzeniami na poziomie wyspecjalizowanym, zobacz Privileged access security levels (Poziomy zabezpieczeń dostępu uprzywilejowanego)
- Wyspecjalizowany użytkownik zabezpieczeń wymaga bardziej kontrolowanego środowiska, jednocześnie będąc w stanie wykonywać działania, takie jak poczta e-mail i przeglądanie w Internecie w prostym środowisku użytkowania. Ci użytkownicy oczekują takich funkcji, jak pliki cookie, ulubione i inne skróty do pracy, ale nie wymagają możliwości modyfikowania ani debugowania systemu operacyjnego urządzenia, instalowania sterowników lub podobnych.
Wyspecjalizowany profil zabezpieczeń we wskazówkach dotyczących wdrażania dostępu uprzywilejowanego używa plików JSON do skonfigurowania go za pomocą systemu Windows 10 i udostępnionych plików JSON.
- Stacja robocza z dostępem uprzywilejowanym (PAW) — jest to najwyższa konfiguracja zabezpieczeń przeznaczona dla bardzo wrażliwych ról, które miałyby znaczący lub istotny wpływ na organizację, gdyby ich konto zostało naruszone. Konfiguracja stacji roboczej z dostępem uprzywilejowanym obejmuje mechanizmy kontroli zabezpieczeń i zasady, które ograniczają lokalny dostęp administracyjny i narzędzia zwiększające produktywność w celu zminimalizowania obszaru ataków tylko do tego, co jest absolutnie wymagane do wykonywania poufnych zadań podrzędnych.
To sprawia, że urządzenie PAW jest trudne do naruszenia zabezpieczeń, ponieważ blokuje najbardziej typowy wektor ataków wyłudzających informacje: wiadomości e-mail i przeglądania internetu.
Aby zapewnić produktywność tym użytkownikom, należy zapewnić oddzielne konta i stacje robocze na potrzeby aplikacji zwiększających produktywność i przeglądania w Internecie. Chociaż niewygodne, jest to niezbędna kontrola w celu ochrony użytkowników, których konto może wyrządzić szkody większości lub wszystkim zasobom w organizacji.
- Stacja robocza z uprzywilejowanym dostępem zapewnia stację roboczą ze wzmocnionym zabezpieczeniami, która ma czystą kontrolę aplikacji i ochronę aplikacji. Stacja robocza używa funkcji credential guard, device guard, app guard i exploit guard w celu ochrony hosta przed złośliwym zachowaniem. Wszystkie dyski lokalne są szyfrowane za pomocą funkcji BitLocker, a ruch internetowy jest ograniczony do limitu dozwolonych miejsc docelowych (odmów wszystkich).
Profil zabezpieczeń uprzywilejowanych we wskazówkach dotyczących wdrażania dostępu uprzywilejowanego używa plików JSON do skonfigurowania go za pomocą systemu Windows 10 i udostępnionych plików JSON.
Następne kroki
Wdrażanie bezpiecznej stacji roboczej zarządzanej przez platformę Azure.