Notatka
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Te wskazówki są częścią pełnej strategii dostępu uprzywilejowanego i są implementowane w ramach wdrożenia dostępu uprzywilejowanego
Kompleksowe zabezpieczenia zerowego zaufania dla uprzywilejowanego dostępu wymagają silnej podstawy zabezpieczeń urządzeń, na których można utworzyć inne zabezpieczenia dla sesji. Podczas gdy zabezpieczenia można zwiększyć w sesji, są one ograniczone przez to, jak silne zabezpieczenia znajdują się na urządzeniu źródłowym. Osoba atakująca z kontrolą tego urządzenia może podszywać się pod użytkowników na nim lub ukraść ich poświadczenia na potrzeby przyszłego podszywania się. To ryzyko podważa inne zapewnienia dotyczące konta, pośredników takich jak serwery przeskokowe, i na same zasoby. Aby uzyskać więcej informacji, zobacz zasada czystego źródła
Artykuł zawiera omówienie mechanizmów kontroli zabezpieczeń zapewniających bezpieczną stację roboczą dla poufnych użytkowników w całym cyklu życia.
To rozwiązanie opiera się na podstawowych funkcjach zabezpieczeń w systemie operacyjnym Windows 10, Microsoft Defender for Endpoint, Microsoft Entra ID i Microsoft Intune.
Kto korzysta z bezpiecznej stacji roboczej?
Wszyscy użytkownicy i operatorzy korzystają z bezpiecznej stacji roboczej. Osoba atakująca, która naruszy bezpieczeństwo komputera lub urządzenia, może personifikować lub ukraść poświadczenia/tokeny dla wszystkich kont, które go używają, podważając wiele lub wszystkie inne zabezpieczenia. W przypadku administratorów lub kont poufnych osoby atakujące mogą eskalować uprawnienia i zwiększyć dostęp, jaki mają w organizacji, często znacząco do domeny, uprawnień administratora globalnego lub administratora przedsiębiorstwa.
Aby uzyskać szczegółowe informacje na temat poziomów zabezpieczeń i których użytkowników należy przypisać do jakiego poziomu, zobacz Poziomy zabezpieczeń dostępu uprzywilejowanego
Mechanizmy kontroli zabezpieczeń urządzeń
Pomyślne wdrożenie bezpiecznej stacji roboczej wymaga, aby była częścią kompleksowego podejścia, w tym urządzeń, kont, pośredników i zasad zabezpieczeń stosowanych do interfejsów aplikacji. Wszystkie elementy stosu należy rozwiązać w celu uzyskania pełnej strategii zabezpieczeń dostępu uprzywilejowanego.
W tej tabeli przedstawiono podsumowanie mechanizmów kontroli zabezpieczeń dla różnych poziomów urządzeń:
| Profile | Enterprise | Specjalistyczne | Uprzywilejowany |
|---|---|---|---|
| Zarządzane przez rozwiązanie Microsoft Endpoint Manager (MEM) | Tak | Tak | Tak |
| Odmowa rejestracji urządzenia BYOD | Nie. | Tak | Tak |
| Zastosowano punkt odniesienia zabezpieczeń MEM | Tak | Tak | Tak |
| Usługa Microsoft Defender dla punktu końcowego | Tak* | Tak | Tak |
| Dołączanie urządzenia osobistego za pośrednictwem rozwiązania Autopilot | Tak* | Tak* | Nie. |
| Adresy URL ograniczone do listy zatwierdzonych | Zezwalaj na większość | Zezwól na większość | Odmów ustawienia domyślnego |
| Usuwanie praw administratora | Tak | Tak | |
| Kontrola wykonywania aplikacji (AppLocker) | Audyt —> wymuszony | Tak | |
| Aplikacje zainstalowane tylko przez MEM | Tak | Tak |
Uwaga / Notatka
Rozwiązanie można wdrożyć przy użyciu nowego sprzętu, sprzętu istniejącego oraz w scenariuszach BYOD.
Na wszystkich poziomach dobra praktyka higieny w zakresie konserwacji aktualizacji zabezpieczeń będzie wymuszana przez zasady Intune. Różnice w zabezpieczeniach w miarę zwiększania poziomu zabezpieczeń urządzeń koncentrują się na zmniejszeniu obszaru ataków, które osoba atakująca może podjąć próbę wykorzystania (zachowując jak najwięcej produktywności użytkowników). Urządzenia na poziomie korporacyjnym i wyspecjalizowanym umożliwiają korzystanie z aplikacji zwiększających produktywność i przeglądanie Internetu, ale stacje robocze z dostępem uprzywilejowanym tego nie umożliwiają. Użytkownicy korporacyjni mogą instalować własne aplikacje, ale wyspecjalizowani użytkownicy mogą nie (i nie są lokalnymi administratorami stacji roboczych).
Uwaga / Notatka
Przeglądanie sieci Web w tym miejscu odnosi się do ogólnego dostępu do dowolnych witryn internetowych, które mogą być działaniami wysokiego ryzyka. Takie przeglądanie różni się od korzystania z przeglądarki internetowej w celu uzyskania dostępu do niewielkiej liczby dobrze znanych witryn administracyjnych dla usług, takich jak Azure, Microsoft 365, inni dostawcy usług w chmurze i aplikacje SaaS.
Sprzętowy rdzeń zaufania
Dla zabezpieczonej stacji roboczej niezbędne jest rozwiązanie łańcucha dostaw, w którym używasz zaufanej stacji roboczej nazywanej "korzeniem zaufania". Technologia, którą należy wziąć pod uwagę w wyborze głównego sprzętu zaufania, powinna obejmować następujące technologie zawarte w nowoczesnych laptopach:
- Moduł TPM (Trusted Platform Module) 2.0
- Szyfrowanie dysków funkcją BitLocker
- Bezpieczny rozruch UEFI
- Sterowniki i oprogramowanie układowe dystrybuowane za pośrednictwem usługi Windows Update
- Wirtualizacja i włączona funkcja HVCI
- Sterowniki i aplikacje gotowe na HVCI
- Windows Hello
- Ochrona we/wy dma
- System Guard
- Modern Standby
W przypadku tego rozwiązania główny element zaufania zostanie wdrożony przy użyciu technologii Windows Autopilot ze sprzętem spełniającym nowoczesne wymagania techniczne. Aby zabezpieczyć stację roboczą, rozwiązanie Autopilot umożliwia korzystanie z urządzeń z systemem Windows 10 zoptymalizowanych pod kątem producenta OEM firmy Microsoft. Te urządzenia są w znanym dobrym stanie od producenta. Zamiast ponownie wyobrażać sobie potencjalnie niezabezpieczone urządzenie, rozwiązanie Autopilot może przekształcić urządzenie z systemem Windows 10 w stan "gotowy do działania". Stosuje ustawienia i zasady, instaluje aplikacje i zmienia wersję systemu Windows 10.
Role i profile urządzeń
W tych wskazówkach pokazano, jak wzmocnić zabezpieczenia systemu Windows 10 i zmniejszyć ryzyko związane z naruszeniem zabezpieczeń urządzenia lub użytkownika. Aby korzystać z nowoczesnej technologii sprzętowej i głównego źródła zaufania urządzenia, rozwiązanie korzysta z zaświadczania o kondycji urządzenia. Ta możliwość zapewnia, że osoby atakujące nie mogą być trwałe podczas wczesnego rozruchu urządzenia. Robi to przy użyciu zasad i technologii, aby ułatwić zarządzanie funkcjami zabezpieczeń i ryzykiem.
- Enterprise Device — pierwsza rola zarządzana jest odpowiednia dla użytkowników domowych, użytkowników małych firm, deweloperów ogólnych i przedsiębiorstw, w których organizacje chcą podnieść minimalny poziom zabezpieczeń. Ten profil umożliwia użytkownikom uruchamianie dowolnych aplikacji i przeglądanie dowolnej witryny internetowej, ale wymagane jest rozwiązanie chroniące przed złośliwym oprogramowaniem i wykrywanie punktów końcowych oraz reagowanie (EDR), takie jak Usługa Microsoft Defender dla punktu końcowego . Podejście oparte na zasadach w celu zwiększenia poziomu zabezpieczeń jest podejmowane. Zapewnia ona bezpieczny sposób pracy z danymi klientów, a jednocześnie korzystanie z narzędzi zwiększających produktywność, takich jak poczta e-mail i przeglądanie w Internecie. Zasady inspekcji i usługa Intune umożliwiają monitorowanie stacji roboczej przedsiębiorstwa pod kątem zachowania użytkownika i użycia profilu.
Profil zabezpieczeń przedsiębiorstwa we wskazówkach dotyczących wdrażania dostępu uprzywilejowanego używa plików JSON do skonfigurowania go za pomocą systemu Windows 10 i udostępnionych plików JSON.
-
Wyspecjalizowane urządzenie — to oznacza istotny krok naprzód w porównaniu do standardowego użycia przedsiębiorstwa, poprzez usunięcie możliwości samodzielnego administrowania stacją roboczą oraz ograniczenie aplikacji, które mogą być uruchamiane, tylko do tych zainstalowanych przez autoryzowanego administratora (w plikach programu i wstępnie zatwierdzonych aplikacji w lokalizacji profilu użytkownika). Usunięcie możliwości instalowania aplikacji może mieć wpływ na wydajność w przypadku nieprawidłowego wdrożenia, dlatego upewnij się, że masz dostęp do aplikacji ze sklepu Microsoft store lub aplikacji zarządzanych przez firmę Microsoft, które mogą być szybko instalowane w celu zaspokojenia potrzeb użytkowników. Aby uzyskać wskazówki dotyczące konfigurowania użytkowników z urządzeniami na poziomie wyspecjalizowanym, zobacz Privileged access security levels (Poziomy zabezpieczeń dostępu uprzywilejowanego)
- Wyspecjalizowany użytkownik zabezpieczeń wymaga bardziej kontrolowanego środowiska, jednocześnie będąc w stanie wykonywać działania, takie jak poczta e-mail i przeglądanie w Internecie w prostym środowisku użytkowania. Ci użytkownicy oczekują takich funkcji, jak pliki cookie, ulubione i inne skróty do pracy, ale nie wymagają możliwości modyfikowania ani debugowania systemu operacyjnego urządzenia, instalowania sterowników lub podobnych.
Wyspecjalizowany profil zabezpieczeń we wskazówkach dotyczących wdrażania dostępu uprzywilejowanego używa plików JSON do skonfigurowania go za pomocą systemu Windows 10 i udostępnionych plików JSON.
-
Stacja robocza z dostępem uprzywilejowanym (PAW) — jest to najwyższa konfiguracja zabezpieczeń przeznaczona dla bardzo wrażliwych ról, które miałyby znaczący lub istotny wpływ na organizację, gdyby ich konto zostało naruszone. Konfiguracja PAW (Privileged Access Workstation) obejmuje mechanizmy kontroli zabezpieczeń i zasady, które ograniczają lokalny dostęp administracyjny oraz narzędzia produktywnościowe w celu zminimalizowania powierzchni ataków tylko do tego, co jest absolutnie wymagane do wykonywania wrażliwych zadań.
To sprawia, że urządzenie PAW jest trudne do przejęcia przez atakujących, ponieważ blokuje najczęściej stosowany wektor ataków phishingowych: przeglądanie internetu oraz pocztę e-mail.
Aby zapewnić produktywność tym użytkownikom, należy zapewnić oddzielne konta i stacje robocze na potrzeby aplikacji zwiększających produktywność i przeglądania w Internecie. Chociaż niewygodne, jest to niezbędna kontrola w celu ochrony użytkowników, których konto może wyrządzić szkody większości lub wszystkim zasobom w organizacji.
- Stacja robocza o uprzywilejowanym dostępie zapewnia stację roboczą o zwiększonym poziomie zabezpieczeń, która ma jasną kontrolę aplikacji oraz ochronę aplikacji. Stacja robocza używa funkcji credential guard, device guard, app guard i exploit guard w celu ochrony hosta przed złośliwym zachowaniem. Wszystkie dyski lokalne są szyfrowane za pomocą funkcji BitLocker, a ruch internetowy jest ograniczony do limitu dozwolonych miejsc docelowych (odmów wszystkich).
Profil zabezpieczeń uprzywilejowanych we wskazówkach dotyczących wdrażania dostępu uprzywilejowanego używa plików JSON do skonfigurowania go za pomocą systemu Windows 10 i udostępnionych plików JSON.
Dalsze kroki
Wdrażanie bezpiecznej stacji roboczej zarządzanej przez platformę Azure.