Fase 3 – Impor políticas de acesso privilegiado

Este artigo faz parte do guia implementar uma solução de arquitetura de acesso privilegiado.

O acesso privilegiado apresenta um risco crítico à segurança na maioria das organizações porque permite o controle direto sobre sistemas de identidade, planos de controle de nuvem e ativos críticos para os negócios.

Saiba como uma arquitetura de acesso privilegiado seguro desempenha um papel crítico em seu cenário de negócios – Proteger ativos comerciais críticos – reduzindo esse risco e fortalecendo o controle sobre sistemas confidenciais.

Este artigo descreve a Fase 3 da implementação. Ele impõe políticas de acesso privilegiado para restringir onde identidades privilegiadas podem ser usadas.

Usando os sinais de dispositivo confiáveis estabelecidos na Fase 2, você configura o Acesso Condicional para que funções privilegiadas, portais e interfaces de gerenciamento possam ser usadas somente de PAWs (estações de trabalho de acesso privilegiado) aprovadas e de baixo risco.

Metas de proteção

A fase 3 impõe as seguintes metas de proteção:

  • Garanta que as credenciais privilegiadas não possam ser usadas em dispositivos não PAW.
  • Portais de administração e interfaces só podem ser acessados de dispositivos compatíveis e de baixo risco.
  • O acesso privilegiado requer autenticação de usuário forte e confiança verificada do dispositivo.
  • Restrinja o acesso a interfaces administrativas (portais, APIs, PowerShell) aos PAWs aprovados.
  • Credenciais roubadas não podem ser reutilizadas em endpoints padrão ou não gerenciados.
  • Os caminhos de acesso privilegiados são explícitos, auditáveis e exequíveis.

Escopo de proteção

A fase 3 protege interfaces de acesso privilegiados e fluxos de trabalho por meio dos quais ocorrem ações privilegiadas, incluindo:

  • Portais de gerenciamento de nuvem (portal Azure, centro de administração do Microsoft Entra, Centro de administração do Microsoft 365)
  • Portais de gerenciamento de segurança (portais Microsoft Defender)
  • Uso e ativação de função com privilégios (incluindo funções controladas por PIM)
  • Sessões do navegador administrativo
  • Caminhos de saída de rede usados por dispositivos privilegiados

A fase 3 não reconfigura dispositivos ou identidades. Ele aplica a política com base nas saídas das Fases 1 e 2.

Riscos mitigados

Risco Por que isso importa Mitigação da fase 3
Credenciais privilegiadas reutilizadas em dispositivos não PAW A autenticação multifator (MFA) e as aprovações não impedem que invasores reutilizem tokens ou credenciais roubados em estações de trabalho padrão comprometidas. O Acesso Condicional exige que funções com privilégios se autentiquem somente a partir de PAWs em conformidade e de baixo risco.
Acesso privilegiado a partir de dispositivos de alto risco ou sem correção Um dispositivo vulnerável permite que os invasores exerciam imediatamente o controle administrativo. As decisões de acesso avaliam a conformidade do Intune e o nível de risco do Microsoft Defender para Ponto de Extremidade antes de conceder acesso privilegiado.
Portais administrativos acessíveis de dispositivos BYOD ou não gerenciados Os planos de controle de nuvem tornam-se acessíveis a partir de dispositivos fora do controle organizacional. O Acesso Condicional restringe portais administrativos a PAWs, bloqueando o acesso de dispositivos não PAW.
Ignorar portais protegidos usando interfaces alternativas Os invasores podem contornar controles usando PowerShell, APIs ou endpoints administrativos alternativos. A aplicação é feita de forma consistente em todas as interfaces administrativas, não apenas nos portais principais.
Ativação de função privilegiada a partir de estações de trabalho comprometidas Os fluxos de trabalho de aprovação poderão ser seqüestrados se a ativação de função ocorrer em um dispositivo não seguro. A ativação de função no PIM e o uso da função estão sujeitos aos mesmos requisitos de confiança no dispositivo do Acesso Condicional.
As credenciais por si só concedem acesso privilegiado As proteções baseadas apenas em identidade pressupõem um ambiente de execução confiável. A fase 3 vincula as condições de identidade, dispositivo e interface, de modo que apenas as credenciais não sejam suficientes.
Falta de visibilidade sobre a aplicação Sem a imposição da política, é difícil provar que o acesso privilegiado é restrito. As decisões de Acesso Condicional e a telemetria do Defender fornecem evidências de aplicação passíveis de auditoria e observáveis.
Escalada rápida após o comprometimento da estação de trabalho Os invasores passam rapidamente de um dispositivo comprometido para o controle de toda a empresa. A fase 3 garante que as credenciais roubadas sejam inutilizáveis fora das PAWs, interrompendo caminhos comuns de escalonamento.

Resultados da fase

Depois de concluir a Fase 3:

  • Funções privilegiadas e portais de administração só podem ser acessados a partir de PAWs compatíveis e de baixo risco.
  • O Acesso Condicional bloqueia o acesso privilegiado de dispositivos não PAW.
  • A conformidade do dispositivo e os sinais de risco do Microsoft Defender para Ponto de Extremidade são necessários para as decisões de acesso.
  • O acesso privilegiado é imposto entre camadas de identidade, dispositivo e interface.
  • As tentativas de acesso são registradas, observáveis e auditáveis.

Pré-requisitos

Antes de configurar os procedimentos neste artigo:

  • Conclua as instruções da Fase 1 para proteger o plano de controle de identidade.
  • Conclua a Fase 2 para implantar e reforçar a segurança dos PAWs.
  • Verifique se a conformidade do dispositivo e a integração com o Defender for Endpoint estão ativas.

Etapa 1 – Exigir MFA e confiança do dispositivo para acesso privilegiado

Verifique se o acesso privilegiado requer autenticação de usuário forte e dispositivos confiáveis.

  1. No Microsoft Entra Centro de Administração, navegue até Protection>Conditional Access>Policies.
  2. Selecione Criar nova política.
  3. Em Atribuições> definem estas configurações:
    • Inclua funções de diretório com privilégios, como Administrador Global, Administrador de Segurança.
    • Exclua o grupo de acesso emergencial.
  4. Em Atribuições>Aplicativos de nuvem, incluem aplicativos de gerenciamento de nuvem, como o portal do Azure, o centro de administração do Microsoft Entra, o centro de administração do Microsoft 365 e os portais do Defender.
  5. Nos controles do Access, conceda acesso com estas configurações:
    • Requer autenticação de múltiplos fatores
    • Exigir que o dispositivo seja marcado como em conformidade
    • Exigir risco do dispositivo do Microsoft Defender para Ponto de Extremidade = Baixo
  6. Habilite a política.

Etapa 2 – Restringir portais administrativos a PAWs

Certifique-se de que os portais administrativos sejam acessíveis somente a partir de PAWs compatíveis.

  1. No Microsoft Entra Centro de Administração, navegue até Protection>Conditional Access>Policies.
  2. Selecione Criar nova política para criar uma política adicional.
  3. Em Atribuições> definem estas configurações:
    • Inclua funções de diretório com privilégios, como Administrador Global, Administrador de Segurança.
    • Exclua o grupo break-glass de emergência.
  4. Em Atribuições>, os aplicativos de nuvem incluem os aplicativos administrativos usados para acesso privilegiado em seu ambiente.
  5. Nos controles do Access, conceda acesso com estas configurações:
    • Exigir que o dispositivo seja marcado como em conformidade
    • Exigir que o risco do dispositivo no Microsoft Defender para Ponto de Extremidade seja = Baixo
  6. Habilite a política.

Etapa 3 – Bloquear o acesso privilegiado de dispositivos não PAW

Verifique se o acesso privilegiado a portais administrativos está bloqueado de dispositivos não PAW, mesmo que esses dispositivos atendam aos requisitos gerais de conformidade.

  1. No Microsoft Entra Centro de Administração, navegue até Protection>Conditional Access>Policies.
  2. Selecione Criar nova política para criar uma terceira política.
  3. Em Atribuições> definem estas configurações:
    • Inclua funções de diretório com privilégios, como Administrador Global, Administrador de Segurança.
    • Exclua contas de acesso de emergência designadas.
  4. Em Atribuições>, os aplicativos de nuvem incluem os mesmos portais administrativos.
  5. Em Condições, selecione Filtrar para dispositivos.
  6. Configure o filtro de dispositivos para direcionar a dispositivos não PAW:
    • Selecione Incluir dispositivos filtrados:
    • Configure um filtro de dispositivo que identifica dispositivos que não são PAWs com base no atributo ou na regra que sua organização usa para distinguir os PAWs. Verifique se isso corresponde ao método de identificação estabelecido na Fase 2.
  7. Selecione Concluído para aplicar a condição de filtro do dispositivo.
  8. Em Controlos de acesso, selecione Bloquear acesso.
  9. Selecione Criar para ativar a política.

Etapa 4 - Restringir o acesso à rede PAW

Limite o acesso de rede da PAW somente aos pontos de extremidade administrativos e de gerenciamento necessários. Essa configuração se baseia em regras de firewall explícitas para permitir os endpoints necessários, em vez de permissões amplas baseadas em protocolo.

  1. No centro de administração do Microsoft Intune, navegue até Endpoint security>Firewall.

  2. Selecione Criar Política.

  3. Configure a política: - Platform: Windows 10 e posterior. 1. Defina as configurações de perfil de firewall:

    • Conexões de entrada: Bloquear
    • Conexões de saída: Permitir (padrão, controlado por regras abaixo)

  4. Em Configurações, configure as regras de Firewall . Use regras de firewall para definir o tráfego necessário para administração privilegiada.

  5. Crie regras de permissão de saída para os serviços necessários, como:

    • DNS
    • DHCP
    • NTP
    • Pontos de extremidade necessários do Microsoft para gerenciamento de nuvem, como o Intune e o Microsoft Entra ID.
    • Pontos de acesso administrativos obrigatórios.

    Cada regra deve:

    • Especificar Direção: Saída.
    • Especificar ação: Permitir
    • Definir pontos de extremidade de destino (intervalos de IP, FQDNs ou marcas de serviço quando houver suporte)

  6. Verifique se nenhuma regra de permissão ampla, como HTTP/HTTPS irrestrito, está configurada.

  7. Atribua a política a Dispositivos de Estação de Trabalho Seguros (PAWs).

  8. Selecione Criar para implementar a política.

Isso conclui a camada de imposição de acesso privilegiado. O próximo artigo pode se basear nisso para abranger critérios de medição, monitoramento e êxito.

Próximas Etapas 

Com a camada de imposição de acesso privilegiado em vigor, a etapa final é configurar o monitoramento.

  • Last updated on