Fase 2: Configurar e proteger estações de trabalho com privilégios

Este artigo faz parte do guia implementar uma solução de arquitetura de acesso privilegiado.

O acesso privilegiado apresenta um risco crítico à segurança na maioria das organizações porque permite o controle direto sobre sistemas de identidade, planos de controle de nuvem e ativos críticos para os negócios.

Saiba como uma arquitetura de acesso privilegiado seguro desempenha um papel crítico em seu cenário de negócios – Proteger ativos comerciais críticos – reduzindo esse risco e fortalecendo o controle sobre sistemas confidenciais.

Este artigo descreve a Fase 2 da solução. Ele implanta e protege PAWs (Estações de Trabalho de Acesso Privilegiado) para que a atividade privilegiada se origine apenas de dispositivos confiáveis. Baseia-se na Fase 1 e produz os sinais de confiança do dispositivo (conformidade do Intune e risco do Microsoft Defender para Ponto de Extremidade) usados para aplicação na Fase 3.

Metas de proteção

A fase 2 garante o acesso privilegiado:

  • Tem origem somente em dispositivos confiáveis e fortalecidos.
  • É isolado de atividades de produtividade de alto risco.
  • Produz um sinal de dispositivo limpo e confiável para a imposição posterior.
  • Reduz o risco de roubo de credenciais, de reutilização de token e de sequestro de sessão.
  • Limita o raio de explosão se um dispositivo estiver comprometido.

Escopo de proteção

O acesso privilegiado é tão confiável quanto o dispositivo do qual ele se origina. As proteções de identidade, como MFA, aprovações e ativação de função, não podem compensar uma estação de trabalho comprometida. Se um invasor controlar o dispositivo usado para acesso privilegiado, ele poderá:

  • Roubar tokens de autenticação após a MFA ser concluída.
  • Injete processos maliciosos em sessões administrativas.
  • Reproduza credenciais ou tokens da memória.
  • Ignorar fluxos de trabalho de aprovação operando como o usuário legítimo.

Para funções privilegiadas, uma única estação de trabalho comprometida pode habilitar o escalonamento rápido para o controle em todo o locatário ou em toda a empresa. Como resultado, a segurança do dispositivo define o limite superior de confiança para acesso privilegiado. Portanto, as políticas de acesso privilegiado pressupõem que as sessões administrativas tenham origem em dispositivos que atendem ao mais alto padrão de segurança. Esses dispositivos formam o limite de confiança para operações privilegiadas.

PAWs (estações de trabalho de acesso privilegiado)

Uma PAW é uma estação de trabalho Windows gerenciada e protegida projetada exclusivamente para tarefas privilegiadas. As PAWs definem o limite de confiança do dispositivo para acesso privilegiado e são isoladas de vetores de ataque comuns.

  • São isolados de e-mail, da navegação geral na web e de cargas de trabalho de produtividade.
  • São registrados e gerenciados por meio de Microsoft Intune.
  • Use Microsoft Entra ID para integração de identidade.
  • São monitorados por Microsoft Defender para Ponto de Extremidade.
  • Forneça uma raiz de confiança robusta baseada em hardware.

Veja a seguir como as PAWs se enquadram em termos de níveis e perfis de segurança.

Nível de segurança Perfil do dispositivo
Usuários corporativos Dispositivo gerenciado padrão
Operadores especializados Dispositivo gerenciado reforçado
Privilegiados (administradores do plano de controle) PATA

Riscos mitigados

Risco Por que isso importa Mitigação da fase 1
Invasor rouba tokens de autenticação após MFA A MFA protege a autenticação, não o ambiente de execução. Se uma estação de trabalho estiver comprometida, os invasores poderão roubar tokens após a autenticação e reutilizá-los para representar usuários privilegiados. As PAWs isolam o trabalho privilegiado em dispositivos protegidos com superfície de ataque reduzida, proteção de credenciais (Credential Guard) e monitoramento contínuo, impedindo o roubo de tokens de dispositivos de produtividade comprometidos.
Injeção de processos maliciosos em sessões administrativas Os invasores podem injetar código em ferramentas de administração ou sessões de navegador em dispositivos comprometidos, ganhando controle de operações privilegiadas mesmo quando as identidades são protegidas. O controle do aplicativo, a remoção dos direitos de administrador local e a execução restrita de aplicativos em PAWs impedem a execução de código não autorizado durante sessões administrativas.
Reutilização de credenciais a partir da memória Os invasores podem extrair credenciais ou tokens da memória em estações de trabalho comprometidas e reutilizá-los para escalar privilégios ou mover-se lateralmente. As PAWs impõem o isolamento de credenciais usando a segurança baseada em virtualização e configurações de sistema operacional protegidas, reduzindo a exposição de credenciais na memória e limitando as oportunidades de reprodução.
Fluxos de trabalho de aprovação contornados a partir de dispositivos comprometidos Mesmo com a ativação de função baseada em aprovação, os invasores que controlam uma estação de trabalho podem seqüestrar sessões aprovadas e escalonar rapidamente privilégios. A confiança do dispositivo torna-se um pré-requisito para o trabalho privilegiado. As PAWs garantem que aprovações e ações administrativas ocorram apenas em dispositivos projetados para resistir a comprometimentos.
Elevação rápida a partir de uma estação de trabalho comprometida Uma única estação de trabalho administrativa comprometida pode permitir que invasores avancem rapidamente para sistemas de identidade, planos de controle e a administração de toda a empresa. A segurança do dispositivo define um limite superior na confiança. As PAWs oferecem o mais alto nível de segurança, reduzindo a probabilidade de que um endpoint comprometido possa ser usado para assumir funções privilegiadas.

Resultados da fase

Depois de concluir a Fase 2:

  • Um ou mais dispositivos PAW dedicados são configurados.
  • As tarefas administrativas privilegiadas têm origem apenas em PAWs.
  • As PAWs são isoladas do uso de produtividade.
  • Os dispositivos são gerenciados centralmente, monitorados e recuperáveis.
  • As suposições de confiança do dispositivo são explícitas e exequíveis.
  • As fases posteriores podem aplicar com segurança o acesso condicional e o monitoramento.

Pré-requisitos

Antes de configurar os procedimentos neste artigo:

  • Verifique se as instruções da Fase 1 estão concluídas .
  • Saiba mais sobre a segurança do dispositivo na história de acesso privilegiado.
  • Os seguintes serviços devem estar disponíveis:
    • Microsoft Entra ID como o provedor de identidade.
    • Microsoft Intune para gerenciamento de dispositivos.
    • Microsoft Defender para Ponto de Extremidade para proteção contra ameaças.
  • Você precisa de pelo menos um dispositivo Windows com suporte por administrador, com hardware Windows moderno compatível:
    • TPM 2.0
    • Inicialização Segura UEFI
    • BitLocker
    • Segurança baseada em virtualização (VBS/HVCI)
    • Firmware e drivers distribuídos por meio do Windows Update.

Os dispositivos que não atendem a essa barra não devem ser usados para acesso privilegiado.

Etapa 1: Definir o provisionamento/ciclo de vida da PAW

Defina quais dispositivos são PAWs, como eles são criados, registrados, gerenciados e impedidos de serem usados antes de estarem prontos.

Criar um grupo de dispositivos PAW

Esse grupo conterá dispositivos PAW e será usado para:

  • Segmentação de inscrição
  • Perfis de hardening
  • Avaliação de conformidade
  • Aplicação do Acesso Condicional em uma fase posterior.

Crie da seguinte maneira:

  1. No Microsoft Entra Centro de Administração, navegue até Microsoft Entra ID>Groups>New group.

  2. Defina as configurações de grupo e selecione Criar.

    • Tipo de grupo: segurança
    • Nome do grupo: dispositivos de estação de trabalho seguros
    • Tipo de associação: dispositivos dinâmicos

  3. Selecione Adicionar consulta dinâmica e adicione uma regra com esta sintaxe: device.devicePhysicalIds -any _ -contains "[OrderID]: PAW"

  4. Selecione Salvar>Criar.

Os dispositivos registrados com a tag de grupo PAW Autopilot são identificados pela regra dinâmica de dispositivo PAW e tratados como estações de trabalho de acesso privilegiado.

Controlar quem pode criar PAWs

Garanta que as PAWs sejam inscritas de forma intencional e segura.

  • Restrinja quem pode ingressar dispositivos no Microsoft Entra ID.
  • Exigir autenticação multifator para ingressar dispositivos.
  • Remova os direitos automáticos do administrador local ao ingressar.
  1. No Centro de Administração do Entra, navegue até Dispositivos>Configurações do dispositivo.
  2. Em Users podem unir dispositivos para Microsoft Entra ID>Selected, selecione Secure Workstation Users.
  3. Em Exigir Autenticação Multifator para ingressar dispositivos, selecione Sim.
  4. Em Administrador local adicional em dispositivos ingressados no Microsoft Entra, selecione Nenhum.
  5. Salve as configurações.

Com isso em vigor, somente os usuários da PAW podem registrar PAWs, a MFA é necessária e nenhum usuário da PAW se torna um administrador local por padrão.

Gerenciar PAWs desde a primeira inicialização

As PAWs devem ser gerenciadas desde a primeira inicialização. Dispositivos não gerenciados não podem ser confiáveis para acesso privilegiado.

  • Configure Microsoft Entra ID para registrar dispositivos automaticamente no Intune.
  • Verifique se todas as PAWs são gerenciadas por MDM imediatamente após a junção.
  • Restrinja o registro de dispositivo a plataformas aprovadas.
  1. Abra Microsoft Entra ID>Mobility (MDM e MAM)>Microsoft Intune.
  2. Defina o escopo do usuário do MDM como Todos e salve.
  3. Configurar restrições de registro:
    • Permitir o registro de dispositivos Windows.
    • Bloquear ou restringir dispositivos de propriedade pessoal.

As PAWs são sempre gerenciadas, nunca desgerenciadas.

Provisionar PAWs de forma consistente

Use o Windows Autopilot para garantir um provisionamento de PAWs consistente e repetível, assegurando que os PAWs iniciem em um estado confiável e conhecido.

Crie um perfil de implantação dedicado do Autopilot e atribua-o ao grupo de dispositivos PAW.

  1. No Centro de administração do Microsoft Intune, acesse Dispositivos>Windows>Inscrição do Windows>Perfis de implantação.
  2. Selecione Criar perfil e crie um perfil com as seguintes configurações:
    • Nome: Perfil de implantação de estação de trabalho segura
    • Converter todos os dispositivos selecionados para o Autopilot: Sim
    • Modo de implantação: auto-implantação
    • Tipo de conta de usuário: Standard
  3. Selecione Criar.

Impedir o uso de PAWs antes do endurecimento

Impedir que as PAWs sejam usadas antes de estarem totalmente fortalecidas. Isso impede a exposição precoce durante a instalação.

  • Configurar a Página de Status de Inscrição (ESP)
  • Bloquear o uso do dispositivo até que todos os perfis e aplicativos necessários sejam instalados
  • Atribuir ESP a dispositivos PAW

  1. No Centro de Administração Microsoft Intune, acesse Dispositivos>Windows>Inscrição do Windows>Status da inscrição.

  2. Selecione Criar perfil e crie um perfil com as seguintes configurações:

    • Mostrar o progresso da instalação do aplicativo e do perfil: Sim
    • Bloquear o uso do dispositivo até que todos os aplicativos e perfis sejam instalados: Sim

  3. Atribua aos Secure Workstation Devices e selecione Criar.

Operações de ciclo de vida contínuas

  1. Para recuperar e reconstruir PAWs:

    • Redefinir/reprovisionar PAWs via Autopilot quando comprometido.
    • Trate as PAWs como substituíveis, não reparadas manualmente.

  2. Para identificar e rastrear PAWs, use:

    • Participação em grupo de dispositivos
    • Registro do Autopilot

Com esses processos em vigor, as PAWs são dispositivos explicitamente identificáveis e gerenciados centralmente, que podem ser inventariados, inspecionados e, se comprometidos, apagados com segurança e reprovisionados por meio do Autopilot.

Etapa 2: Fortalecer a segurança dos PAWs

Reforce a segurança das PAWs (Estações de Trabalho de Acesso Privilegiado) de modo a apresentar um sinal do dispositivo limpo e de baixo risco. Os controles de fortalecimento incluem a redução da superfície de ataque, a aplicação de patches e a geração de sinais de risco/conformidade do Defender.

Os controles de acesso condicional e monitoramento dependem dessa postura para impor decisões de acesso privilegiado.

Esses controles pressupõem que as PAWs atendem aos pré-requisitos de segurança de hardware necessários definidos anteriormente.

Configurar anéis de Windows Update

As PAWs devem receber patches rapidamente e de modo previsível. Atrasos ou adiamentos controlados pelo usuário prejudicam a confiança do dispositivo.

  1. No Centro de Administração do Microsoft Intune, acesse Devices>Windows>Software updates>Windows Update rings.

  2. Selecione Criar perfil.

  3. Defina as seguintes configurações:

    • Nome: PAW – Anel do Windows Update
    • Adiamento de atualização de qualidade (dias): 3
    • Adiamento da atualização de funcionalidade (dias): 3
    • Comportamento de atualização automática: instalar e reinicializar automaticamente sem o controle do usuário final
    • Impedir que o usuário pause as atualizações: Bloquear
    • Definir prazo para reinicializações pendentes: 3 dias

  4. Em Atribuições, atribua a dispositivos de estação de trabalho seguros.

  5. Crie o perfil.

Depois de concluir este procedimento, as PAWs permanecerão atualizadas com patches, com exposição mínima e sem possibilidade de o usuário contornar isso.

Integrar-se ao Defender para Endpoint

O acesso condicional e a conformidade dependem de sinais de risco Defender. Sem o Defender for Endpoint, a confiança no dispositivo fica incompleta.

  1. No Centro de Administração do Microsoft Intune, acesse Endpoint security>Microsoft Defender para Ponto de Extremidade.
  2. Defina Conectar o Microsoft Defender para Ponto de Extremidade ao Intune como Ativado.
  3. Selecione Salvar.
  4. Atualize no Intune para confirmar a conexão.

Criar um perfil de integração

  1. No Centro de Administração do Microsoft Intune, acesse Endpoint security>Endpoint detection and response.

  2. Selecione Criar perfil e defina as seguintes configurações:

    • Plataforma: Windows 10 e posterior
    • Tipo de perfil: detecção e resposta de ponto de extremidade
    • Nome: PAW - Defender for Endpoint

  3. Nas configurações , habilite o compartilhamento de exemplo para todos os arquivos.

  4. Atribua ao grupo Dispositivos de Estação de Trabalho Segura .

  5. Crie o perfil.

Depois de configurar o processo, as PAWs emitem telemetria de risco do dispositivo, de malware e de EDR, usada pelo Acesso Condicional e pelo SecOps.

Impor restrições de firewall e de rede

A maioria dos caminhos de comprometimento da PAW são de saída. Restringir a saída é fundamental.

  1. No Centro de Administração do Microsoft Intune, acesse Endpoint security>Firewall.
  2. Crie um perfil de proteção de endpoint.
  3. Configure regras de firewall de saída para permitir apenas serviços necessários, como DNS, DHCP, NTP e pontos de extremidade administrativos e de gerenciamento aprovados. Bloqueie o tráfego de saída desnecessário por padrão.
  4. Atribuir adispositivos de estação de trabalho seguros.

Depois de configurar o procedimento, as PAWs poderão acessar apenas os pontos de acesso administrativos necessários para as tarefas de gerenciamento.

Próximas Etapas 

Com as PAWs configuradas e reforçadas, a próxima etapa é aplicar controles de acesso privilegiado por meio do Acesso Condicional e de políticas.

  • Last updated on