Proteger dispositivos como parte da história de acesso privilegiado
Estas diretrizes fazem parte de uma estratégia de acesso privilegiado completa e é implementada como parte da Implantação de acesso privilegiado
A segurança completa de Confiança Zero para acesso privilegiado requer um alicerce sólido de segurança de dispositivos sobre o qual construir outras garantias de segurança para a sessão. Embora as garantias de segurança possam ser aprimoradas na sessão, elas sempre serão limitadas pelo nível da força das garantias de segurança que estão no dispositivo de origem. Um invasor com controle desse dispositivo pode representar usuários ou roubar as credenciais deles para representação futura. Esse risco compromete outras garantias na conta, intermediários como jump servers e os próprios recursos. Para obter mais informações, consulte princípio de origem limpa
O artigo oferece uma visão geral dos controles de segurança que habilitam uma estação de trabalho segura para usuários confidenciais durante todo o ciclo de vida.
Esta solução depende dos principais recursos de segurança do sistema operacional Windows 10, do Microsoft Defender para Ponto de Extremidade, do Microsoft Entra ID e do Microsoft InTune.
Quem se beneficia de uma estação de trabalho segura?
Todos os usuários e operadores se beneficiam do uso de uma estação de trabalho segura. Um invasor que compromete um PC ou dispositivo pode representar ou roubar credenciais/tokens para todas as contas que utilizam esses recursos, comprometendo muitas ou todas as outras garantias de segurança. Para administradores ou contas confidenciais, isso permite aos invasores escalonar privilégios e aumentar o acesso que eles têm em sua organização, aumentando frequentemente privilégios como os de administrador corporativo, global ou de domínio.
Para obter detalhes sobre os níveis de segurança e quais usuários devem ser atribuídos a qual nível, consulte Níveis de segurança de acesso privilegiado
Controles de Segurança de Dispositivo
A implantação bem-sucedida de uma estação de trabalho segura exige que ela faça parte de uma abordagem de segurança completa, incluindo dispositivos, contas, intermediários e políticas de segurança aplicadas às interfaces de aplicativo. Todos os elementos da pilha de segurança devem ser abordados por uma estratégia de acesso privilegiado completa.
Esta tabela resume os controles de segurança para diferentes níveis de dispositivo:
| Perfil | Enterprise | Especializada | Com privilégios |
|---|---|---|---|
| Microsoft Endpoint Manager (MEM) gerenciado | Sim | Sim | Yes |
| Negação de inscrição de Dispositivo BYOD | Não | Sim | Yes |
| Linha de base de segurança de MEM aplicada | Sim | Sim | Yes |
| Microsoft Defender para ponto de extremidade | Sim* | Sim | Yes |
| Ingresso em dispositivo pessoal por meio de Autopilot | Sim* | Sim* | Não |
| URLs restritas à lista aprovada | Permitir maioria | Permitir maioria | Negar por padrão |
| Remoção de direitos de administrador | Sim | Yes | |
| Controle de execução de aplicativo (AppLocker) | Auditoria –> imposta | Yes | |
| Aplicativos instalados somente por MEM | Sim | Sim |
Observação
A solução pode ser implantada com novo hardware, hardware existente e cenários BYOD (traga seu próprio dispositivo).
Em todos os níveis, uma boa limpeza de manutenção para atualizações de segurança será imposta pelas políticas do Intune. As diferenças conforme o nível de segurança do dispositivo aumenta se concentram em reduzir a superfície de ataque que um invasor pode tentar explorar (preservando ao mesmo tempo a produtividade máxima possível do usuário). Dispositivos de nível corporativo/empresarial e de nível especializado permitem aplicativos de produtividade e navegação geral na Web, mas isso não acontece com as estações de trabalho com acesso privilegiado. Os usuários corporativos podem instalar seus próprios aplicativos, mas os usuários especializados não podem (e não são administradores locais de suas estações de trabalho).
Observação
A navegação na Web aqui refere-se ao acesso geral a sites arbitrários, o que pode ser uma atividade de alto risco. Essa navegação é distintamente diferente de usar um navegador da Web para acessar um pequeno número de sites administrativos conhecidos para serviços como o Azure, Microsoft 365, outros provedores de nuvem e aplicativos SaaS.
Raiz de hardware de confiança
Uma solução de cadeia de fornecedores em que você usa uma estação de trabalho confiável chamada "raiz de confiança" é essencial para ter uma estação de trabalho protegida. A tecnologia que deve ser considerada na seleção do hardware da raiz de confiança deve incluir as seguintes tecnologias de laptops modernos:
- Trusted Platform Module (TPM) 2.0
- Criptografia de Unidade de Disco BitLocker
- UEFI - Inicialização Segura
- Drivers e Firmware Distribuído por meio de Windows Update
- Virtualização e HVCI habilitadas
- Drivers e Aplicativos prontos para HVCI
- Windows Hello
- Proteção de E/S DMA
- System Guard
- Modern Standby
Para essa solução, a raiz de confiança será implantada usando a tecnologia Windows Autopilot com hardware que atende aos requisitos técnicos modernos. Para proteger uma estação de trabalho, o Autopilot permite aproveitar os dispositivos Windows 10 com otimização de OEM da Microsoft. Esses dispositivos vêm em um bom estado do fabricante. Em vez de refazer a imagem de um dispositivo potencialmente inseguro, o Autopilot pode transformar um dispositivo Windows 10 em um estado “pronto para negócios”. Ele aplica as configurações e políticas, instala aplicativos e altera a edição do Windows 10.
Funções de dispositivos e perfis
Esta orientação mostra como proteger o Windows 10 e reduzir os riscos associados ao comprometimento do dispositivo ou do usuário. Para se beneficiar da tecnologia de hardware moderna e do dispositivo de raiz de confiança, a solução usa Atestado de Integridade do Dispositivo. Esse recurso garante que os invasores não fiquem persistentes durante a inicialização de um dispositivo. Ele faz isso usando a política e a tecnologia que ajudam a gerenciar funcionalidades de segurança e riscos.
- Dispositivo corporativo – a primeira função gerenciada é boa para usuários domésticos, usuários de pequenas empresas, desenvolvedores gerais e empresas em que as organizações desejam aumentar o nível de segurança mínimo. Esse perfil permite que os usuários executem qualquer aplicativo e naveguem por qualquer site, mas é necessária uma solução antimalware e de detecção e resposta de ponto de extremidade (EDR) como o Microsoft Defender para Ponto de Extremidade. Para aumentar a postura de segurança, uma abordagem baseada em políticas é adotada. Isso fornece um modo seguro para trabalhar com dados do cliente e também para usar ferramentas de produtividade como email e navegação na Web. As políticas de auditoria e o Intune permitem monitorar o uso do perfil e do comportamento do usuário de uma estação de trabalho corporativa.
O perfil de segurança corporativa nas diretrizes de implantação de acesso privilegiado usa arquivos JSON para alinhar isso com o Windows 10 e os arquivos JSON fornecidos.
- Dispositivo especializado – Representa uma etapa significativa do uso corporativo/empresarial, removendo o recurso de autoadministrar a estação de trabalho e limitar quais aplicativos podem ser executados entre os aplicativos instalados por um administrador autorizado (nos arquivos de programas e aplicativos pré-aprovados no local do perfil de usuário). A remoção do recurso de instalar aplicativos pode afetar a produtividade se for implementada incorretamente, portanto, verifique se você forneceu acesso a aplicativos da Microsoft Store ou aplicativos corporativos gerenciados que podem ser instalados rapidamente para atender às necessidades dos usuários. Para obter orientação sobre quais usuários devem ser configurados com dispositivos de nível especializado, consulte Níveis de segurança de acesso privilegiado
- O usuário de segurança especializado exige um ambiente mais controlado e, ao mesmo tempo, pode realizar atividades como email e navegação na Web em uma experiência de uso simplificado. Esses usuários esperam que recursos como cookies, favoritos e outros atalhos funcionem, mas não exigem a capacidade de modificar ou depurar o sistema operacional do dispositivo, instalar drivers ou similares.
O perfil de segurança especializada nas diretrizes de implantação de acesso privilegiado usa arquivos JSON para configurar isso com o Windows 10 e os arquivos JSON fornecidos.
- Estações de trabalho com acesso privilegiado (PAW): esta é a configuração de segurança de nível mais elevado, projetada para funções extremamente confidenciais que acarretariam um impacto significativo ou material na organização se sua conta fosse comprometida. A configuração PAW inclui controles de segurança e políticas que restringem o acesso administrativo local e às ferramentas de produtividade para minimizar a superfície de ataque apenas com o necessário ao executar tarefas de trabalho confidenciais.
Isso torna o dispositivo PAW difícil de ser comprometido por invasores, pois bloqueia o vetor mais comum para ataques de phishing: email e navegação na Web.
Para garantir produtividade a esses usuários, é necessário fornecer contas e estações de trabalho separadas para aplicativos de produtividade e navegação na Web. Embora seja inconveniente, esse é um controle necessário para proteger os usuários cuja conta possa causar danos à maioria ou a todos os recursos na organização.
- Uma estação de trabalho privilegiada fornece uma estação de trabalho protegida que tem controle de aplicativo e proteção de aplicativo bem definidos. A estação de trabalho usa o a proteção de credencial, proteção de dispositivo, proteção de aplicativo e proteção contra exploração para proteger o host contra o comportamento mal-intencionado. Todos os discos locais são criptografados com BitLocker e o tráfego da Web é restrito a um conjunto limite de destinos permitidos (Negar tudo).
O perfil de segurança com privilégios nas diretrizes de implantação de acesso privilegiado usa arquivos JSON para configurar isso com o Windows 10 e os arquivos JSON fornecidos.
Próximas etapas
Implantar uma estação de trabalho segura e gerenciada pelo Azure.