Orientação de acesso privilegiado herdado

Importante

Esta orientação foi substituída por orientações atualizadas seguras para estações de trabalho que fazem parte de uma solução completa para a proteção de acesso privilegiado.

Esta documentação está sendo mantida on-line apenas para fins de arquivo e referência. A Microsoft recomenda vivamente seguir as novas orientações para uma solução mais segura e mais fácil de implementar e suportar.

Orientações sobre o legado

As Estações de Trabalho de Acesso Privilegiado (PAWs) fornecem um sistema operacional dedicado para tarefas confidenciais que é protegido contra ataques da Internet e vetores de ameaças. Separar essas tarefas e contas confidenciais das estações de trabalho e dispositivos de uso diário oferece forte proteção contra ataques de phishing, vulnerabilidades de aplicativos e sistemas operacionais, vários ataques de falsificação de identidade e ataques de roubo de credenciais, como registro de pressionamento de teclas, Pass-the-Hash e Pass-The-Ticket.

O que é uma estação de trabalho de acesso privilegiado?

Em termos mais simples, um PAW é uma estação de trabalho reforçada e bloqueada projetada para fornecer altas garantias de segurança para contas e tarefas confidenciais. Os PAWs são recomendados para administração de sistemas de identidade, serviços de nuvem, malha de nuvem privada e funções de negócios confidenciais.

Observação

A arquitetura PAW não requer um mapeamento 1:1 de contas para estações de trabalho, embora esta seja uma configuração comum. O PAW cria um ambiente de estação de trabalho confiável que pode ser usado por uma ou mais contas.

A fim de fornecer a maior segurança, os PAWs devem sempre executar o sistema operacional mais seguro e up-todisponível: a Microsoft recomenda fortemente o Windows 11 Enterprise, que inclui vários outros recursos de segurança não disponíveis em outras edições (em particular, Credential Guard e Device Guard).

Observação

As organizações sem acesso ao Windows 11 Enterprise podem usar o Windows 11 Pro, que inclui muitas das tecnologias fundamentais críticas para PAWs, incluindo Inicialização Confiável, BitLocker e Área de Trabalho Remota. Os clientes do setor educacional podem usar o Windows 11 Education.

O Windows 11 Home não deve ser usado para um PAW.

Os controles de segurança PAW são focados em mitigar riscos de alto impacto e alta probabilidade de comprometimento. Estes incluem a mitigação de ataques ao ambiente e riscos que podem diminuir a eficácia dos controlos PAW ao longo do tempo:

• ataques na Internet - A maioria dos ataques tem origem direta ou indireta em fontes da Internet e utiliza a Internet para exfiltração e comando e controlo (C2). Isolar o PAW da internet aberta é um elemento-chave para garantir que o PAW não seja comprometido.
• Risco de usabilidade - Se um PAW é muito difícil de usar para tarefas diárias, os administradores são motivados a criar soluções alternativas para tornar seus trabalhos mais fáceis. Frequentemente, essas soluções alternativas abrem a estação de trabalho administrativa e as contas para riscos de segurança significativos, por isso é fundamental envolver e capacitar os usuários do PAW para mitigar esses problemas de usabilidade com segurança. Isso pode ser feito ouvindo seus comentários, instalando ferramentas e scripts necessários para executar seus trabalhos e garantindo que todo o pessoal administrativo esteja ciente de por que precisa usar um PAW, o que é um PAW e como usá-lo corretamente e com sucesso.
• Riscos ambientais - Como muitos outros computadores e contas no ambiente estão expostos ao risco da Internet direta ou indiretamente, um PAW deve ser protegido contra ataques de ativos comprometidos no ambiente de produção. Isso requer minimizar o uso de ferramentas de gerenciamento e contas que têm acesso aos PAWs para proteger e monitorar essas estações de trabalho especializadas.
• Adulteração da cadeia de suprimentos - Embora seja impossível remover todos os riscos possíveis de adulteração na cadeia de suprimentos para hardware e software, tomar algumas ações-chave pode mitigar vetores de ataque críticos que estão prontamente disponíveis para os invasores. Isso inclui validar a integridade de todas as mídias de instalação e usar um fornecedor confiável e respeitável para hardware e software.
• Ataques físicos - Como os PAWs podem ser fisicamente móveis e usados fora de instalações fisicamente seguras, eles devem ser protegidos contra ataques que apliquem acesso físico não autorizado ao computador.

Importante

Um PAW não protegerá um ambiente de um adversário que já tenha obtido acesso administrativo em uma Floresta do Active Directory. Como muitas implementações existentes dos Serviços de Domínio Ative Directory operam há anos com risco de roubo de credenciais, as organizações devem assumir a violação e considerar a possibilidade de que possam ter um comprometimento não detetado de credenciais de administrador de domínio ou empresarial. Uma organização que suspeite de comprometimento do domínio deve considerar o uso de serviços profissionais de resposta a incidentes.

Para obter mais informações sobre orientação de resposta e recuperação, consulte as seções "Responder a atividades suspeitas" e "Recuperar de uma violação" do Mitigando o Pass-the-Hash e Outros Tipos de Roubo de Credenciais, versão 2.

Perfis de hardware PAW legado

O pessoal administrativo também é usuário padrão - eles precisam de um PAW e uma estação de trabalho de usuário padrão para verificar e-mails, navegar na Web e acessar aplicativos corporativos de linha de negócios. Garantir que os administradores possam permanecer produtivos e seguros é essencial para o sucesso de qualquer implantação de PAW. Uma solução segura que limita drasticamente a produtividade será abandonada pelos usuários em favor de uma que aumente a produtividade (mesmo que seja feita de forma insegura).

Para equilibrar a necessidade de segurança com a necessidade de produtividade, a Microsoft recomenda o uso de um destes perfis de hardware PAW:

• Hardware dedicado - Dispositivos dedicados separados para tarefas do usuário versus tarefas administrativas.
• Uso simultâneo - Dispositivo único que pode executar tarefas do usuário e tarefas administrativas simultaneamente, aproveitando a virtualização do sistema operacional ou da apresentação.

As organizações podem usar apenas um perfil ou ambos. Não há preocupações de interoperabilidade entre os perfis de hardware e as organizações têm a flexibilidade de fazer corresponder o perfil de hardware à necessidade e situação específicas de um determinado administrador.

Importante

É fundamental que, em todos esses cenários, o pessoal administrativo receba uma conta de usuário padrão separada da(s) conta(s) administrativa(s) designada(s). A(s) conta(s) administrativa(s) deve(m) ser utilizada(s) apenas no sistema operativo administrativo PAW.

Esta tabela resume as vantagens e desvantagens relativas de cada perfil de hardware do ponto de vista da facilidade de uso operacional, produtividade e segurança. Ambas as abordagens de hardware fornecem forte segurança para contas administrativas contra roubo e reutilização de credenciais.

Cenário	Vantagens	Desvantagens
Hardware dedicado	- Sinal forte para sensibilidade das tarefas - Separação de segurança mais forte	- Espaço de secretária extra - Peso extra (para trabalho remoto) - Custo de Hardware
Utilização simultânea	- Menor custo de hardware - Experiência de um único dispositivo	- A partilha de um único teclado/rato cria o risco de erros/riscos inadvertidos

Este guia contém as instruções detalhadas para a configuração do PAW para a abordagem de hardware dedicado. Se você tiver requisitos para os perfis de hardware de uso simultâneo, você mesmo pode adaptar as instruções com base nessa orientação ou contratar uma organização de serviços profissionais como a Microsoft para ajudá-la.

Hardware dedicado

Nesse cenário, um PAW é usado para administração que é separado do PC que é usado para atividades diárias, como email, edição de documentos e trabalho de desenvolvimento. Todas as ferramentas e aplicativos administrativos são instalados no PAW e todos os aplicativos de produtividade são instalados na estação de trabalho do usuário padrão. As instruções passo a passo neste guia baseiam-se neste perfil de hardware.

Uso simultâneo - Adicionando RemoteApp, RDP ou uma VDI

Neste cenário de uso simultâneo, um único PC é usado para tarefas de administração e atividades diárias, como e-mail, edição de documentos e trabalho de desenvolvimento. Nessa configuração, os sistemas operacionais do usuário são implantados e gerenciados centralmente (na nuvem ou no datacenter), mas não estão disponíveis enquanto estão desconectados.

O hardware físico executa um único sistema operacional PAW localmente para tarefas administrativas e entra em contato com um serviço de área de trabalho remota da Microsoft ou de terceiros para aplicativos de usuário, como email, edição de documentos e aplicativos de linha de negócios.

Nessa configuração, o trabalho diário que não requer privilégios administrativos é feito no(s) SO(s) remoto(s) e nos aplicativos, que não estão sujeitos a restrições aplicadas ao host PAW. Todo o trabalho administrativo é feito no SO Admin.

Para configurar isso, siga as instruções nesta orientação para o host PAW, permita a conectividade de rede com os serviços de Área de Trabalho Remota e adicione atalhos à área de trabalho do usuário PAW para acessar os aplicativos. Os serviços de área de trabalho remota podem ser hospedados de várias maneiras, incluindo:

• Um serviço existente de Área de Trabalho Remota ou VDI, como Área de Trabalho Virtual do Azure, Microsoft Dev Box, ou Windows 365.
• Um novo serviço que você instala no local ou na nuvem
• Azure RemoteApp usando modelos pré-configurados ou as suas próprias imagens de instalação

Visão geral da arquitetura

O diagrama a seguir mostra um "canal" separado para administração (uma tarefa altamente sensível) que é criado mantendo contas administrativas dedicadas separadas e estações de trabalho.

Esta abordagem arquitetónica baseia-se nas proteções encontradas nas funcionalidades Credential Guard e Device Guard do Windows 11 e excede essas proteções para contas e tarefas sensíveis.

Esta metodologia é adequada para contas com acesso a ativos de elevado valor:

• Privilégios Administrativos - Os PAWs fornecem maior segurança para funções e tarefas administrativas de TI de alto impacto. Essa arquitetura pode ser aplicada à administração de muitos tipos de sistemas, incluindo domínios e florestas do Ative Directory, locatários do Microsoft Entra ID, locatários do Microsoft 365, redes de controle de processo (PCN), sistemas de controle de supervisão e aquisição de dados (SCADA), caixas eletrônicos (ATMs) e dispositivos de ponto de venda (PoS).
• Trabalhadores de informações de alta sensibilidade - A abordagem usada em um PAW também pode fornecer proteção para tarefas e pessoal de trabalhadores de informações altamente confidenciais, como aquelas que envolvem atividades de fusão e aquisição de pré-anúncio, relatórios financeiros de pré-lançamento, presença de mídia social organizacional, comunicações executivas, segredos comerciais não patenteados, pesquisa sensível ou outros dados proprietários ou confidenciais. Esta orientação não discute a configuração desses cenários de operador de informações em profundidade nem inclui esse cenário nas instruções técnicas.

Este documento descreve por que essa prática é recomendada para proteger contas privilegiadas de alto impacto, como essas soluções PAW se parecem para proteger privilégios administrativos e como implantar rapidamente uma solução PAW para administração de domínio e serviços em nuvem.

Este documento fornece orientações detalhadas para a implementação de várias configurações de PAW e inclui instruções de implementação detalhadas para você começar a proteger contas comuns de alto impacto:

• Fase 1 - Implementação imediata para administradores do Active Directory isto proporciona rapidamente um PAW que pode proteger funções de administração de domínio e floresta no local
• Fase 2 - Estenda o PAW a todos os administradores isso permite a proteção para administradores de serviços de nuvem como Microsoft 365 e Azure, servidores corporativos, aplicativos corporativos e estações de trabalho
• Fase 3: Segurança avançada de PAW Isto discute mais proteções e considerações para a segurança PAW

Porquê estações de trabalho dedicadas?

O atual ambiente de ameaças para as organizações está repleto de phishing sofisticado e outros ataques na Internet que criam risco contínuo de comprometimento da segurança de contas e estações de trabalho expostas à Internet.

Esse ambiente de ameaças exige que as organizações adotem uma postura de segurança de "assumir violação" ao projetar proteções para ativos de alto valor, como contas administrativas e ativos comerciais confidenciais. Esses ativos de alto valor precisam ser protegidos contra ameaças diretas da Internet e ataques montados a partir de outras estações de trabalho, servidores e dispositivos no ambiente.

Esta figura representa o risco para os ativos gerenciados se um invasor ganhar o controle de uma estação de trabalho de usuário onde credenciais confidenciais são usadas.

Um invasor no controle de um sistema operacional tem várias maneiras de obter acesso ilícito a todas as atividades na estação de trabalho e se passar pela conta legítima. Várias técnicas de ataque conhecidas e desconhecidas podem ser usadas para obter esse nível de acesso. O crescente volume e sofisticação dos ciberataques tornou necessário alargar esse conceito de separação aos sistemas operativos dos clientes separados para contas sensíveis. Para obter mais informações sobre esses tipos de ataques, visite o site Pass The Hash para obter white papers informativos, vídeos e muito mais.

A abordagem PAW é uma extensão da prática recomendada bem estabelecida de usar contas de administrador e de usuário separadas para o pessoal administrativo. Essa prática usa uma conta administrativa atribuída individualmente que é separada da conta de usuário padrão do usuário. A PAW baseia-se nessa prática de separação de contas, fornecendo uma estação de trabalho confiável para essas contas confidenciais.

Esta orientação PAW destina-se a ajudá-lo a implementar esse recurso para proteger contas de alto valor, como administradores de TI com privilégios elevados e contas comerciais de alta sensibilidade. As orientações ajudam-no a:

• Restrinja a exposição de credenciais apenas a hosts confiáveis
• Forneça uma estação de trabalho de alta segurança aos administradores para que eles possam executar facilmente tarefas administrativas.

Restringir as contas confidenciais a usar apenas PAWs protegidos é uma proteção direta para essas contas que é altamente utilizável para administradores e difícil de ser derrotada por um adversário.

Abordagens alternativas

Esta seção contém informações sobre como a segurança de abordagens alternativas se compara ao PAW e como integrar corretamente essas abordagens em uma arquitetura PAW. todas essas abordagens acarretam riscos significativos quando implementadas isoladamente, mas podem agregar valor a uma implementação de PAW em alguns cenários.

Credential Guard e Windows Hello for Business

Parte do Windows 11, Credential Guard usa hardware e segurança baseada em virtualização para mitigar ataques comuns de roubo de credenciais, como Pass-the-Hash, protegendo as credenciais derivadas. A chave privada para credenciais usadas por Windows Hello for Business pode ser protegida por hardware TPM (Trusted Platform Module).

Essas são atenuações poderosas, mas as estações de trabalho ainda podem ser vulneráveis a determinados ataques, mesmo que as credenciais estejam protegidas pelo Credential Guard ou pelo Windows Hello for Business. Os ataques podem incluir abuso de privilégios e uso de credenciais diretamente de um dispositivo comprometido, reutilização de credenciais roubadas anteriormente antes de habilitar o Credential Guard e abuso de ferramentas de gerenciamento e configurações fracas de aplicativos na estação de trabalho.

As orientações do PAW nesta seção incluem o uso de muitas dessas tecnologias para contas e tarefas de alta sensibilidade.

VM administrativa

Uma máquina virtual administrativa (Admin VM) é um sistema operacional dedicado para tarefas administrativas hospedadas em uma área de trabalho de usuário padrão. Embora essa abordagem seja semelhante ao PAW no fornecimento de um sistema operacional dedicado para tarefas administrativas, ela tem uma falha fatal na medida em que a VM administrativa depende da área de trabalho do usuário padrão para sua segurança.

O diagrama a seguir mostra a capacidade dos invasores de seguir a cadeia de controle até o objeto de interesse de destino com uma VM Admin em uma Estação de Trabalho de Usuário e que é difícil criar um caminho na configuração inversa.

A arquitetura PAW não permite hospedar uma VM de administrador em uma estação de trabalho de usuário, mas uma VM de usuário com uma imagem corporativa padrão pode ser hospedada em um PAW de administrador para fornecer ao pessoal um único PC para todas as responsabilidades.

Servidor de salto

As arquiteturas administrativas "Jump Server" configuram um pequeno número de servidores de console administrativo e restringem o pessoal a usá-los para tarefas administrativas. Isso geralmente se baseia em serviços de área de trabalho remota, uma solução de virtualização de apresentação de terceiros ou uma tecnologia VDI (Virtual Desktop Infrastructure).

Essa abordagem é frequentemente proposta para mitigar o risco para a administração e fornece algumas garantias de segurança, mas a abordagem de servidor de salto por si só é vulnerável a certos ataques porque viola o princípio de fonte limpa. O princípio de fonte limpa exige que todas as dependências de segurança sejam tão confiáveis quanto o objeto que está sendo protegido.

Esta figura representa uma relação de controle simples. Qualquer sujeito no controle de um objeto é uma dependência de segurança desse objeto. Se um adversário pode controlar uma dependência de segurança de um objeto de destino (assunto), ele pode controlar esse objeto.

A sessão administrativa no servidor jump depende da integridade do computador local que a acessa. Se este computador for uma estação de trabalho de utilizador sujeita a ataques de phishing e outros vetores de ataque baseados na Internet, a sessão administrativa também está sujeita a esses riscos.

A figura anterior mostra como os invasores podem seguir uma cadeia de controle estabelecida até o objeto alvo de interesse.

Embora alguns controles de segurança avançados, como a autenticação multifator, possam aumentar a dificuldade de um invasor assumir essa sessão administrativa da estação de trabalho do usuário, nenhum recurso de segurança pode proteger totalmente contra ataques técnicos quando um invasor tem acesso administrativo ao computador de origem (por exemplo, injetar comandos ilícitos em uma sessão legítima, sequestrar processos legítimos e assim por diante).

A configuração padrão neste guia PAW instala ferramentas administrativas no PAW, mas uma arquitetura de servidor de salto também pode ser adicionada, se necessário.

Esta figura mostra como reverter a relação de controle e acessar aplicativos de usuário a partir de uma estação de trabalho de administração não dá ao invasor nenhum caminho para o objeto de destino. O servidor de salto do usuário ainda está exposto ao risco, portanto, controles de proteção apropriados, controles de deteção e processos de resposta ainda devem ser aplicados para esse computador voltado para a Internet.

Essa configuração exige que os administradores sigam as práticas operacionais de perto para garantir que não insiram acidentalmente as credenciais de administrador na sessão do usuário na área de trabalho.

Esta figura mostra como o acesso a um servidor de salto administrativo a partir de um PAW não adiciona nenhum caminho para o invasor nos ativos administrativos. Um servidor jump com um PAW permite, neste caso, consolidar o número de locais para monitorar a atividade administrativa e distribuir aplicativos e ferramentas administrativas. Isso adiciona alguma complexidade de projeto, mas pode simplificar o monitoramento de segurança e as atualizações de software se um grande número de contas e estações de trabalho for usado em sua implementação PAW. O servidor de salto precisaria ser construído e configurado de acordo com padrões de segurança semelhantes aos do PAW.

Soluções de gerenciamento de privilégios

As soluções de gerenciamento privilegiado são aplicativos que fornecem acesso temporário a privilégios discretos ou contas privilegiadas sob demanda. As soluções de gerenciamento de privilégios são um componente valioso de uma estratégia completa para proteger o acesso privilegiado e fornecer visibilidade e responsabilidade criticamente importantes da atividade administrativa.

Essas soluções normalmente usam um fluxo de trabalho flexível para conceder acesso e muitas têm outros recursos e capacidades de segurança, como gerenciamento de senha de conta de serviço e integração com servidores de salto administrativo. Há muitas soluções no mercado que fornecem recursos de gerenciamento de privilégios, um dos quais é o gerenciamento de acesso privilegiado (PAM) do Microsoft Identity Manager (MIM).

A Microsoft recomenda o uso de um PAW para acessar soluções de gerenciamento de privilégios. O acesso a estas soluções deve ser concedido apenas aos PAW. A Microsoft não recomenda o uso dessas soluções como um substituto para um PAW porque acessar privilégios usando essas soluções de uma área de trabalho de usuário potencialmente comprometida viola o princípio de fonte limpa, conforme descrito no diagrama a seguir:

Fornecer um PAW para acessar essas soluções permite que você obtenha os benefícios de segurança do PAW e da solução de gerenciamento de privilégios, conforme descrito neste diagrama:

Importante

Estes sistemas devem ser classificados no nível mais elevado do privilégio que gerem e ser protegidos a esse nível de segurança ou acima dele. Estes são normalmente configurados para gerir soluções de nível 0 e ativos de nível 0 e devem ser classificados em nível 0.

Para obter mais informações sobre como implantar o gerenciamento de acesso privilegiado (PAM) do Microsoft Identity Manager (MIM), consulte https://aka.ms/mimpamdeploy

Cenários PAW

Esta seção contém orientações sobre os cenários aos quais essas diretrizes PAW devem ser aplicadas. Em todos os cenários, os administradores devem ser treinados para usar exclusivamente PAWs para executar o suporte a sistemas remotos. Para incentivar o uso bem-sucedido e seguro, todos os usuários do PAW devem ser incentivados a fornecer feedback para melhorar a experiência do PAW, e esse feedback deve ser revisado cuidadosamente para integração com seu programa PAW.

Em todos os cenários, a proteção extra em fases posteriores e perfis de hardware diferentes nesta orientação pode ser usada para atender aos requisitos de usabilidade ou segurança das funções.

Observação

Esta orientação diferencia explicitamente entre exigir acesso a serviços específicos na Internet (como portais administrativos do Azure e do Microsoft 365) e a "Internet aberta" de todos os hosts e serviços.

Cenários	Usar PAW?	Considerações de escopo e segurança
Administradores do Ative Directory - Nível 0	Sim	Um PAW construído com orientação da Fase 1 é suficiente para essa função. - Uma floresta administrativa pode ser adicionada para fornecer a proteção mais forte para este cenário. Para obter mais informações sobre a floresta administrativa do ESAE, consulte os Cenários do ESAE para Uso Contínuo - Um PAW pode ser usado para gerenciar vários domínios ou várias florestas. - Se os controladores de domínio estiverem hospedados em uma infraestrutura como serviço (IaaS) ou em uma solução de virtualização local, você deve priorizar a implementação de PAWs para os administradores dessas soluções.
Administrador de serviços IaaS e PaaS do Azure - Nível 0 ou Nível 1 (consulte Considerações sobre escopo e design)	Sim	Um PAW construído usando as orientações fornecidas na Fase 2 é suficiente para esta função. - Os PAWs devem ser usados pelo menos para aqueles que gerenciam o Microsoft Entra ID e a cobrança da assinatura. Você também deve usar PAWs para administradores delegados de servidores críticos ou confidenciais. - Os PAWs devem ser usados para gerenciar o sistema operacional e os aplicativos que fornecem Sincronização de Diretórios e Federação de Identidades para serviços de nuvem, como Microsoft Entra Connect e Serviços de Federação do Ative Directory (ADFS). - As restrições de rede de saída devem permitir a conectividade apenas a serviços de nuvem autorizados usando as orientações da Fase 2. Não deve ser permitido qualquer acesso aberto à Internet a partir dos PAW. - O Windows Defender Exploit Guard deve ser configurado na estação de trabalho Observação: Uma assinatura é considerada de Nível 0 para uma Floresta se Controladores de Domínio ou outros hosts de Nível 0 estiverem na assinatura. Uma assinatura será de Nível 1 se nenhum servidor de Nível 0 estiver hospedado no Azure.
Administrador Inquilino do Microsoft 365 - Nível 1	Sim	Um PAW construído usando as orientações fornecidas na Fase 2 é suficiente para esta função. - Os PAWs devem ser usados pelo menos para aqueles que gerenciam a cobrança da assinatura e aqueles que gerenciam o Microsoft Entra ID e o Microsoft 365. Você também deve considerar fortemente o uso de PAWs para administradores delegados de dados altamente críticos ou confidenciais. - O Windows Defender Exploit Guard deve ser configurado na estação de trabalho. - As restrições de rede de saída devem permitir a conectividade apenas com os serviços da Microsoft usando as orientações da Fase 2. Não deve ser permitido qualquer acesso aberto à Internet a partir dos PAW.
Outro administrador de serviço de nuvem IaaS ou PaaS - Nível 0 ou Nível 1 (ver Considerações sobre Escopo e Design)	Sim	Um PAW construído usando as orientações fornecidas na Fase 2 é suficiente para esta função. - Os PAWs devem ser usados para qualquer função que tenha direitos administrativos sobre VMs hospedadas na nuvem, incluindo a capacidade de instalar agentes, exportar arquivos de disco rígido ou acessar o armazenamento onde discos rígidos com sistemas operacionais, dados confidenciais ou dados críticos para os negócios são armazenados. - As restrições de rede de saída devem permitir a conectividade apenas com os serviços da Microsoft usando as orientações da Fase 2. Não deve ser permitido qualquer acesso aberto à Internet a partir dos PAW. - O Windows Defender Exploit Guard deve ser configurado na estação de trabalho. Nota: Uma subscrição é o Nível 0 para uma Floresta se os Controladores de Domínio ou outros anfitriões de Nível 0 estiverem na subscrição. Uma assinatura será de Nível 1 se nenhum servidor de Nível 0 estiver hospedado no Azure.
Administradores de virtualização - Nível 0 ou Nível 1 (ver Considerações sobre Escopo e Design)	Sim	Um PAW construído usando as orientações fornecidas na Fase 2 é suficiente para esta função. - Os PAWs devem ser usados para qualquer função que tenha direitos administrativos sobre VMs, incluindo a capacidade de instalar agentes, exportar arquivos de disco rígido virtual ou acessar o armazenamento onde os discos rígidos com informações do sistema operacional convidado, dados confidenciais ou dados críticos para os negócios são armazenados. Nota: Um sistema de virtualização e seus administradores são considerados Nível 0 para uma Floresta se Controladores de Domínio ou outros hosts de Nível 0 estiverem na assinatura. Uma assinatura será de Nível 1 se nenhum servidor de Nível 0 estiver hospedado no sistema de virtualização.
Administradores de manutenção de servidor - Nível 1	Sim	Um PAW construído usando as orientações fornecidas na Fase 2 é suficiente para esta função. - Um PAW deve ser usado para administradores que atualizam, corrigem e solucionam problemas de servidores corporativos e aplicativos que executam servidores Windows, Linux e outros sistemas operacionais. - Ferramentas de gerenciamento dedicadas podem precisar ser adicionadas para que os PAWs lidem com a maior escala desses administradores.
Administradores de estações de trabalho do usuário - Nível 2	Sim	Um PAW criado usando as orientações fornecidas na Fase 2 é suficiente para funções que têm direitos administrativos em dispositivos de usuário final (como funções de helpdesk e suporte de mesa). - Outras aplicações podem precisar ser instaladas em PAWs para permitir o gerenciamento de tíquetes e outras funções de suporte. - O Windows Defender Exploit Guard deve ser configurado na estação de trabalho. Ferramentas de gestão dedicadas podem precisar ser adicionadas para que os PAWs consigam lidar com a maior escala destes administradores.
Administrador de SQL, SharePoint ou linha de negócios (LOB) - Nível 1	Sim	Um PAW construído com orientação da Fase 2 é suficiente para essa função. - Outras ferramentas de gerenciamento podem precisar ser instaladas em PAWs para permitir que os administradores gerenciem aplicativos sem a necessidade de se conectar a servidores usando a Área de Trabalho Remota.
Utilizadores que gerem a presença nas redes sociais	Parcialmente	Um PAW construído usando as orientações fornecidas na Fase 2 pode ser usado como ponto de partida para fornecer segurança para essas funções. - Proteja e gerencie contas de mídia social usando o Microsoft Entra ID para compartilhar, proteger e rastrear o acesso a contas de mídia social. Para obter mais informações sobre esse recurso, leia postagem deste blog. - As restrições de rede de saída devem permitir a conectividade a esses serviços. Isso pode ser feito permitindo conexões de internet abertas (risco de segurança muito maior que nega muitas garantias PAW) ou permitindo apenas os endereços DNS necessários para o serviço (pode ser difícil de obter).
Utilizadores Standard	Não	Embora muitas etapas de proteção possam ser usadas para usuários padrão, o PAW foi projetado para isolar contas do acesso aberto à Internet que a maioria dos usuários exige para tarefas de trabalho.
VDI/Quiosque convidado	Não	Embora muitas etapas de proteção possam ser usadas para um sistema de quiosque para convidados, a arquitetura PAW foi projetada para fornecer maior segurança para contas de alta sensibilidade, não maior segurança para contas de baixa sensibilidade.
Utilizador VIP (Executivo, Investigador, etc.)	Parcialmente	Um PAW construído usando as orientações fornecidas na Fase 2 pode ser usado como ponto de partida para fornecer segurança para essas funções. - Este cenário é semelhante a um desktop de usuário padrão, mas normalmente tem um perfil de aplicativo menor, mais simples e bem conhecido. Esse cenário normalmente requer a descoberta e a proteção de dados, serviços e aplicativos confidenciais. - Essas funções normalmente exigem um alto grau de segurança e alto grau de usabilidade, que exigem alterações de design para atender às preferências do usuário.
Sistemas de controlo industrial (por exemplo, SCADA, PCN e DCS)	Parcialmente	Um PAW construído usando as orientações fornecidas na Fase 2 pode ser usado como ponto de partida para fornecer segurança para essas funções, já que a maioria dos consoles ICS (incluindo padrões comuns como SCADA e PCN) não exigem navegar na Internet aberta e verificar e-mails. - As aplicações utilizadas para controlar máquinas físicas teriam de ser integradas e testadas quanto à sua compatibilidade e protegidas de forma adequada.
Sistema operacional embarcado	Não	Embora muitas etapas de proteção do PAW possam ser usadas para sistemas operacionais incorporados, uma solução personalizada precisaria ser desenvolvida para proteção nesse cenário.

Observação

Cenários de combinação alguns funcionários podem ter responsabilidades administrativas que abrangem vários cenários. Nestes casos, as principais regras a ter em conta são que as regras do modelo de nível devem ser sempre seguidas.

Dimensionar o Programa PAW à medida que seu programa PAW é dimensionado para abranger mais administradores e funções, você precisa continuar a garantir que mantém a adesão aos padrões de segurança e usabilidade. Isso pode exigir que você atualize suas estruturas de suporte de TI ou crie novas para resolver desafios específicos do PAW, como processo de integração do PAW, gerenciamento de incidentes, gerenciamento de configuração e coleta de feedback para enfrentar os desafios de usabilidade. Um exemplo pode ser que a sua organização decida habilitar cenários de teletrabalho para administradores, o que exigiria uma mudança de Estações de Trabalho de Acesso Privilegiado (PAWs) de desktop para portáteis - uma mudança que pode exigir considerações adicionais de segurança. Outro exemplo comum é criar ou atualizar o treinamento para novos administradores - treinamento que agora deve incluir conteúdo sobre o uso apropriado de um PAW (incluindo por que ele é importante e o que um PAW é e não é). Para obter mais considerações que devem ser abordadas ao dimensionar seu programa PAW, consulte a Fase 2 das instruções.

Este guia contém as instruções detalhadas para a configuração do PAW para os cenários, conforme observado anteriormente. Se você tiver requisitos para os outros cenários, você mesmo pode adaptar as instruções com base nessa orientação ou contratar uma organização de serviços profissionais como a Microsoft para ajudá-la.

Implementação faseada do PAW

Como o PAW deve fornecer uma fonte segura e confiável para administração, é essencial que o processo de compilação seja seguro e confiável. Esta seção fornece instruções detalhadas, que permitem que você crie seu próprio PAW usando princípios e conceitos gerais semelhantes aos usados pela Microsoft.

As instruções são divididas em três fases, que se concentram em colocar as mitigações mais críticas em prática rapidamente e, em seguida, aumentar progressivamente e expandir o uso de PAW para a empresa.

• Fase 1 - Implantação imediata para administradores do Ative Directory
• Fase 2 - Estender o PAW a todos os administradores
• Fase 3 - segurança avançada de PAW

É importante notar que as fases devem ser sempre executadas em ordem, mesmo que sejam planejadas e implementadas como parte do mesmo projeto geral.

Fase 1: Implantação imediata para administradores do Ative Directory

Finalidade: fornece rapidamente um PAW capaz de proteger as funções de administração de domínios e florestas no local.

Escopo: Administradores de Nível 0, incluindo Administradores de Empresa, Administradores de Domínio (para todos os domínios) e administradores de outros sistemas de identidade autorizados.

Fase 1 concentra-se nos administradores que gerem o seu domínio do Active Directory local, que desempenham funções de importância crítica e são frequentemente alvos de ataques. Esses sistemas de identidade funcionam de forma eficaz para proteger esses administradores, quer seus Controladores de Domínio Ative Directory (DCs) estejam hospedados em datacenters locais, na Infraestrutura como Serviço (IaaS) do Azure ou em outro provedor de IaaS.

Durante essa fase, você cria a estrutura de unidade organizacional (UO) administrativa segura do Ative Directory para hospedar sua estação de trabalho de acesso privilegiado (PAW) e implanta os próprios PAWs. Essa estrutura também inclui as políticas de grupo e os grupos necessários para dar suporte ao PAW.

A infraestrutura é baseada nas seguintes UOs, grupos de segurança e diretivas de grupo:

• Unidades Organizacionais (UO)
  • Seis novas UOs de nível superior:
    • Administrador
    • Grupos
    • Servidores de Nível 1
    • Estações de trabalho
    • Contas de Utilizador
    • Quarentena do computador.
• Grupos
  • Seis novos grupos globais habilitados para segurança:
    • Manutenção da replicação de nível 0
    • Manutenção do Servidor de Nível 1
    • Operadores de Service Desk
    • Manutenção de estações de trabalho
    • Utilizadores PAW
    • Manutenção PAW.
• Objetos de política de grupo:
  • Configuração do PAW - Computador
  • Configuração PAW - Usuário
  • Necessário RestrictedAdmin - Computador
  • Restrições de saída PAW
  • Restringir Logon da Estação de Trabalho
  • Restrinja o logon do servidor.

A fase 1 inclui as seguintes etapas:

Preencha os pré-requisitos

1. Certifique-se de que todos os administradores usem contas individuais separadas para administração e atividades de usuário final (incluindo email, navegação na Internet, aplicativos de linha de negócios e outras atividades não administrativas). Atribuir uma conta administrativa a cada pessoa autorizada separada de sua conta de usuário padrão é fundamental para o modelo PAW, pois apenas certas contas têm permissão para fazer logon no próprio PAW.

   Importante

   Cada administrador deve utilizar a sua própria conta para a administração. Não partilhe uma conta administrativa.

2. Minimizar o número de administradores privilegiados de Nível 0. Como cada administrador deve usar um PAW, reduzir o número de administradores reduz o número de PAWs necessários para suportá-los e os custos associados. A menor contagem de administradores também resulta em menor exposição a esses privilégios e riscos associados. Embora seja possível que os administradores de um local compartilhem um PAW, os administradores em locais físicos separados exigem PAWs separados.

3. Adquira hardware de um fornecedor confiável que atenda a todos os requisitos técnicos. A Microsoft recomenda adquirir hardware que atenda aos requisitos técnicos no artigo Proteja credenciais de domínio com o Credential Guard.

   Observação

   O PAW instalado em hardware sem esses recursos pode fornecer proteções significativas, mas recursos avançados de segurança, como o Credential Guard e o Device Guard, não estarão disponíveis. O Credential Guard e o Device Guard não são necessários para a implantação da Fase 1, mas são altamente recomendados como parte da Fase 3 (proteção avançada).

   Certifique-se de que o hardware usado para o PAW é proveniente de um fabricante e fornecedor cujas práticas de segurança são confiáveis pela organização. Trata-se de uma aplicação do princípio da fonte limpa à segurança da cadeia de abastecimento.

   Para mais informações sobre a importância da segurança na cadeia de abastecimento, visite este site.

4. Adquira e valide o Windows 11 Enterprise Edition necessário e o software de aplicativo.

   • Windows 11 Enterprise Edition
   • Ferramentas de Administração de Servidor Remoto para Windows 11
   • Linhas de Base de Segurança do Windows 11

   Observação

   A Microsoft publica hashes MD5 para todos os sistemas operacionais e aplicativos no MSDN, mas nem todos os fornecedores de software fornecem documentação semelhante. Nesses casos, serão necessárias outras estratégias.

5. Certifique-se de que tem o servidor WSUS disponível na intranet. Você precisa de um servidor WSUS na intranet para baixar e instalar atualizações para o PAW. Este servidor WSUS deve ser configurado para aprovar automaticamente todas as atualizações de segurança para o Windows 11 ou um pessoal administrativo deve ter a responsabilidade de aprovar rapidamente as atualizações de software. Para mais informações, consulte a seção "Aprovar automaticamente atualizações para instalação" no documento de orientação Aprovação de atualizações.

Mover contas de Nível 0 para a UO Admin\Tier 0\Accounts

Mova cada conta que seja membro dos grupos Administrador de Domínio, Administrador de Empresa ou equivalentes de Nível 0 (incluindo associação aninhada) para esta UO. Se sua organização tiver seus próprios grupos que são adicionados a esses grupos, você deve movê-los para a UO Admin\Tier 0\Groups.

Adicionar os membros apropriados aos grupos relevantes

1. Usuários PAW - Adicione os administradores do Nível 0 com grupos de Administrador de Domínio ou Administrador de Empresa que identificou na Etapa 1 da Fase 1.

2. Manutenção de PAW - Adicione pelo menos uma conta utilizada para manutenção e tarefas de resolução de problemas de PAW. A(s) Conta(s) de Manutenção PAW é utilizada raramente.

   Importante

   Não adicione a mesma conta de usuário ou grupo aos Usuários PAW e à Manutenção PAW. O modelo de segurança PAW baseia-se, em parte, no pressuposto de que a conta de utilizador PAW tem direitos privilegiados em sistemas geridos ou sobre o próprio PAW, mas não ambos.

   • Isso é importante para a construção de boas práticas e hábitos administrativos na Fase 1.
   • Isso é extremamente importante para a Fase 2 e além, para evitar a escalada de privilégios através das PAWs, à medida que estas passam a abranger múltiplos níveis.

   Idealmente, nenhum pessoal é designado para funções em vários níveis para aplicar o princípio de segregação de funções, mas a Microsoft reconhece que muitas organizações têm funcionários limitados (ou outros requisitos organizacionais) que não permitem essa segregação total. Nesses casos, o mesmo pessoal pode ser atribuído a ambas as funções, mas não deve usar a mesma conta para essas funções.

Criar objeto de política de grupo (GPO) "Configuração PAW - Computador"

Nesta secção, cria-se uma nova "Configuração PAW - Computador" GPO, que fornece proteções específicas para estes PAWs e é vinculada à Unidade Organizacional (UO) de Dispositivos de Nível 0 ("Dispositivos" na Camada 0\Admin).

Advertência

Não adicione essas configurações à Diretiva de Domínio Padrão. Isso afetará potencialmente as operações em todo o ambiente do Ative Directory. Configure essas configurações somente nos GPOs recém-criados descritos aqui e aplique-as somente à UO PAW.

1. de Acesso de Manutenção PAW - esta configuração define a associação de grupos privilegiados específicos nos PAWs para um conjunto específico de usuários. Vá para Configuração do Computador\Preferências\Configurações do Painel de Controle\Usuários Locais e Grupos e conclua as seguintes etapas:

   1. Clique Novo e clique em Grupo Local

   2. Selecione a ação Atualizar e selecione "Administradores (incorporados)" (não use o botão Procurar para selecionar os administradores do grupo de domínio).

   3. Selecione as caixas de seleção Eliminar todos os utilizadores membros e Eliminar todos os grupos de membros

   4. Adicione Manutenção PAW (pawmaint) e Administrador (novamente, não use o botão Procurar para selecionar Administrador).

      Importante

      Não adicione o grupo Usuários PAW à lista de membros do grupo Administradores local. Para garantir que os Usuários do PAW não possam modificar acidental ou deliberadamente as configurações de segurança do próprio PAW, eles não devem ser membros dos grupos Administradores locais.

      Para obter mais informações sobre como usar as Preferências de Política de Grupo para modificar a associação ao grupo, consulte o artigo do TechNet Configurar um Item de Grupo Local.

2. Restringir a associação a grupos locais - esta configuração garante que a associação de grupos locais na estação de trabalho esteja sempre vazia

   1. Vá para Configuração do Computador\Preferências\Configurações do Painel de Controle\Usuários e Grupos Locais e conclua as seguintes etapas:

      1. Clique Novo e clique em Grupo Local
      2. Selecione a ação Atualizar e selecione "Operadores de backup (internos)" (não use o botão Procurar para selecionar os operadores de backup do grupo de domínio).
      3. Marque as caixas de seleção Eliminar todos os usuários membros e Eliminar todos os grupos de membros.
      4. Não adicione nenhum membro ao grupo. A atribuição de uma lista vazia faz com que a política de grupo remova automaticamente todos os membros e garanta uma lista de membros em branco sempre que a política de grupo for atualizada.

   2. Conclua as etapas anteriores para os seguintes grupos:

      • Operadores Criptográficos
      • Administradores Hyper-V
      • Operadores de configuração de rede
      • Utilizadores Avançados
      • Utilizadores do Ambiente de Trabalho Remoto
      • Replicadores

   3. Restrições de Início de Sessão PAW - esta configuração limita as contas que podem iniciar sessão no PAW. Conclua as seguintes etapas para definir essa configuração:

      1. Vá para Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Diretivas Locais\Atribuição de Direitos de Usuário\Permitir logon localmente.
      2. Selecione Definir estas definições de política e adicione "Utilizadores PAW" e Administradores (novamente, não utilize o botão Procurar para selecionar Administradores).

   4. Bloquear Tráfego de Rede de Entrada - Esta configuração garante que nenhum tráfego de rede de entrada não solicitado seja permitido para o PAW. Conclua as seguintes etapas para definir essa configuração:

      1. Vá para Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Firewall do Windows com Segurança Avançada\Firewall do Windows com Segurança Avançada e conclua as seguintes etapas:
         1. Clique com o botão direito do mouse em Firewall do Windows com Segurança Avançada e selecione política de importação.
         2. Clique Sim para aceitar que isso substitua quaisquer políticas de firewall existentes.
         3. Navegue até PAWFirewall.wfw e selecione Abrir.
         4. Clique OK.

      Observação

      Você pode adicionar endereços ou sub-redes que devem chegar ao PAW com tráfego não solicitado neste ponto (por exemplo, verificação de segurança ou software de gerenciamento. As configurações no arquivo WFW habilitarão o firewall no modo "Bloquear - Padrão" para todos os perfis de firewall, desativarão a mesclagem de regras e habilitarão o registro de pacotes descartados e bem-sucedidos. Essas configurações bloquearão o tráfego não solicitado e, ao mesmo tempo, permitirão a comunicação bidirecional em conexões iniciadas a partir do PAW, impedirão que usuários com acesso administrativo local criem regras de firewall local que substituam as configurações de GPO e garantirão que o tráfego de entrada e saída do PAW seja registrado. Abrir este firewall expandirá a superfície de ataque para o PAW e aumentará o risco de segurança. Antes de adicionar qualquer endereço, consulte a seção Gerenciando e operando PAW nesta orientação.

   5. Configurar o Windows Update para WSUS - conclua as seguintes etapas para alterar as configurações para configurar o Windows Update para os PAWs:

      1. Vá para Configuração do Computador\Políticas\Modelos Administrativos\Componentes do Windows\Atualizações do Windows e conclua as seguintes etapas:
         1. Habilite a política Configurar Atualizações Automáticas.
         2. Selecione a opção 4 - Download automático e agende a instalação.
         3. Altere a opção Dia de instalação agendada para 0 - Todos os dias e a opção Hora de instalação agendada à sua preferência organizacional.
         4. Habilite a política Especificar local do serviço de atualização da Microsoft na intranet.

   6. Vincule o GPO "Configuração PAW - Computador" da seguinte maneira:

      Política	Localização do link
      Configuração PAW - Computador	Admin\Camada 0\Dispositivos

Criar objeto de política de grupo (GPO) "Configuração de PAW - Utilizador"

Nesta seção, é criada uma nova GPO "Configuração PAW - Utilizador" que fornece proteções específicas para estes PAWs e está associada à UO de Contas do Nível 0 ("Contas" em Nível 0\Admin).

Advertência

Não adicione essas configurações à Diretiva de Domínio Padrão

1. Bloquear navegação na Internet - Para impedir a navegação inadvertida na Internet, define um endereço proxy como 127.0.0.1, um endereço de loopback.

   1. Vá para Configuração do Usuário\Preferências\Configurações do Windows\Registro. Clique com o botão direito do mouse em Registro, selecione Novo Item de Registro> e defina as seguintes configurações:

      1. Ação: Substituir

      2. Hive: HKEY_CURRENT_USER

      3. Caminho da Chave: Software\Microsoft\Windows\CurrentVersion\Internet Settings

      4. Nome do valor: ProxyEnable

         Atenção

         Não selecione a caixa Padrão à esquerda de Nome do valor.

      5. Tipo de valor: REG_DWORD

      6. Valor dos dados: 1

         1. Clique no separador Comum e selecione Remover este item quando já não for aplicável.
         2. Na guia Comum, selecione de segmentação em nível de item e clique em de segmentação .
         3. Clique Novo Item e selecione Grupo de segurança.
         4. Selecione a opção "..." e procure o grupo Usuários PAW.
         5. Clique Novo Item e selecione Grupo de segurança.
         6. Selecione o botão "..." e procure o grupo Administradores de Serviços de Nuvem.
         7. Clique no item Administradores de Serviços de Nuvem e clique em Opções de Item.
         8. Selecione , Não está.
         9. Clique OK na janela de direcionamento.

      7. Clique OK para concluir a configuração de diretiva de grupo ProxyServer

   2. Vá para Configuração do Usuário\Preferências\Configurações do Windows\Registro. Clique com o botão direito do mouse em Registro, selecione Novo Item de Registro> e configure as seguintes definições:

      • Ação: Substituir
      • Hive: HKEY_CURRENT_USER
      • Caminho da chave: Software\Microsoft\Windows\CurrentVersion\Internet Settings

        • Nome do valor: ProxyServer

          Atenção

          Não selecione a caixa padrão à esquerda de nome do valor.

        • Tipo de valor: REG_SZ

        • Dados do valor: 127.0.0.1:80

          1. Clique na guia Comum e selecione Remover este item quando ele não for mais aplicado.
          2. Na guia Comum, selecione Segmentação a nível de item e clique em Targeting.
          3. Clique em Novo Item e selecione grupo de segurança.
          4. Selecione a opção "..." e adicione o grupo Usuários PAW.
          5. Clique em Novo Item e selecione grupo de segurança.
          6. Selecione o botão "..." e procure o grupo Administradores de Serviços de Nuvem.
          7. Clique no item Administradores de Serviços de Nuvem e clique em Opções de Item.
          8. Selecione . Não está.
          9. Clique OK na janela de direcionamento.

   3. Clique OK para concluir a configuração de diretiva de grupo ProxyServer,

2. Vá para Configuração do Usuário\Políticas\Modelos Administrativos\Componentes do Windows\Internet Explorer e habilite as seguintes opções. Essas configurações impedem que os administradores substituam manualmente as configurações de proxy.
   1. Ative a opção para desativar a alteração das configurações automáticas.
   2. Ativar o Impedir a alteração das configurações de proxy.

Impedir que os administradores façam logon em hosts de camada inferior

Nesta seção, configuramos políticas de grupo para impedir que contas administrativas privilegiadas façam logon em hosts de camada inferior.

1. Crie o novo Restringir Início de Sessão na Estação de Trabalho GPO - esta configuração restringe as contas de administrador de Nível 0 e Nível 1 de iniciar sessão em estações de trabalho padrão. Esse GPO deve estar vinculado à UO de nível superior "Estações de trabalho" e ter as seguintes configurações:

   • Em Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Atribuição de Direitos de Usuário\Negar logon como um trabalho em lotes, selecione Definir estas configurações de política e adicione os grupos de Nível 0 e Camada 1, incluindo:

     • Grupos de Nível 0 integrados
       • Administradores Empresariais
       • Administradores de Domínio
       • Administradores de esquema
       • BUILTIN\Administradores
       • Operadores de Contas
       • Operadores de backup
       • Operadores de impressão
       • Operadores de servidor
       • Controladores de domínio
       • Controladores de domínio Read-Only
       • Criadores e Proprietários de Política de Grupo
       • Operadores Criptográficos
     • Outros Grupos Delegados, incluindo quaisquer grupos criados personalizados com acesso efetivo de Nível 0.
     • Administradores de Nível 1

   • Em Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Atribuição de Direitos de Utilizador\Negar logon como um serviço, selecione Definir estas configurações de política e adicione os grupos de Nível 0 e Nível 1:

     • Grupos de Nível 0 integrados
       • Administradores Empresariais
       • Administradores de Domínio
       • Administradores de esquema
       • BUILTIN\Administradores
       • Operadores de Conta
       • Operadores de backup
       • Operadores de impressão
       • Operadores de servidor
       • Controladores de domínio
       • Controladores de domínio Read-Only
       • Criadores de Políticas de Grupo - Proprietários
       • Operadores Criptográficos
     • Outros Grupos Delegados, incluindo quaisquer grupos criados personalizados com acesso efetivo de Nível 0.
     • Administradores de Nível 1

2. Crie o novo Restringir o Logon no Servidor GPO - esta configuração restringe as contas de administrador de Camada 0 de fazer logon em servidores de Camada 1. Esse GPO deve estar vinculado à UO de nível superior "Servidores de Nível 1" e ter as seguintes configurações:

   • Em Configurações do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Atribuição de Direitos de Utilizador\Negar início de sessão como trabalho em lote, selecione Definir estas configurações de política e adicione os grupos de Nível 0:

     • Grupos de Nível 0 integrados
       • Administradores Empresariais
       • Administradores de Domínio
       • Administradores de esquema
       • BUILTIN\Administradores
       • Operadores de Conta
       • Operadores de backup
       • Operadores de impressão
       • Operadores de servidor
       • Controladores de domínio
       • Controladores de domínio Read-Only
       • Proprietários dos Criadores de Políticas de Grupo
       • Operadores Criptográficos
     • Outros Grupos Delegados, incluindo quaisquer grupos criados personalizados com acesso efetivo de Nível 0.

   • Em Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Atribuição de Direitos de Usuário\Negar logon como um serviço, selecione Definir estas configurações de política e adicione os grupos de Nível 0:

     • Grupos de Nível 0 integrados
       • Administradores Empresariais
       • Administradores de Domínio
       • Administradores de esquema
       • BUILTIN\Administradores
       • Operadores de Contas
       • Operadores de backup
       • Operadores de impressão
       • Operadores de servidor
       • Controladores de domínio
       • Controladores de domínio Read-Only
       • Criadores de Políticas de Grupo - Proprietários
       • Operadores Criptográficos
     • Outros Grupos Delegados, incluindo quaisquer grupos criados personalizados com acesso efetivo de Nível 0.

   • Em Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Atribuição de Direitos de Usuário\Negar logon localmente, selecione Definir estas configurações de política e adicione os grupos de Nível 0:

     • Grupos de Nível 0 integrados
       • Administradores Empresariais
       • Administradores de Domínio
       • Administradores de esquema
       • BUILTIN\Administradores
       • Operadores de Conta
       • Operadores de backup
       • Operadores de impressão
       • Operadores de servidor
       • Controladores de domínio
       • Controladores de domínio Read-Only
       • Proprietários dos Criadores de Políticas de Grupo
       • Operadores Criptográficos
     • Outros Grupos Delegados, incluindo quaisquer grupos criados personalizados com acesso efetivo de Nível 0.

Implemente o(s) seu(s) PAW(s)

Importante

Verifique se o PAW está desconectado da rede durante o processo de compilação do sistema operacional.

1. Instale o Windows 11 usando a mídia de instalação de código limpo que você obteve anteriormente.

   Observação

   Você pode usar o Microsoft Deployment Toolkit (MDT) ou outro sistema automatizado de implantação de imagem para automatizar a implantação do PAW, mas deve garantir que o processo de compilação seja tão confiável quanto o PAW. Os adversários procuram especificamente imagens corporativas e sistemas de implantação (incluindo ISOs, pacotes de implantação, etc.) como um mecanismo de persistência, de modo que sistemas ou imagens de implantação preexistentes não devem ser usados.

   Se você automatizar a implantação do PAW, deverá:

   • Construa o sistema usando mídia de instalação validada e autêntica.
   • Certifique-se de que o sistema de implantação automatizada esteja desconectado da rede durante o processo de compilação do sistema operacional.

2. Defina uma senha complexa exclusiva para a conta de administrador local. Não use uma senha que tenha sido usada para qualquer outra conta no ambiente.

   Observação

   A Microsoft recomenda a utilização da Solução Local de Senha de Administrador (LAPS) para gerir a senha do Administrador local em todas as estações de trabalho, incluindo as PAWs. Se você usar o LAPS, certifique-se de conceder apenas ao grupo de Manutenção do PAW o direito de ler as senhas gerenciadas pelo LAPS para os PAWs.

3. Instale as Ferramentas de Administração de Servidor Remoto para Windows 11 usando a mídia de instalação de código limpo.

4. Configurar o Windows Defender Exploit Guard

5. Conecte o PAW à rede. Verifique se o PAW pode se conectar a pelo menos um controlador de domínio (DC).

6. Usando uma conta que é membro do grupo PAW Maintenance, execute o seguinte comando PowerShell a partir do PAW recém-criado para associá-lo ao domínio na Unidade Organizacional apropriada.

   Add-Computer -DomainName Fabrikam -OUPath "OU=Devices,OU=Tier 0,OU=Admin,DC=fabrikam,DC=com"

   Substitua as referências a da Fabrikam pelo seu nome de domínio, conforme apropriado. Se o seu nome de domínio se estender a vários níveis (por exemplo, child.fabrikam.com), adicione os outros nomes com o identificador "DC=" na ordem em que aparecem no nome de domínio totalmente qualificado do domínio.

7. Aplique todas as atualizações críticas e importantes do Windows antes de instalar qualquer outro software (incluindo ferramentas administrativas, agentes, etc.).

8. Forçar a aplicação da Diretiva de Grupo.

   1. Abra um prompt de comando elevado e digite o seguinte comando: Gpupdate /force /sync
   2. Reinicie o computador

9. (Opcional) Instale outras ferramentas necessárias para administradores do Ative Directory. Instale quaisquer outras ferramentas ou scripts necessários para executar tarefas de trabalho. Certifique-se de avaliar o risco de exposição de credenciais nos computadores de destino com qualquer ferramenta antes de adicioná-la a um PAW.

   Observação

   Usar um servidor de salto para um local central para essas ferramentas pode reduzir a complexidade, mesmo que não sirva como um limite de segurança.

10. (Opcional) Transfira e instale o software de acesso remoto necessário. Se os administradores estiverem usando o PAW remotamente para administração, instale o software de acesso remoto usando as diretrizes de segurança do fornecedor da solução de acesso remoto.

    Observação

    Considere cuidadosamente todos os riscos envolvidos em permitir o acesso remoto através de um PAW. Enquanto um PAW móvel permite muitos cenários importantes, incluindo o trabalho em casa, o software de acesso remoto pode ser potencialmente vulnerável a ataques e usado para comprometer um PAW.

11. Valide a integridade do sistema PAW revisando e confirmando se todas as configurações apropriadas estão em vigor usando as seguintes etapas:

    1. Confirme se apenas as políticas de grupo específicas do PAW são aplicadas ao PAW
       1. Abra um prompt de comando elevado e digite o seguinte comando: Gpresult /scope computer /r
       2. Revise a lista resultante e verifique se as únicas políticas de grupo que aparecem são as que você criou anteriormente.
    2. Confirme se nenhuma outra conta de usuário é membro de grupos privilegiados no PAW usando as seguintes etapas:

       1. Abra Editar Utilizadores e Grupos Locais (lusrmgr.msc), selecione Grupose confirme se os únicos membros do grupo de Administradores local são a conta de Administrador local e o grupo de segurança global Manutenção PAW.

          Importante

          O grupo Usuários do PAW não deve ser membro do grupo Administradores local. Os únicos membros devem ser a conta de Administrador local e o grupo de segurança global de Manutenção PAW (e os Usuários PAW também não devem ser membros desse grupo global).

       2. Também, usando Editar Utilizadores e Grupos Locais, assegure-se de que os grupos seguintes não tenham membros:

          • Operadores de backup
          • Operadores Criptográficos
          • Hyper-V Administradores
          • Operadores de configuração de rede
          • Utilizadores Avançados
          • Utilizadores do Ambiente de Trabalho Remoto
          • Replicadores

12. (Opcional) Se sua organização usa uma solução de gerenciamento de eventos e informações de segurança (SIEM), verifique se o PAW está configurado para encaminhar eventos para o sistema usando o Windows Event Forwarding (WEF) ou está registrado com a solução para que o SIEM esteja recebendo ativamente eventos e informações do PAW. Os detalhes desta operação variam de acordo com a sua solução SIEM.

    Observação

    Se o SIEM exigir um agente executado como sistema ou uma conta administrativa local nos PAWs, certifique-se de que os SIEMs sejam gerenciados com o mesmo nível de confiança que os controladores de domínio e sistemas de identidade.

13. (Opcional) Se você optar por implantar o LAPS para gerenciar a senha da conta de Administrador local no seu PAW, verifique se a senha foi registrada com êxito.

    • Usando uma conta com permissões para ler senhas geridas por LAPS, abra Utilizadores e Computadores do Active Directory (dsa.msc). Verifique se os Recursos Avançados estão habilitados e clique com o botão direito do mouse no objeto de computador apropriado. Selecione a guia Editor de atributos e confirme se o valor de msSVSadmPwd está preenchido com uma senha válida.

Fase 2: Estender o PAW a todos os administradores

Escopo: Todos os usuários com direitos administrativos sobre aplicativos e dependências de missão crítica. Isso deve incluir, pelo menos, administradores de servidores de aplicativos, soluções de monitoramento de integridade operacional e segurança, soluções de virtualização, sistemas de armazenamento e dispositivos de rede.

Observação

As instruções nesta fase pressupõem que a Fase 1 foi concluída na sua totalidade. Não inicie a Fase 2 antes de ter concluído todas as etapas da Fase 1.

Depois de confirmar que todas as etapas foram concluídas, execute as seguintes etapas para concluir a Fase 2:

(Recomendado) Ativar o modo RestrictedAdmin

Habilite esse recurso em seus servidores e estações de trabalho existentes e, em seguida, imponha o uso desse recurso. Esse recurso requer que os servidores de destino estejam executando o Windows Server 2008 R2 ou posterior e que as estações de trabalho de destino estejam executando o Windows 7 ou posterior.

1. Habilite o modo RestrictedAdmin nos seus servidores e estações de trabalho seguindo as instruções disponíveis nesta página .

   Observação

   Antes de habilitar esse recurso para servidores voltados para a Internet, você deve considerar o risco de os adversários serem capazes de se autenticar nesses servidores com um hash de senha roubado anteriormente.

2. Crie o objeto de diretiva de grupo (GPO) "RestrictedAdmin Required - Computer". Esta seção cria um GPO que impõe o uso da opção /RestrictedAdmin para conexões de saída da Área de Trabalho Remota, protegendo as contas contra roubo de credenciais nos sistemas de destino

   • Vá para Configuração do Computador\Políticas\Modelos Administrativos\Sistema\Delegação de Credenciais\Restringir delegação de credenciais a servidores remotos e defina como Habilitado.

3. Vincule o RestrictedAdmin Required - Computer aos dispositivos de Nível 1 e/ou Nível 2 apropriados usando as seguintes opções de política:

   • Configuração PAW - Computador
     • -> Localização do link: Admin\Tier 0\Dispositivos (Existente)
   • Configuração PAW - Usuário
     • -> Localização da hiperligação: Admin\Tier 0\Accounts
   • Administrador Restrito Necessário - Computador
     • ->Admin\Tier1\Devices ou -> Admin\Tier2\Devices (Ambos são opcionais)

   Observação

   Isso não é necessário para sistemas de nível 0, pois esses sistemas já têm controle total de todos os ativos no ambiente.

Mover objetos de Nível 1 para as UOs apropriadas

1. Mova os grupos de Tier 1 para a UO Admin\Tier 1\Groups. Localize todos os grupos que concedem os seguintes direitos administrativos e mova-os para esta UO.

   • Administrador local em mais de um servidor
     • Acesso administrativo a serviços na nuvem
     • Acesso administrativo a aplicações empresariais

2. Mova as contas de Nível 1 para a UO Admin\Tier 1\Accounts. Mova cada conta que seja membro desses grupos Tier 1 (incluindo membros aninhados) para esta UO.

3. Adicionar os membros apropriados aos grupos relevantes

   • Administradores de Nível 1 - Este grupo contém os Administradores de Nível 1 que estão restringidos de iniciar sessão em anfitriões de Nível 2. Adicione todos os seus grupos administrativos de Nível 1 que tenham privilégios administrativos sobre servidores ou serviços de Internet.

     Importante

     Se o pessoal administrativo tiver funções para gerenciar ativos em vários níveis, você precisará criar uma conta de administrador separada por camada.

4. Habilite o Credential Guard para reduzir o risco de roubo e reutilização de credenciais. O Credential Guard é um novo recurso do Windows 11 que restringe o acesso do aplicativo às credenciais, impedindo ataques de roubo de credenciais (incluindo Pass-the-Hash). O Credential Guard é transparente para o usuário final e requer tempo e esforço mínimos de configuração. Para obter mais informações sobre o Credential Guard, incluindo etapas de implantação e requisitos de hardware, consulte o artigo Proteja credenciais de domínio com o Credential Guard.

   Observação

   O Device Guard deve estar habilitado para configurar e usar o Credential Guard. No entanto, não é necessário configurar nenhuma outra proteção do Device Guard para usar o Credential Guard.

5. (Opcional) Habilite a conectividade com serviços de nuvem. Esta etapa permite o gerenciamento de serviços de nuvem como Azure e Microsoft 365 com garantias de segurança adequadas. Esta etapa também é necessária para o Microsoft Intune gerenciar os PAWs.

   Observação

   Ignore esta etapa se nenhuma conectividade de nuvem for necessária para administração de serviços de nuvem ou gerenciamento pelo Intune.

   • Essas etapas restringem a comunicação pela Internet apenas a serviços de nuvem autorizados (mas não à internet aberta) e adicionam proteções aos navegadores e outros aplicativos que processam conteúdo da Internet. Esses PAWs para administração nunca devem ser usados para tarefas padrão do usuário, como comunicações via internet e produtividade.
   • Para habilitar a conectividade com serviços PAW, conclua as seguintes etapas:

   1. Configure o PAW para permitir apenas destinos autorizados da Internet. À medida que você estende sua implantação do PAW para habilitar a administração na nuvem, você precisa permitir o acesso a serviços autorizados enquanto filtra o acesso da Internet aberta, onde os ataques podem ser montados mais facilmente contra seus administradores.

      1. Crie o grupo Administradores de Serviços na Nuvem e adicione todas as contas a ele que necessitem de acesso a serviços na nuvem na Internet.

      2. Baixe o arquivo de PAW proxy.pac partir do da Galeria TechNet e publique-o em um site interno.

         Observação

         Você precisará atualizar o arquivo proxy.pac após o download para garantir que ele esteja atualizado up-toe completo. A Microsoft publica todas as URLs atuais do Microsoft 365 e do Azure no Centro de Suporte do Office . Estas instruções pressupõem que você usará o Internet Explorer (ou Microsoft Edge) para administração do Microsoft 365, Azure e outros serviços de nuvem. A Microsoft recomenda configurar restrições semelhantes para qualquer navegador de terceiros que você precise para administração. Os navegadores da Web em PAWs só devem ser usados para administração de serviços em nuvem e nunca para navegação geral na Web.

         Talvez seja necessário adicionar outros destinos válidos da Internet para adicionar a essa lista para outros provedores de IaaS, mas não adicione sites de produtividade, entretenimento, notícias ou pesquisa a essa lista.

         Também pode ser necessário ajustar o arquivo PAC para acomodar um endereço proxy válido a ser usado para esses endereços.

         Você também pode restringir o acesso do PAW usando um proxy da web para aumentar a defesa em profundidade. Não recomendamos usar isso por si só sem o arquivo PAC, pois ele só restringirá o acesso para PAWs enquanto estiver conectado à rede corporativa.

      3. Depois de configurar o ficheiro proxy.pac, atualize a Configuração PAW - GPO do Utilizador.

         1. Vá para Configuração do Usuário\Preferências\Configurações do Windows\Registro. Clique com o botão direito do mouse em Registro, selecione Novo Item de Registro > e defina as seguintes configurações:

            1. Ação: Substituir

            2. Hive: HKEY_CURRENT_USER

            3. Caminho da chave: Software\Microsoft\Windows\CurrentVersion\Internet Settings

            4. Nome do valor: AutoConfigUrl

               Atenção

               Não selecione a caixa Padrão à esquerda de Nome do valor.

            5. Tipo de valor: REG_SZ

            6. Dados do valor: digite a URL completa para o arquivo proxy.pac, incluindo http:// e o nome do arquivo — por exemplo, http://proxy.fabrikam.com/proxy.pac. O URL também pode ser um URL de rótulo único - por exemplo, http://proxy/proxy.pac

               Observação

               O arquivo PAC também pode ser hospedado em um compartilhamento de arquivos, com a sintaxe de file://server.fabrikan.com/share/proxy.pac mas isso requer a permissão do protocolo file://. Consulte a seção "NOTA: Scripts de proxy baseados em File:// preteridos" deste blog Understanding Web Proxy Configuration para mais detalhes sobre como configurar o valor do registro necessário.

            7. Clique na guia Comum e selecione Remover este item quando ele não for mais aplicado.

            8. Na guia Comum, selecione segmentação ao nível do item e clique em segmentação.

            9. Clique Novo Item e selecione grupo de segurança.

            10. Selecione o botão "..." e procure o grupo Administradores de Serviços de Nuvem.

            11. Clique Novo Item e selecione grupo de segurança.

            12. Selecione a opção "..." e procure o grupo Usuários PAW.

            13. Clique no item Usuários PAW e clique em Opções de Item.

            14. Selecione . Não é.

            15. Clique OK na janela de segmentação.

            16. Clique em OK para concluir a configuração de política de grupo do AutoConfigUrl.

   2. Aplicar as linhas de base de segurança do Windows 11 e o acesso ao serviço de nuvem Vincule as linhas de base de segurança do Windows e do acesso ao serviço de nuvem (se necessário) às UOs corretas usando as seguintes etapas:

      1. Extraia o conteúdo do arquivo ZIP dos Baselines de Segurança do Windows 11.

      2. Crie esses GPOs, importe as configurações de política e vincule de acordo com esta tabela. Vincule cada política a cada local e certifique-se de que a ordem siga a tabela (entradas mais baixas na tabela devem ser aplicadas posteriormente e prioridade mais alta):

         Políticas :

         Nome da política	Ligação
         CM Windows 11 - Segurança de Domínio	N/A - Não ligar agora
         SCM Windows 11 TH2 - Computador	Admin\Camada 0\Dispositivos
         	Admin\Nível 1\Dispositivos
         	Admin\Camada 2\Dispositivos
         SCM Windows 11 TH2- BitLocker	Admin\Camada 0\Dispositivos
         	Admin\Nível 1\Dispositivos
         	Admin\Camada 2\Dispositivos
         SCM Windows 11 - Guarda de Credenciais	Admin\Camada 0\Dispositivos
         	Admin\Nível 1\Dispositivos
         	Admin\Camada 2\Dispositivos
         SCM Internet Explorer - Computador	Admin\Camada 0\Dispositivos
         	Admin\Nível 1\Dispositivos
         	Admin\Camada 2\Dispositivos
         Configuração PAW - Computador	Admin\Tier 0\Devices (Existente)
         	Admin\Tier 1\Dispositivos (Novo link)
         	Admin\Tier 2\Dispositivos (Novo Hipervínculo)
         RestrictedAdmin Necessário - Computador	Admin\Camada 0\Dispositivos
         	Admin\Nível 1\Dispositivos
         	Admin\Camada 2\Dispositivos
         SCM Windows 11 - Usuário	Admin\Camada 0\Dispositivos
         	Admin\Nível 1\Dispositivos
         	Admin\Camada 2\Dispositivos
         SCM Internet Explorer - Usuário	Admin\Camada 0\Dispositivos
         	Admin\Nível 1\Dispositivos
         	Admin\Camada 2\Dispositivos
         Configuração PAW - Usuário	Admin\Tier 0\Dispositivos (Existente)
         	Admin\Tier 1\Dispositivos (Novo link)
         	Admin\Tier 2\Dispositivos (Nova Ligação)

         Observação

         O GPO "SCM Windows 11 - Segurança de Domínio" pode estar vinculado ao domínio independentemente do PAW, mas afetará todo o domínio.

6. (Opcional) Instale outras ferramentas necessárias para administradores de nível 1. Instale quaisquer outras ferramentas ou scripts necessários para executar tarefas de trabalho. Certifique-se de avaliar o risco de exposição de credenciais nos computadores de destino com qualquer ferramenta antes de adicioná-la a um PAW.

7. Identificar e obter com segurança o software e as aplicações necessárias para a administração. Isso é semelhante ao trabalho realizado na Fase 1, mas com um escopo mais amplo devido ao aumento do número de aplicativos, serviços e sistemas protegidos.

   Importante

   Certifique-se de proteger esses novos aplicativos (incluindo navegadores da Web) optando-os pelas proteções fornecidas pelo Windows Defender Exploit Guard.

   • Exemplos de outros softwares e aplicativos incluem:

     • Software de gerenciamento de serviços ou aplicativos baseado no Console de Gerenciamento Microsoft

     • Software proprietário (não baseado em MMC) de gerenciamento de serviços ou aplicativos

       Observação

       Muitas aplicações são agora geridas exclusivamente através de navegadores web, incluindo muitos serviços na nuvem. Embora isso reduza o número de aplicativos que precisam ser instalados em um PAW, também introduz o risco de problemas de interoperabilidade do navegador. Talvez seja necessário implantar um navegador da Web que não seja da Microsoft em instâncias PAW específicas para habilitar a administração de serviços específicos. Se você implantar um navegador da Web adicional, certifique-se de seguir todos os princípios de fonte limpa e proteger o navegador de acordo com as diretrizes de segurança do fornecedor.

8. (Opcional) Transfira e instale todos os agentes de gestão necessários.

   Importante

   Se você optar por instalar agentes de gerenciamento adicionais (monitoramento, segurança, gerenciamento de configuração, etc.), é vital garantir que os sistemas de gerenciamento sejam confiáveis no mesmo nível dos controladores de domínio e sistemas de identidade.

9. Avalie sua infraestrutura para identificar sistemas que exigem mais proteções de segurança fornecidas por um PAW. Certifique-se de saber exatamente quais sistemas devem ser protegidos. Faça perguntas críticas sobre os próprios recursos, tais como:

   • Onde estão os sistemas de destino que devem ser gerenciados? Eles são coletados em um único local físico ou conectados a uma única sub-rede bem definida?

   • Quantos sistemas existem?

   • Esses sistemas dependem de outros sistemas (virtualização, armazenamento, etc.) e, em caso afirmativo, como esses sistemas são gerenciados? Como os sistemas críticos estão expostos a essas dependências e quais são os outros riscos associados a essas dependências?

   • Quão críticos são os serviços que estão sendo gerenciados e qual é a perda esperada se esses serviços forem comprometidos?

     Importante

     Inclua seus serviços de nuvem nessa avaliação - os invasores visam cada vez mais implantações de nuvem inseguras, e é vital que você administre esses serviços com a mesma segurança com que administraria seus aplicativos de missão crítica locais.

     Use essa avaliação para identificar os sistemas específicos que exigem proteção extra e, em seguida, estenda seu programa PAW para os administradores desses sistemas. Exemplos comuns de sistemas que se beneficiam muito da administração baseada em PAW incluem o SQL Server (local e o SQL Azure), aplicativos de recursos humanos e software financeiro.

     Observação

     Se um recurso for gerenciado a partir de um sistema Windows, ele poderá ser gerenciado com um PAW, mesmo que o próprio aplicativo seja executado em um sistema operacional diferente do Windows ou em uma plataforma de nuvem que não seja da Microsoft. Por exemplo, o proprietário de uma assinatura de provedor de serviços de nuvem só deve usar um PAW para administrar essa conta.

10. Desenvolva um método de solicitação e distribuição para implantar PAWs em escala em sua organização. Dependendo do número de PAWs que você escolher implantar na Fase 2, talvez seja necessário automatizar o processo.

    • Considere o desenvolvimento de um processo formal de solicitação e aprovação para os administradores usarem para obter um PAW. Esse processo ajudaria a padronizar o processo de implantação, garantiria a responsabilidade pelos dispositivos PAW e ajudaria a identificar lacunas na implantação do PAW.

    • Como dito anteriormente, essa solução de implantação deve ser separada dos métodos de automação existentes (que podem já ter sido comprometidos) e deve seguir os princípios descritos na Fase 1.

      Importante

      Qualquer sistema que gere recursos deve ser gerido com o mesmo nível de confiança ou com um nível de confiança superior.

11. Revise e, se necessário, implante mais perfis de hardware PAW. O perfil de hardware escolhido para a implantação da Fase 1 pode não ser adequado para todos os administradores. Revise os perfis de hardware e, se apropriado, selecione outros perfis de hardware PAW para corresponder às necessidades dos administradores. Por exemplo, o perfil de hardware dedicado (PAW separado e estações de trabalho de uso diário) pode ser inadequado para um administrador que viaja com frequência.

12. Considere as necessidades culturais, operacionais, de comunicação e de treinamento que acompanham uma implantação estendida do PAW. Uma mudança tão significativa em um modelo administrativo naturalmente exigirá gerenciamento de mudanças em algum grau, e é essencial incorporar isso ao próprio projeto de implantação. Considere, no mínimo, as seguintes perguntas:

    • Como você comunicará as mudanças à liderança sênior para garantir seu apoio? Qualquer projeto sem o apoio da liderança sênior provavelmente fracassará, ou lutará por financiamento e ampla aceitação.

    • Como você documentará o novo processo para administradores? Estas mudanças devem ser documentadas e comunicadas não só aos administradores existentes (que devem mudar os seus hábitos e gerir os recursos de uma forma diferente), mas também aos novos administradores (os promovidos de dentro ou contratados de fora da organização). É essencial que a documentação seja clara e totalmente articulada:

      • A importância das ameaças
      • O papel do PAW na proteção dos administradores.
      • Como usar um PAW corretamente.

      Importante

      Isso é especialmente importante para funções com alta rotatividade, incluindo, mas não limitado a, pessoal de help desk.

    • Como garantir o cumprimento do novo processo? Embora o modelo PAW inclua vários controles técnicos para evitar a exposição de credenciais privilegiadas, é impossível evitar totalmente toda a exposição possível usando exclusivamente controles técnicos. Por exemplo, embora seja possível impedir que um administrador faça logon com êxito em uma área de trabalho do usuário com credenciais privilegiadas, o simples ato de tentar o logon pode expor as credenciais a malware instalado na área de trabalho do usuário. Portanto, é essencial que você articule não apenas os benefícios do modelo PAW, mas os riscos de não conformidade. Isso deve ser complementado por auditorias e alertas para que a exposição de credenciais possa ser rapidamente detetada e resolvida.

Fase 3: Ampliar e melhorar a proteção

Escopo: Essas proteções aprimoram os sistemas construídos na Fase 1, reforçando a proteção básica com recursos avançados, incluindo autenticação multifator e regras de acesso à rede.

Observação

Esta fase pode ser realizada a qualquer momento após a conclusão da Fase 1. Não depende da conclusão da Fase 2 e, portanto, pode ser realizada antes, simultaneamente ou após a Fase 2.

Conclua as seguintes etapas para configurar essa fase:

1. Habilite a autenticação multifator para contas privilegiadas. A autenticação multifator fortalece a segurança da conta, exigindo que o usuário forneça um token físico, além das credenciais. A autenticação multifator complementa bem as políticas de autenticação, mas não depende das políticas de autenticação para implantação (e, da mesma forma, as políticas de autenticação não exigem autenticação multifator). A Microsoft recomenda o uso de uma destas formas de autenticação multifator:

   • Cartão Inteligente: Um cartão inteligente é um dispositivo físico portátil e inviolável que fornece uma segunda autenticação durante o processo de início de sessão no Windows. Ao exigir que um indivíduo possua um cartão para fazer logon, você pode reduzir o risco de credenciais roubadas serem reutilizadas remotamente. Para obter detalhes sobre o logon de cartão inteligente no Windows, consulte o artigo Visão geral do cartão inteligente.
   • de cartão inteligente virtual: Um cartão inteligente virtual oferece os mesmos benefícios de segurança que os cartões inteligentes físicos, com o benefício adicional de estar vinculado a hardware específico. Para obter detalhes sobre a implantação e os requisitos de hardware, consulte os artigos Virtual Smart Card Overview and Get Started with Virtual Smart Cards: Walkthrough Guide.
   • Windows Hello for Business: o Windows Hello for Business permite que os usuários se autentiquem em uma conta da Microsoft, uma conta do Ative Directory, uma conta do Microsoft Entra ou um serviço que não seja da Microsoft que ofereça suporte à autenticação Fast ID Online (FIDO). Após uma verificação inicial em duas etapas durante o registro no Windows Hello for Business, um Windows Hello for Business é configurado no dispositivo do usuário e o usuário define um gesto, que pode ser o Windows Hello ou um PIN. As credenciais do Windows Hello for Business são um par de chaves assimétricas, que podem ser geradas em ambientes isolados de TPMs (Trusted Platform Modules).
     • Para obter mais informações sobre o Windows Hello for Business, leia o artigo Windows Hello for Business.
   • Autenticação multifator do Azure : A autenticação multifator (MFA) do Azure fornece a segurança de um segundo fator de verificação e proteção aprimorada por meio de monitoramento e análise baseada em aprendizado de máquina. A autenticação multifator do Microsoft Entra pode proteger não apenas os administradores do Azure, mas também muitas outras soluções, incluindo aplicativos Web, ID do Microsoft Entra e soluções locais, como acesso remoto e Área de Trabalho Remota. Para obter mais informações, consulte o artigo Multifactor authentication.

2. Lista de permissões de aplicativos confiáveis usando o Controle de Aplicativo do Windows Defender e/ou o AppLocker. Ao limitar a capacidade de código não confiável ou não assinado ser executado em um PAW, você reduz ainda mais a probabilidade de atividades maliciosas e comprometimento. O Windows inclui duas opções principais para controle de aplicativos:

   • AppLocker: o AppLocker ajuda os administradores a controlar quais aplicativos podem ser executados em um determinado sistema. O AppLocker pode ser controlado centralmente por meio da política de grupo e aplicado a usuários ou grupos específicos (para aplicativos direcionados a usuários de PAWs). Para obter mais informações sobre o AppLocker, consulte o artigo do TechNet Visão geral do AppLocker.
   • Controle de Aplicação do Windows Defender: o novo recurso de Controle de Aplicação do Windows Defender fornece um controle de aplicação aprimorado baseado em hardware que, ao contrário do AppLocker, não pode ser contornado no dispositivo afetado. Como o AppLocker, o Controle de Aplicativo do Windows Defender pode ser controlado por meio da política de grupo e direcionado a usuários específicos. Para obter mais informações sobre como restringir o uso de aplicativos com o Controle de Aplicativo do Windows Defender, consulte Guia de Implantação do Controle de Aplicativo do Windows Defender.

3. Use Usuários Protegidos, Políticas de Autenticação e Silos de Autenticação para proteger ainda mais contas privilegiadas. Os membros dos Usuários Protegidos estão sujeitos a políticas de segurança adicionais que protegem as credenciais armazenadas no agente de segurança local (LSA) e minimizam consideravelmente o risco de roubo e reutilização de credenciais. As políticas de autenticação e os silos controlam como os usuários privilegiados podem acessar os recursos no domínio. Coletivamente, essas proteções fortalecem drasticamente a segurança da conta desses usuários privilegiados. Para obter mais informações sobre esses recursos, consulte o artigo Como configurar contas protegidas.

   Observação

   Estas proteções destinam-se a complementar, e não a substituir, as medidas de segurança existentes na Fase 1. Os administradores ainda devem usar contas separadas para administração e uso geral.

Gerenciando e atualizando

Os PAWs devem ter recursos antimalware e as atualizações de software devem ser aplicadas rapidamente para manter a integridade dessas estações de trabalho.

Gerenciamento de configuração extra, monitoramento operacional e gerenciamento de segurança também podem ser usados com PAWs. A integração dessas capacidades deve ser considerada com cuidado, pois cada uma delas introduz risco de comprometimento do PAW por meio dessa ferramenta. Se faz sentido introduzir recursos avançados de gerenciamento depende de vários fatores, incluindo:

• O estado de segurança e as práticas da capacidade de gerenciamento (incluindo práticas de atualização de software para a ferramenta, funções administrativas e contas nessas funções, sistemas operacionais nos quais a ferramenta é hospedada ou gerenciada e quaisquer outras dependências de hardware ou software dessa ferramenta)
• A frequência e a quantidade de implantações e atualizações de software em seus PAWs
• Requisitos para informações detalhadas de inventário e configuração
• Requisitos de monitorização de segurança
• Padrões organizacionais e outros fatores específicos da organização

De acordo com o princípio de fonte limpa, todas as ferramentas usadas para gerir ou monitorizar os PAWs devem ser confiáveis no nível ou superior ao dos PAWs. Esse processo normalmente requer que essas ferramentas sejam gerenciadas a partir de um PAW para garantir que não haja dependência de segurança de estações de trabalho com privilégios mais baixos.

Esta tabela descreve diferentes abordagens que podem ser usadas para gerenciar e monitorar os PAWs:

Abordagem	Considerações
Padrão no PAW - Serviços de Atualização do Windows Server - Windows Defender	- Sem custo extra - Executa funções básicas de segurança necessárias - Instruções incluídas neste guia
Gerenciar com o Intune	Fornece visibilidade e controle baseados na nuvem Implementação de Software o Gerenciar atualizações de software Gerenciamento de políticas do Firewall do Windows Proteção antimalware Assistência remota Gestão de licenças de software. Nenhuma infraestrutura de servidor necessária Requer seguir as etapas "Habilitar conectividade com serviços de nuvem" na Fase 2 Se o computador PAW não estiver associado a um domínio, essa configuração exigirá a aplicação das linhas de base do SCM às imagens locais usando as ferramentas fornecidas no download da linha de base de segurança.
Nova(s) instância(s) do System Center para gerenciar PAWs	- Fornece visibilidade e controle de configuração, implantação de software e atualizações de segurança - Requer uma infraestrutura de servidor separada, assegurando a sua segurança a um nível semelhante ao de Estações de Trabalho de Acesso Privilegiado (PAWs), e competências especializadas para pessoal altamente privilegiado.
Gestione PAWs com a(s) ferramenta(s) de gestão existente(s)	- Cria um risco significativo de comprometimento de PAWs, a menos que a infraestrutura de gerenciamento existente seja levada ao nível de segurança dos PAWs Observação: a Microsoft geralmente desencorajaria essa abordagem, a menos que sua organização tenha um motivo específico para usá-la. Na nossa experiência, normalmente há um elevado custo para elevar todas estas ferramentas (e as suas dependências de segurança) ao nível de segurança dos PAWs. - A maioria dessas ferramentas fornece visibilidade e controle de configuração, implantação de software e atualizações de segurança
Ferramentas de verificação ou monitoramento de segurança que exigem acesso de administrador	Inclui qualquer ferramenta que instale um agente ou exija uma conta com acesso administrativo local. - Requer elevar a garantia de segurança da ferramenta ao nível dos PAWs. - Pode exigir a redução da postura de segurança dos PAWs para suportar a funcionalidade da ferramenta (portas abertas, instalar Java ou outro middleware, etc.), criando uma decisão de troca de segurança,
Gerenciamento de eventos e informações de segurança (SIEM)	Se o SIEM não tiver agente Pode aceder a eventos em PAWs sem acesso administrativo usando uma conta no grupo Leitores de Log de Eventos Requer a abertura de portas de rede para permitir o tráfego de entrada dos servidores SIEM Se o SIEM exigir um agente, consulte outras linhas Verificação de segurança ou ferramentas de monitoramento que exigem acesso de administrador.
Reencaminhamento de Eventos do Windows	- Fornece um método sem agente de encaminhamento de eventos de segurança dos PAWs para um coletor externo ou SIEM - Pode acessar eventos em PAWs sem acesso administrativo - Não requer a abertura de portas de rede para permitir o tráfego de entrada dos servidores SIEM

Operação de PAWs

A solução PAW deve ser operada usando os padrões baseados em princípios de fonte limpa.

Artigos relacionados

Microsoft Advanced Threat Analytics

Proteja credenciais de domínio derivadas com o Credential Guard

Visão geral do Device Guard

Proteção de ativos de alto valor com estações de trabalho de administração seguras

O que há de novo na autenticação Kerberos para Windows Server 2012

Guia passo a passo da Garantia do Mecanismo de Autenticação para AD DS no Windows Server 2008 R2

Visão geral da tecnologia Trusted Platform Module

Próximos passos

Garantir acesso privilegiado