Usar estações de trabalho com acesso privilegiado
Ao revisar o relatório de segurança produzido pelos consultores da Contoso, você aprendeu que hackers mal-intencionados se concentrarão em estações de trabalho que são usadas regularmente por administradores com acesso de alto nível à infraestrutura. Portanto, é importante garantir que essas estações de trabalho sejam seguras.
O que é uma estação de trabalho com acesso privilegiado?
Uma PAW (estação de trabalho com acesso privilegiado) é um computador que você pode usar para executar tarefas de administração, como a administração de sistemas de identidade, serviços de nuvem e outras funções confidenciais. Este computador será protegido da Internet e bloqueado para que somente os aplicativos de administração necessários possam ser executados.
Cuidado
Verifique se as contas de usuário administrativo não podem ser usadas como contas de usuário padrão.
Você nunca deve usar essa estação de trabalho para navegação na Web, email e outros aplicativos de usuário final comuns e deve ter controle de aplicativo estrito. Você não deve permitir a conexão com redes sem fio nem com dispositivos USB externos. Uma PAW deve implementar recursos de segurança como a MFA (autenticação multifator).
Dica
Configurar servidores com privilégios para não aceitar conexões de uma estação de trabalho sem privilégios.
A Microsoft recomenda usar o Windows 10 Enterprise para suas PAWs. O Windows 10 Enterprise dá suporte a recursos de segurança que não estão disponíveis em outras edições. Esses recursos do Windows Defender são descritos na tabela a seguir.
| Recurso | Descrição |
|---|---|
| Controle de Aplicativos do Windows Defender | Se afasta do modelo do aplicativo de confiança tradicional, no qual todos os aplicativos são considerados confiáveis por padrão e adota os aplicativos que devem ganhar confiança para serem executados. |
| Windows Defender Credential Guard | Protege hashes de senha NTLM, tíquetes de concessão de tíquete do Kerberos e credenciais armazenadas por aplicativos como credenciais de domínio. Como eles não são mais armazenados na LSA (autoridade de segurança local), o roubo de credenciais pode ser bloqueado mesmo em um sistema comprometido. |
| Windows Defender Device Guard | Ele combina os recursos do Controle de Aplicativos do Windows com a habilidade de usar o Hyper-V do Windows para proteger os processos do modo Kernel do Windows contra à inserção e execução de código mal-intencionado ou não verificado. |
| Windows Defender Exploit Guard | Permite que os administradores definam e gerenciem políticas para reduzir ataques de superfície e explorações, proteção de rede e a protege os aplicativos suspeitos de acessar pastas normalmente visadas. |
Perfis de hardware da PAW
É importante lembrar que os administradores também são usuários. Isso significa que eles usam email, navegam na Web e executam aplicativos de produtividade como o Microsoft Office. Se o computador do administrador for uma PAW, isso afetará seriamente a capacidade do usuário de ser produtivo em tarefas não administrativas.
Cuidado
Vale a pena lembrar que os usuários tendem a abandonar soluções seguras que limitam a produtividade em favor de soluções inseguras que aumentam a produtividade.
Para manter a segurança, os usuários administradores devem ter a disposição duas estações de trabalho. Uma estação de trabalho é uma PAW, enquanto a outra é usada para tarefas cotidianas que não exigem elevação. Você pode obter essa separação usando perfis de hardware da PAW. A Microsoft recomenda usar um dos seguintes perfis de hardware:
- Hardware dedicado. Separe dispositivos dedicados para tarefas de usuário versus tarefas administrativas. A estação de trabalho de administração deve oferecer suporte a mecanismos de segurança de hardware, como um TPM (Trusted Platform Module) e implementar os recursos de segurança do Windows 10 Enterprise abordados anteriormente.
- Uso simultâneo. Um único dispositivo que pode executar tarefas de usuário e tarefas administrativas simultaneamente executando dois sistemas operacionais. Um é um sistema de usuário e o outro é um sistema de administrador. Você pode fazer isso executando um sistema operacional separado em uma VM para uso diário.
Cuidado
Se você estiver usando um único dispositivo, verifique se a PAW é executada no computador físico, enquanto sua estação de trabalho normal está em execução como uma VM. Isso fornece a segurança certa.
A tabela a seguir lista as vantagens e desvantagens dessas abordagens.
| Cenário | Vantagens | Desvantagens |
|---|---|---|
| Hardware dedicado | Separação de segurança forte | Requer dois dispositivos. Isso requer mais espaço e tem um maior custo de implementação. |
| Uso simultâneo | Menor custo de hardware | Compartilhar o mesmo teclado e mouse pode ocasionar erros e representar riscos à segurança. |