Руководство по устаревшему привилегированному доступу

Важный

Это руководство было заменено обновленным руководством по безопасным рабочим станциям , которое является частью полного решения для защиты привилегированного доступа.

Эта документация сохраняется только в Интернете для архивирования и ссылок. Корпорация Майкрософт настоятельно рекомендует использовать новое руководство по решению, которое является более безопасным и удобным для развертывания и поддержки.

Руководство по унаследованным системам

Привилегированные рабочие станции доступа (PAW) предоставляют выделенную операционную систему для конфиденциальных задач, защищенных от атак Интернета и векторов угроз. Разделение этих конфиденциальных задач и учетных записей от ежедневных рабочих станций и устройств обеспечивает надежную защиту от фишинговых атак, уязвимостей приложений и ОС, различных атак олицетворения и кражи учетных данных, таких как ведение журнала нажатия клавиш, Pass-the-Hashи Pass-The-Ticket.

Что такое рабочая станция привилегированного доступа?

Проще говоря, PAW — это усиленная и заблокированная рабочая станция, предназначенная для обеспечения высокой степени безопасности для конфиденциальных учетных записей и задач. Для администрирования систем удостоверений, облачных сервисов, частной облачной инфраструктуры и критически важных бизнес-функций рекомендуется использовать PAWs.

Заметка

Архитектура PAW не требует сопоставления учетных записей с рабочими станциями, хотя это общая конфигурация. PaW создает надежную рабочую станцию, которая может использоваться одной или несколькими учетными записями.

Чтобы обеспечить максимальную безопасность, paWs всегда должны выполнять наиболее up-to-date и безопасной операционной системы: Корпорация Майкрософт настоятельно рекомендует Windows 11 Enterprise, которая включает несколько других функций безопасности, недоступных в других выпусках (в частности, Credential Guard и Device Guard).

Заметка

Организации без доступа к Windows 11 Корпоративная могут использовать Windows 11 Pro, которая включает в себя множество критически важных базовых технологий для рабочих станций, включая надежную загрузку, BitLocker и удаленный рабочий стол. Клиенты для образовательных учреждений могут использовать Windows 11 для образовательных учреждений.

Windows 11 Home не следует использовать для рабочих сред с повышенной степенью изоляции (PAW).

Средства управления безопасностью PAW сосредоточены на снижении риска компрометации с высоким уровнем воздействия и высокой вероятностью. К ним относятся устранение атак на окружающую среду и риски, которые могут снизить эффективность элементов управления PAW с течением времени:

• интернет-атаки - Большинство атак происходит прямо или косвенно из интернет-источников и используют Интернет для эксфильтрации данных и управления (C2). Изоляция PAW от открытого Интернета является ключевым элементом, чтобы гарантировать, что paW не скомпрометирован.
• Риск удобства использования - Если PAW слишком трудно использовать для ежедневных задач, администраторы мотивированы создавать обходные пути, чтобы облегчить их работу. Часто такие обходные пути подвергают административные рабочие станции и учетные записи значительным рискам безопасности, поэтому крайне важно вовлечь и дать возможность пользователям PAW безопасно устранять эти проблемы удобства. Это можно сделать путем прослушивания отзывов, установки средств и сценариев, необходимых для выполнения своих заданий, и обеспечения того, чтобы все административные сотрудники знали, почему им нужно использовать paW, что такое PAW, а также как правильно и успешно использовать его.
• риски среды - Так как многие другие компьютеры и учетные записи в среде подвергаются интернет-угрозам напрямую или косвенно, PAW должен быть защищен от атак на скомпрометированные ресурсы в рабочей среде. Это требует минимизации использования средств управления и учетных записей, имеющих доступ к PAWs, для их защиты и мониторинга этих специализированных рабочих станций.
• Тамперинг цепочки поставок. Хотя невозможно устранить все возможные риски вмешательства в цепочку поставок оборудования и программного обеспечения, предприняв несколько ключевых действий, это может снизить критически важные векторы атак, которые легко доступны злоумышленникам. Это включает проверку целостности всех установочных носителей и использование доверенного и надежного поставщика оборудования и программного обеспечения.
• физические атаки - Поскольку PAWs могут быть физически мобильными и использоваться за пределами физически защищенных объектов, они должны быть защищены от атак, которые представляют собой несанкционированный физический доступ к компьютеру.

Важный

PaW не будет защищать среду от злоумышленника, который уже получил административный доступ через лес Active Directory. Так как многие существующие реализации доменных служб Active Directory работают в течение многих лет, подверженных риску кражи учетных данных, организации должны предположить нарушение и рассмотреть возможность того, что у них может быть неявная компрометация учетных данных домена или корпоративного администратора. Организация, которая подозревает компрометацию домена, должна рассмотреть возможность использования профессиональных служб реагирования на инциденты.

Дополнительные сведения об ответных мерах и руководстве по восстановлению см. в разделах "Реагирование на подозрительную активность" и "Восстановление после утечки данных" из "Меры против кражи хэша и других учетных данных"версии 2.

Устаревшие профили оборудования PAW

Административный персонал также является стандартными пользователями — им требуется PAW и стандартная рабочая станция для проверки электронной почты, просмотра интернета и доступа к корпоративным приложениям. Обеспечение того, чтобы администраторы могли оставаться как продуктивными, так и безопасными, важно для успешного развертывания paW. Безопасное решение, которое значительно ограничивает производительность, будет отменено пользователями в пользу того, что повышает производительность (даже если это делается небезопасным образом).

Чтобы сбалансировать потребность в безопасности с необходимостью повышения производительности, корпорация Майкрософт рекомендует использовать один из следующих профилей оборудования PAW:

• выделенное оборудование — отдельные выделенные устройства для пользовательских задач и административных задач.
• одновременное использование — одно устройство, которое может одновременно выполнять пользовательские задачи и административные задачи, используя преимущества виртуализации ОС или презентации.

Организации могут использовать только один профиль или оба. Между профилями оборудования нет проблем совместимости, и организации имеют гибкость, чтобы соответствовать профили оборудования конкретным потребностям и ситуациям конкретного администратора.

Важный

Важно, чтобы во всех этих сценариях административный персонал выдавал стандартную учетную запись пользователя, отдельную от назначенных административных учетных записей. Учетные записи администратора должны использоваться только в административной операционной системе PAW.

В этой таблице приведены относительные преимущества и недостатки каждого профиля оборудования с точки зрения удобства использования и производительности и безопасности. Оба аппаратных подхода обеспечивают надежную безопасность административных учетных записей против кражи и повторного использования учетных данных.

сценарий	Преимущества	недостатки
Выделенное оборудование	— сильный сигнал о чувствительности задач — самое строгое разделение безопасности	- Дополнительное место на рабочем столе - Дополнительный вес (для удаленной работы) — затраты на оборудование
Одновременное использование	— снижение стоимости оборудования — взаимодействие с одним устройством	— совместное использование одной клавиатуры или мыши создает риск непреднамеренной ошибки и рисков

В этом руководстве содержатся подробные инструкции по настройке PAW для выделенного аппаратного подхода. Если у вас есть требования к профилям оборудования одновременного использования, вы можете адаптировать инструкции на основе этого руководства самостоятельно или нанять организацию профессиональных услуг, например Майкрософт, чтобы помочь с ней.

Выделенное оборудование

В этом сценарии выделенное устройство (PAW) используется для администрирования, отдельно от компьютера, который применяется для повседневных задач, таких как электронная почта, редактирование документов и разработка. Все средства администрирования и приложения устанавливаются на Привилегированной рабочей станции, а все приложения для повышения производительности устанавливаются на стандартной пользовательской рабочей станции. Пошаговые инструкции в этом руководстве основаны на этом профиле оборудования.

Одновременное использование— добавление RemoteApp, RDP или VDI

В этом сценарии одновременного использования один компьютер используется как для задач администрирования, так и для повседневных действий, таких как электронная почта, редактирование документов и работа по разработке документов. В этой конфигурации операционные системы пользователей развертываются и управляются централизованно (в облаке или в центре обработки данных), но недоступны во время отключения.

Физическое оборудование запускает одну операционную систему PAW локально для административных задач и обращается к службе удаленного рабочего стола Майкрософт или сторонней службы удаленных рабочих столов для таких приложений, как электронная почта, редактирование документов и бизнес-приложения.

В этой конфигурации ежедневная работа, которая не требует прав администратора, выполняется в удалённых ОС и приложениях, не подверженных ограничениям, применяемым к хосту PAW. Все административные действия выполняются в ОС администрирования.

Чтобы настроить это, следуйте инструкциям в этом руководстве для узла PAW, разрешите сетевое подключение к службам удаленных рабочих столов, а затем добавьте ярлыки на рабочий стол пользователя PAW для доступа к приложениям. Службы удаленного рабочего стола могут размещаться различными способами, включая:

• Существующая служба Удаленного рабочего стола или служба VDI, например Azure Virtual Desktop, Microsoft Dev Boxили Windows 365.
• Новая служба, устанавливаемая локально или в облаке
• Azure RemoteApp с использованием предварительно настроенных шаблонов или ваших собственных установочных образов.

Обзор архитектуры

На следующей схеме показан отдельный канал для администрирования (задача с высокой степенью конфиденциальности), которая создается путем обслуживания отдельных выделенных административных учетных записей и рабочих станций.

Этот архитектурный подход основан на защите, найденной в Windows 11 Credential Guard и функции Device Guard и выходит за рамки этих средств защиты для конфиденциальных учетных записей и задач.

Эта методология подходит для учетных записей с доступом к ресурсам с высоким уровнем ценности:

• Административные привилегии - PAWs обеспечивают повышенную безопасность для высокоответственных ролей и задач ИТ-администрирования. Эта архитектура может применяться к администрированию многих типов систем, включая домены и леса Active Directory, арендаторы Microsoft Entra ID, клиенты Microsoft 365, сети управления процессами (PCN), системы диспетчерского управления и сбора данных (SCADA), банкоматы (ATMs) и устройства для точек продаж (PoS).
• Работники, обрабатывающие особо чувствительную информацию . Подход, используемый в PAW, также может обеспечить защиту для задач и персонала, связанных с обработкой особо чувствительной информации, таких как деятельность, связанная с анонсами о слияниях и поглощениях, предварительно опубликованные финансовые отчеты, присутствие в социальных сетях организации, коммуникация руководства, непатентованные торговые секреты, конфиденциальные исследования или другие защищенные или чувствительные данные. Это руководство не обсуждает подробно конфигурацию этих сценариев работы с информацией и не включает этот сценарий в технические инструкции.

В этом документе описывается, почему эта практика рекомендуется для защиты привилегированных учетных записей с высоким уровнем влияния, как выглядят эти решения PAW для защиты прав администратора и как быстро развернуть решение PAW для администрирования доменных и облачных служб.

В этом документе приведены подробные рекомендации по реализации нескольких конфигураций PAW и подробные инструкции по реализации, которые помогут вам приступить к защите общих учетных записей с высоким уровнем влияния:

• этап 1. Немедленное развертывание для администраторов Active Directory это обеспечивает быстрое развертывание привилегированной рабочей станции, которая может защищать управление доменами и ролями администрирования леса.
• Этап 2 - Расширение PAW для всех администраторов, что обеспечивает защиту администраторов облачных служб, таких как Microsoft 365 и Azure, а также корпоративных серверов, приложений и рабочих станций.
• этап 3. Расширенная безопасность PAW в этом разделе рассматриваются дополнительные средства защиты и рекомендации по обеспечению безопасности PAW

Почему выделенные рабочие станции?

Текущая среда угроз для организаций имеет сложные фишинговые атаки и другие интернет-атаки, которые создают непрерывный риск компрометации безопасности для учетных записей и рабочих станций, предоставляемых в Интернете.

Эта среда угроз требует от организаций принять меры безопасности с предположением о взломе при разработке защиты для высокоценных активов, таких как административные учетные записи и конфиденциальные бизнес-активы. Эти высокоценные ресурсы необходимо защитить как от прямых угроз Интернета, так и от атак, подключенных с других рабочих станций, серверов и устройств в среде.

На этом рисунке показан риск для управляемых ресурсов, если злоумышленник получает контроль над рабочей станцией пользователя, где используются конфиденциальные учетные данные.

Злоумышленник, получивший контроль над операционной системой, имеет множество вариантов, чтобы незаконными способами получить доступ ко всей активности на рабочей станции и выдать себя за легитимную учетную запись. Для получения такого уровня доступа можно использовать различные известные и неизвестные методы атаки. Увеличение объема и сложности кибератак позволило расширить концепцию разделения для отдельных клиентских операционных систем для конфиденциальных учетных записей. Для получения дополнительной информации об этих типах атак посетите веб-сайт Pass The Hash, где вы найдёте информационные документы, видео, а также многое другое.

Подход PAW — это расширение хорошо установленной практики использования отдельных учетных записей администраторов и пользователей для административного персонала. В этой практике используется отдельная административная учетная запись, отдельная от стандартной учетной записи пользователя. PaW основывается на этой практике разделения учетных записей, предоставляя надежную рабочую станцию для этих конфиденциальных учетных записей.

Это руководство предназначено для реализации этой возможности для защиты учетных записей с высоким уровнем важности, таких как ИТ-администраторы с высоким уровнем привилегий и учетные записи бизнеса с высоким уровнем конфиденциальности. Рекомендации помогут вам:

• Ограничьте экспозицию учетных данных только доверенным хостам
• Предоставьте администраторам рабочую станцию с высоким уровнем безопасности, чтобы они могли легко выполнять административные задачи.

Ограничение конфиденциальных учетных записей на использование только защищенных рабочих станций является простой защитой для этих учетных записей, которые как очень доступны для администраторов, так и трудно для злоумышленника, чтобы победить.

Альтернативные подходы

В этом разделе содержатся сведения о том, как безопасность альтернативных подходов сравнивается с PAW и как правильно интегрировать эти подходы в архитектуру PAW. все эти подходы несут значительные риски при реализации в изоляции, но могут добавлять ценность в реализацию PAW в некоторых сценариях.

Credential Guard и Windows Hello для бизнеса

Часть Windows 11, Credential Guard использует аппаратное и виртуализацию безопасности для устранения распространенных атак кражи учетных данных, таких как Pass-the-Hash, путем защиты производных учетных данных. Приватный ключ для учетных данных, используемых в Windows Hello для Бизнеса, можно защитить с помощью оборудования модуля доверенной платформы (TPM).

Это мощные способы устранения рисков, но рабочие станции по-прежнему могут быть уязвимы для определенных атак, даже если учетные данные защищены Credential Guard или Windows Hello для бизнеса. Атаки могут включать злоупотребление привилегиями и использование учетных данных непосредственно с скомпрометированного устройства, повторное использование ранее украденных учетных данных перед включением Credential Guard и злоупотреблением средствами управления и слабыми конфигурациями приложений на рабочей станции.

Руководство по PAW в этом разделе включает использование многих из этих технологий для учетных записей и задач с высокой конфиденциальностью.

Администрирование виртуальной машины

Виртуальная машина администрирования (виртуальная машина администратора) — это выделенная операционная система для административных задач, размещенных на стандартном рабочем столе пользователя. Хотя этот подход аналогичен PAW в плане предоставления выделенной ОС для административных задач, он имеет фатальный недостаток в том, что административная виртуальная машина зависит от стандартного пользовательского рабочего стола для обеспечения своей безопасности.

На следующей схеме показана возможность злоумышленников следовать контрольной цепочке к целевому объекту, представляющему интерес, с Admin VM на пользовательской рабочей станции и сложность создания пути к обратной конфигурации.

Архитектура PAW не позволяет размещать виртуальную машину администратора на рабочей станции пользователя, но виртуальная машина пользователя со стандартным корпоративным образом может размещаться на рабочей станции администратора, чтобы предоставить персоналу один компьютер для всех обязанностей.

Сервер-переходник

Административные архитектуры "Jump Server" настраивают небольшое количество серверов административной консоли и ограничивают доступ сотрудников к ним для выполнения административных задач. Обычно это основано на службах удаленных рабочих столов, стороннем решении виртуализации презентации или технологии инфраструктуры виртуальных рабочих столов (VDI).

Этот подход часто предлагается для снижения риска для администрирования и обеспечивает некоторые гарантии безопасности, но сам подход к переходу к серверу уязвим для определенных атак, так как он нарушает принцип чистого источника. Принцип чистого источника требует, чтобы все зависимости безопасности были столь надежными, как и защищенный объект.

На этом рисунке показана простая управляющая зависимость. Любой субъект, управляющий объектом, является зависимостью безопасности этого объекта. Если злоумышленник может управлять зависимостью безопасности целевого объекта (субъекта), он может контролировать этот объект.

Административный сеанс на сервере перехода зависит от целостности доступа к нему локального компьютера. Если этот компьютер является рабочей станцией пользователя, подвергающейся фишинговым атакам и другим векторам атак через Интернет, то административный сеанс также подвержен этим рискам.

На предыдущем рисунке показано, как злоумышленники могут следовать установленной цепочке управления к целевому объекту интереса.

Хотя некоторые расширенные средства управления безопасностью, такие как многофакторная проверка подлинности, могут увеличить трудности злоумышленника, выполняющего этот административный сеанс с рабочей станции пользователя, никакие функции безопасности не могут полностью защититься от технических атак, когда злоумышленник имеет административный доступ к исходному компьютеру (например, внедрение незаконных команд в законный сеанс, перехват законных процессов и т. д.).

Конфигурация по умолчанию в этом руководстве по PAW устанавливает средства администрирования на PAW, но при необходимости можно также добавить архитектуру сервера перехода.

На этом рисунке показано, как отмена отношения управления и доступ к приложениям пользователей с рабочей станции администрирования не дает злоумышленнику путь к целевому объекту. Сервер перехода пользователя по-прежнему подвержен риску, поэтому соответствующие защитные элементы управления, детективные элементы управления и процессы реагирования по-прежнему должны применяться для этого компьютера, подключенного к Интернету.

Эта конфигурация требует, чтобы администраторы тщательно соблюдали операционные методики, чтобы убедиться, что они не случайно вводят учетные данные администратора в сеанс пользователя на рабочем столе.

На этом рисунке показано, как доступ к серверу административного перехода из PAW не добавляет пути для злоумышленника в административные ресурсы. Сервер перехода с PAW в данном случае позволяет консолидировать количество точек для мониторинга административной активности и развертывания административных приложений и инструментов. Это позволяет упростить мониторинг безопасности и обновления программного обеспечения, если в реализации PAW используется большое количество учетных записей и рабочих станций. Сервер перехода должен быть создан и настроен по аналогичным стандартам безопасности, как и PAW.

Решения для управления привилегиями

Решения для управления привилегированными правами — это приложения, предоставляющие временный доступ к дискретным привилегиям или привилегированным учетным записям по запросу. Решения по управлению привилегиями являются ценным компонентом полной стратегии обеспечения привилегированного доступа и обеспечения критически важной видимости и подотчетности административной деятельности.

Эти решения обычно используют гибкий рабочий процесс для предоставления доступа и многие из них имеют другие функции безопасности и возможности, такие как управление паролями служебных учетных записей и интеграция с административными jump серверами. Существует множество решений на рынке, которые предоставляют возможности управления привилегиями, одна из которых — Microsoft Identity Manager (MIM) с привилегированным доступом (PAM).

Корпорация Майкрософт рекомендует использовать paW для доступа к решениям по управлению привилегиями. Доступ к этим решениям должен предоставляться только для PAW. Корпорация Майкрософт не рекомендует использовать эти решения в качестве замены paW, так как доступ к привилегиям с помощью этих решений из потенциально скомпрометированного рабочего стола пользователя нарушает принцип чистого источника, как показано на следующей схеме:

Предоставление PAW для получения доступа к этим решениям позволяет получить преимущества безопасности как PAW, так и решения для управления привилегиями, как показано на диаграмме.

Важный

Эти системы должны классифицироваться на самом высоком уровне привилегий, которыми они управляют, и защищаться на этом уровне безопасности или выше. Они обычно настраиваются для управления решениями уровня 0 и ресурсами уровня 0 и должны быть классифицированы на уровне 0.

Чтобы узнать больше о развертывании управления привилегированным доступом (PAM) в Microsoft Identity Manager (MIM), см. в https://aka.ms/mimpamdeploy

Сценарии PAW

В этом разделе содержатся инструкции по сценариям, к которым следует применить руководство по PAW. Во всех сценариях администраторы должны быть обучены для того чтобы использовать только PAWs для обслуживания удаленных систем. Чтобы поощрять успешное и безопасное использование, все пользователи PAW должны быть поощряться для предоставления отзывов для улучшения взаимодействия с PAW, и эти отзывы следует тщательно проверять для интеграции с вашей программой PAW.

Во всех сценариях дополнительная защита на более поздних этапах и различные аппаратные профили, упомянутые в этом руководстве, могут использоваться для удовлетворения требований к использованию или безопасности ролей или функций.

Заметка

Настоящее руководство явно различает необходимость доступа к конкретным службам в Интернете (таким как административные порталы Azure и Microsoft 365) и "открытым Интернетом" всех узлов и служб.

Сценарии	использовать PAW?	Объем и вопросы безопасности
Администраторы Active Directory — уровень 0	Да	Для этой роли достаточно PAW, созданного на основе рекомендаций этапа 1. — Можно добавить административный лес, чтобы обеспечить самую надежную защиту для этого сценария. Дополнительные сведения об административном лесу ESAE см. в сценариях ESAE для непрерывного использования — С помощью PAW можно управлять несколькими доменами или несколькими лесами. — Если контроллеры домена размещаются как инфраструктура как услуга (IaaS) или локальное решение виртуализации, следует приоритизировать внедрение PAWs для администраторов этих решений.
Администратор служб Azure IaaS и PaaS — уровень 0 или уровень 1 (см. рекомендации по области и проектированию)	Да	Для этой роли достаточно Персонального Автономного Рабочего Пространства, созданного с помощью руководства, предоставленного на этапе 2. — Для управления Microsoft Entra ID и выставления счетов за подписку следует использовать как минимум PAWs (рабочие станции с привилегированным доступом). Также следует использовать PAW для делегированных администраторов критически важных или конфиденциальных серверов. — PAWs следует использовать для управления операционной системой и приложениями, которые обеспечивают синхронизацию каталогов и федерацию удостоверений для облачных служб, таких как Microsoft Entra Connect и службы федерации Active Directory (ADFS). — Ограничения исходящей сети должны разрешать подключение только к авторизованным облачным службам, используя рекомендации на этапе 2. Открытый доступ к Интернету не должен быть разрешен из PAW. — Эксплойт Гарда защитника Windows следует настроить на рабочей станции . Примечание: подписка считается уровнем 0 для леса, если контроллеры домена или другие узлы уровня 0 входят в неё. Подписка — это уровень 1, если серверы уровня 0 не размещаются в Azure.
Администратор тenant Microsoft 365 - Уровень 1	Да	Для выполнения этой роли достаточно рабочей среды, созданной по руководству, данному на этапе 2. — PAW следует использовать по крайней мере для тех, кто управляет выставлением счетов за подписку и управлением Microsoft Entra ID и Microsoft 365. Кроме того, следует настоятельно учитывать использование PAW для делегированных администраторов критически важных или конфиденциальных данных. — На рабочей станции должна быть настроена эксплойт-защита Защитника Windows. — Ограничения исходящей сети должны разрешать подключение только к службам Майкрософт, используя рекомендации этапа 2. Открытый доступ к Интернету не должен быть разрешен из PAW.
Другие администраторы облачной службы IaaS или PaaS — Уровень 0 или Уровень 1 (см. Область применения и проектные соображения)	Да	Созданного на основе руководства из этапа 2 PAW достаточно для этой роли. — PAW следует использовать для любой роли, которая имеет права администратора на облачных размещенных виртуальных машинах, включая возможность устанавливать агенты, экспортировать файлы жестких дисков или получать доступ к хранилищу, где жесткие диски с операционными системами, конфиденциальными данными или критически важными для бизнеса данными хранятся. — Ограничения исходящей сети должны разрешать подключение только к службам Майкрософт, используя рекомендации этапа 2. Открытый доступ к Интернету не должен быть разрешен из PAW. — На рабочей станции должна быть настроена эксплойт-защита Защитника Windows. Примечание. подписка имеет уровень 0 для леса, если контроллеры домена или другие узлы уровня 0 находятся в подписке. Подписка — это уровень 1, если серверы уровня 0 не размещаются в Azure.
Администраторы виртуализации — Уровень 0 или уровень 1 (см. раздел Область и Соображения Проектирования)	Да	Для этой роли достаточно программного аналитического инструмента, созданного с помощью руководства, предоставленного на фазе 2. — PAWs должны использоваться для любой роли, которая имеет административные права на виртуальных машинах, включая возможность установки агентов, экспорта файлов виртуального жесткого диска или доступа к хранилищам, где хранятся диски с информацией о гостевых операционных системах, конфиденциальными данными или данными, критически важными для бизнеса. Примечание. Система виртуализации и ее администраторы считаются уровнем 0 для леса, если контроллеры домена или другие хосты уровня 0 находятся в подписке. Подписка — это уровень 1, если серверы уровня 0 не размещаются в системе виртуализации.
Администраторы обслуживания сервера - Уровень 1	Да	Для этой роли достаточно PAW, построенного с помощью руководства, предоставленного на этапе 2. — Для администраторов, отвечающих за обновление, исправление и устранение неполадок корпоративных серверов и приложений под управлением Windows Server, Linux и других операционных систем, рекомендуется использовать PAW. — Для управления большим количеством этих администраторов может потребоваться добавить специализированные инструменты управления.
Администраторы рабочей станции пользователей - Уровень 2	Да	Построенный с использованием инструкций на этапе 2 PAW подходит для ролей, которые имеют административные права на устройствах конечных пользователей (таких как роли помощи и поддержки на местах). — Для включения управления запросами и других функций поддержки может потребоваться установить другие приложения на PAW. — На рабочей станции должна быть настроена эксплойт-защита Защитника Windows. Для управления более широким кругом таких администраторов может потребоваться добавить выделенные инструменты управления для PAW.
Администратор SQL, SharePoint или линейных бизнес-приложений (LOB) - Уровень 1	Да	Для этой роли достаточно PAW, построенного согласно руководствам этапа 2. — Другие средства управления могут быть установлены на paW, чтобы администраторы могли управлять приложениями без необходимости подключаться к серверам с помощью удаленного рабочего стола.
Пользователи, управляющие своим присутствием в социальных сетях	Частично	PAW, созданный с помощью инструкций, приведенных на этапе 2, можно использовать как отправную точку для обеспечения безопасности этих ролей. — Защита учетных записей социальных сетей и управление ими с помощью идентификатора Microsoft Entra для совместного использования, защиты и отслеживания доступа к учетным записям социальных сетей. Дополнительные сведения об этой возможности см. в этом блог-посте. — Ограничения исходящей сети должны разрешать подключение к этим службам. Это можно сделать, разрешая открытые подключения к Интернету (гораздо более высокий риск безопасности, который отрицает многие гарантии PAW) или разрешая только необходимые DNS-адреса для службы (возможно, сложно получить).
Стандартные пользователи	Нет	Хотя для стандартных пользователей можно использовать множество шагов защиты, PAW предназначен для изоляции учетных записей от открытого доступа к Интернету, который большинство пользователей требуют для обязанностей по работе.
Гостевой VDI/Киоск	Нет	Хотя для гостевой системы можно использовать множество мер защиты, архитектура PAW предназначена для обеспечения безопасности учетных записей с высокой конфиденциальностью, а не для учетных записей с более низкой конфиденциальностью.
VIP-пользователь (исполнительный, исследователь и т. д.)	Частично	В качестве отправной точки для обеспечения безопасности этих ролей можно использовать PAW, созданный с помощью руководства, приведенного на этапе 2. — Этот сценарий аналогичен стандартному рабочему столу пользователя, но обычно имеет меньший, простой и известный профиль приложения. Этот сценарий обычно требует обнаружения и защиты конфиденциальных данных, служб и приложений. — Эти роли обычно требуют высокой степени безопасности и высокой степени удобства использования, которые требуют изменения дизайна для удовлетворения предпочтений пользователей.
Промышленные системы управления (например, SCADA, PCN и DCS)	Частично	В качестве отправной точки для обеспечения безопасности этих ролей можно использовать рекомендации, подготовленные на этапе 2, поскольку большинство консолей ICS (включая такие распространенные стандарты, как SCADA и PCN) не требуют доступа в открытый Интернет и проверки электронной почты. — Приложения, используемые для управления физическими машинами, должны быть интегрированы и проверены для обеспечения совместимости и защиты соответствующим образом.
Внедренная операционная система	Нет	Хотя для внедренных операционных систем можно использовать множество шагов защиты от PAW, в этом сценарии потребуется разработать пользовательское решение для защиты.

Заметка

комбинация сценариев некоторые сотрудники могут иметь административные обязанности, охватывающие несколько сценариев. В этих случаях необходимо помнить, что правила модели уровня всегда должны соблюдаться.

Масштабирование программы PAW По мере того, как программа PAW масштабируется, чтобы охватить больше администраторов и ролей, необходимо продолжать обеспечивать соблюдение стандартов безопасности и удобства использования. Это может потребовать обновления структур ИТ-поддержки или создания новых для решения конкретных проблем, таких как процесс подключения PAW, управление инцидентами, управление конфигурацией и сбор отзывов для решения проблем с удобством использования. Одним из примеров может быть ситуация, когда ваша организация решает предоставить возможность удаленной работы для администраторов, что потребует перехода от настольных привилегированных рабочих станций к ноутбукам, — изменение, которое может потребовать дополнительных мер безопасности. Еще одним распространенным примером является создание или обновление обучения для новых администраторов — обучение, которое теперь должно включать материалы о правильном использовании PAW (в том числе, почему это важно, что такое PAW, и чем оно не является). Дополнительные рекомендации, которые необходимо учитывать при масштабировании программы PAW, см. на этапе 2 инструкций.

В этом руководстве содержатся подробные инструкции по настройке PAW для сценариев, как отмечалось ранее. Если у вас есть требования к другим сценариям, вы можете адаптировать инструкции на основе этого руководства самостоятельно или нанять профессиональную организацию, например Майкрософт, чтобы помочь с ней.

Поэтапная реализация PAW

Так как PAW должен быть безопасным и надежным источником для администрирования, важно, чтобы процесс сборки тоже был безопасным и надежным. В этом разделе приведены подробные инструкции, которые позволяют создавать собственные PAW с помощью общих принципов и концепций, аналогичных используемым Microsoft.

Инструкции разделены на три этапа, которые сосредоточены на быстрой реализации наиболее критически важных мер по снижению рисков, а затем на постепенном увеличении и расширении использования PAW для предприятия.

• этап 1. Немедленное развертывание для администраторов Active Directory
• этап 2 - Расширение PAW для всех администраторов
• этап 3. Расширенная безопасность paw

Важно отметить, что этапы всегда должны выполняться в порядке, даже если они планируются и реализуются в рамках одного и того же общего проекта.

Этап 1. Немедленное развертывание для администраторов Active Directory

Назначение: Быстро предоставляет PAW, который может защитить локальные домены и роли администрирования леса.

Область: администраторы уровня 0, включая администраторов предприятия, администраторов домена (для всех доменов) и администраторов других авторитетных систем удостоверений.

Этап 1 сосредоточен на администраторах, управляющих локальным доменом Active Directory, чьи критически важные роли часто становятся объектом нападения злоумышленников. Эти системы идентификации эффективно работают для защиты администраторов, независимо от того, размещаются ли контроллеры домена Active Directory (DCs) в локальных центрах обработки данных, в инфраструктуре Azure IaaS или у другого провайдера IaaS.

На этом этапе вы создадите структуру безопасного административного подразделения Active Directory для размещения рабочей станции привилегированного доступа (PAW) и развертывания самих PAW. Эта структура также включает групповые политики и группы, необходимые для поддержки PAW.

Инфраструктура основана на следующих подразделениях, группах безопасности и групповых политиках:

• Организационные единицы (ОЕ)
  • Шесть новых подразделений верхнего уровня:
    • Администратор
    • Группы
    • Серверы уровня 1
    • Рабочие станции
    • Учетные записи пользователей
    • Карантин компьютера.
• Группы
  • Шесть новых глобальных групп с включённой поддержкой безопасности:
    • Обслуживание репликации уровня 0
    • Обслуживание сервера уровня 1
    • Операторы службы поддержки
    • Обслуживание рабочей станции
    • Пользователи PAW
    • Обслуживание PAW.
• Объекты групповой политики:
  • Конфигурация PAW — компьютер
  • Пользовательская конфигурация PAW
  • Обязателен параметр RestrictedAdmin для компьютера
  • Ограничения исходящего трафика PAW
  • Ограничение входа на рабочую станцию
  • Ограничить вход на сервер.

Этап 1 включает следующие шаги.

Завершение предварительных требований

1. убедитесь, что все администраторы используют отдельные учетные записи для администрирования и действий конечных пользователей (включая электронную почту, просмотр в Интернете, бизнес-приложения и другие неадминистративные действия). Назначение учетной записи администратора каждому авторизованному лицу, отдельному от стандартной учетной записи пользователя, является основой для модели PAW, так как только определенные учетные записи разрешены для входа в сам PAW.

   Важный

   Каждый администратор должен использовать свою учетную запись для администрирования. Не делитесь учетной записью администратора.

2. свести к минимуму количество привилегированных администраторов уровня 0. Поскольку каждый администратор должен использовать PAW, уменьшение количества администраторов снижает количество необходимых PAW для их поддержки, а также связанные с этим затраты. Более низкое число администраторов также приводит к снижению воздействия этих привилегий и связанных рисков. Хотя администраторы в одном месте могут совместно использовать рабочую станцию PAW, администраторам в разных физических местах требуются отдельные PAW.

3. Получение оборудования от доверенного поставщика, соответствующего всем техническим требованиям. Корпорация Майкрософт рекомендует получить оборудование, соответствующее техническим требованиям, приведенным в статье Защита учетных данных домена с помощью Credential Guard.

   Заметка

   PaW, установленный на оборудовании без этих возможностей, может обеспечить значительную защиту, но дополнительные функции безопасности, такие как Credential Guard и Device Guard, не будут доступны. Credential Guard и Device Guard не требуются для развертывания на этапе 1, но настоятельно рекомендуется в рамках этапа 3 (расширенная защита).

   Убедитесь, что оборудование, используемое для PAW, закупается у производителя и поставщика, чьи методы безопасности доверяет организация. Это применение принципа чистого источника к обеспечению безопасности цепочки поставок.

   Подробнее о важности безопасности цепочки поставок см. на этом сайте.

4. Приобретение и проверка требуемого программного обеспечения Windows 11 Enterprise Edition и программ приложений.

   • Windows 11 Enterprise Edition
   • средства удаленного администрирования сервера для Windows 11
   • базовые показатели безопасности Windows 11

   Заметка

   Корпорация Майкрософт публикует хэши MD5 для всех операционных систем и приложений в MSDN, но не все поставщики программного обеспечения предоставляют аналогичную документацию. В этих случаях потребуются другие стратегии.

5. Убедитесь, что сервер WSUS доступен у вас винтрасети. Для скачивания и установки обновлений для PAW требуется сервер WSUS в интрасети. Этот сервер WSUS должен быть настроен для автоматического утверждения всех обновлений системы безопасности для Windows 11, или за быстрое утверждение обновлений программного обеспечения должен отвечать администратор. Дополнительные сведения см. в разделе "Автоматическое утверждение обновлений для установки" в руководстве по утверждению обновлений .

Переместите учетные записи уровня 0 в подразделение Admin\Tier 0\Accounts OU

Переместите каждую учетную запись, являющуюся членом группы "Администратор домена", "Администратор предприятия" или эквивалентных групп "Уровень 0" (включая вложенное членство) в это подразделение. Если у вашей организации есть собственные группы, которые добавляются в эти группы, необходимо переместить их в подразделение Admin\Tier 0\Groups.

Добавление соответствующих участников в соответствующие группы

1. Пользователи PAW. Добавьте администраторов нулевого уровня с группами администраторов домена или организации, которые вы определили на шаге 1 этапа 1.

2. Техническое обслуживание PAW - добавьте по крайней мере одну учетную запись, используемую для задач по техническому обслуживанию и устранению неполадок PAW. Учетные записи обслуживания PAW используются очень редко.

   Важный

   Не добавляйте одну и ту же учетную запись пользователя или группу как для пользователей PAW, так и для обслуживания PAW. Модель безопасности PAW основана частично на предположении, что учетная запись пользователя PAW имеет привилегированные права на управляемые системы или через сам PAW, но не оба.

   • Это важно для создания надлежащей административной практики и привычки на этапе 1.
   • Это крайне важно для этапа 2 и далее, чтобы предотвратить эскалацию привилегий через PAW, так как PAWs будут охватывать уровни.

   В идеале сотрудники не назначаются обязанностям на нескольких уровнях для обеспечения принципа разделения обязанностей, но корпорация Майкрософт признает, что многие организации имеют ограниченный персонал (или другие требования организации), которые не допускают эту полную сегрегацию. В таких случаях одному и тому же персоналу могут быть назначены обе роли, но не следует использовать одну и ту же учетную запись для этих функций.

Создание объекта групповой политики "Конфигурация PAW — компьютер" (GPO)

В этом разделе вы создаете новый объект групповой политики "Конфигурация PAW — Компьютер", который обеспечивает конкретные защиты для этих PAW, и связываете его с подразделением устройств уровня 0 ("Устройства" под уровнем 0\Admin).

Предупреждение

Не добавляйте эти параметры в политику домена по умолчанию. Это может повлиять на операции во всей среде Active Directory. Настройте эти параметры только в недавно созданных GPO, описанных здесь, и примените их только к подразделению PAW.

1. Доступ к обслуживанию PAW – этот параметр определяет членство в определённых привилегированных группах на PAW для определённого набора пользователей. Перейдите к разделу Конфигурация компьютера\Настройки\Параметры панели управления\Локальные пользователи и группы и выполните следующие действия:

   1. Щелкните Создать и щелкните Локальную группу

   2. Выберите действие обновления и выберите "Администраторы (встроенные)" (не используйте кнопку "Обзор", чтобы выбрать администраторов группы домена).

   3. Установите флажки Удалить всех пользователей-участников и Удалить все группы участников

   4. Добавьте обслуживание PAW (pawmaint) и Администратора (опять же, не используйте кнопку "Обзор", чтобы выбрать Администратора).

      Важный

      Не добавляйте группу пользователей PAW в список членства для локальной группы администраторов. Чтобы гарантировать, что пользователи PAW не могут случайно или намеренно изменять параметры безопасности самого PAW, они не должны быть членами локальных групп администраторов.

      Дополнительные сведения об использовании параметров групповой политики для изменения членства в группах см. в статье TechNet Настройка элемента локальной группы.

2. ограничить членство в локальных группах. Этот параметр гарантирует, что членство в локальных группах администраторов на рабочей станции всегда пусто.

   1. Перейдите в раздел "Конфигурация компьютера\Параметры\Параметры панели управления\Локальные пользователи и группы" и выполните следующие действия:

      1. Щелкните Новый и щелкните Локальная группа
      2. Выберите действие обновления и выберите "Операторы резервного копирования (встроенные)" (не используйте кнопку "Обзор", чтобы выбрать группу "Операторы резервного копирования" домена).
      3. Установите флажки Удалить всех участников и Удалить все группы участников.
      4. Не добавляйте участников в группу. Назначение пустого списка приводит к автоматическому удалению всех членов и обеспечению пустого списка членства при каждом обновлении групповой политики.

   2. Выполните предыдущие действия для следующих групп:

      • Криптографические операторы
      • Администраторы Hyper-V
      • Операторы конфигурации сети
      • Опытные пользователи
      • Пользователи удаленного рабочего стола
      • Репликаторы

   3. ограничения входа в PAW . Этот параметр ограничивает учетные записи, которые могут войти в PAW. Выполните следующие действия, чтобы настроить этот параметр:

      1. Перейдите в раздел "Конфигурация компьютера\Политики\Параметры Windows\Параметры безопасности\Локальные политики\Назначение прав пользователей\Разрешить вход локально.
      2. Выберите "Задайте эти параметры политики" и добавьте "Пользователи PAW" и администраторов (опять же, не используйте кнопку "Обзор", чтобы выбрать администраторов).

   4. Блокировать входящий сетевой трафик - Этот параметр гарантирует, что никакой несанкционированный входящий сетевой трафик не разрешен к PAW. Выполните следующие действия, чтобы настроить этот параметр:

      1. Перейдите в раздел "Конфигурация компьютера\Политики\Параметры Windows\Параметры безопасности\Брандмауэр Windows с расширенной безопасностью\Брандмауэр Windows с расширенной безопасностью" и выполните следующие действия:
         1. Щелкните правой кнопкой мыши брандмауэр Windows с расширенной безопасностью и выберите политики импорта.
         2. Щелкните Да, чтобы принять, что это перезаписывает любые существующие политики брандмауэра.
         3. Перейдите к PAWFirewall.wfw и выберите Открыть.
         4. Нажмите кнопку ОК.

      Заметка

      Вы можете добавить адреса или подсети, которые на данном этапе должны получать незапрошенный трафик для PAW (например, программное обеспечение для сканирования безопасности или управления). Параметры в WFW-файле включат брандмауэр в режиме "Блокировать — по умолчанию" для всех профилей брандмауэра, выключат слияние правил и включат ведение журнала как отброшенных, так и успешных пакетов. Эти параметры блокируют незапрошенный трафик, позволяя двунаправленному обмену данными по подключениям, инициированным из PAW, предотвращая пользователей с локальным административным доступом от создания локальных правил брандмауэра, которые могли бы переопределять параметры групповой политики, и обеспечивают ведение журнала этого трафика, входящего и исходящего из PAW. Открытие этого брандмауэра расширит область атаки для PAW и повышает риск безопасности. Прежде чем добавлять адреса, ознакомьтесь с разделом "Управление и операционная PAW" в этом руководстве..

   5. Настройте Центр обновления Windows для работы с WSUS. Выполните следующие шаги, чтобы изменить параметры и настроить Центр обновления Windows для PAW:

      1. Перейдите в раздел "Конфигурация компьютера\Политики\Административные шаблоны\Компоненты Windows\Обновления Windows" и выполните следующие действия:
         1. Включите настройка политики автоматического обновления.
         2. Выберите параметр 4. Автоматическое скачивание и планирование установки.
         3. Измените параметр запланированный день установки на 0 — каждый день и параметр запланированное время установки согласно предпочтениям вашей организации.
         4. Установить политику Указать расположение службы обновления Microsoft в интрасети.

   6. Свяжите объект групповой политики "Конфигурация PAW — компьютер", как показано ниже.

      Политика	Расположение ссылки
      Конфигурация PAW — компьютер	Админ\Уровень 0\Устройства (Admin\Tier 0\Devices)

Создание объекта групповой политики "Конфигурация PAW — пользователь" (GPO)

В этом разделе вы создадите новый объект групповой политики "Конфигурация PAW — пользователь", который предоставляет определенные защиты для этих paWs и связывается с подразделением уровня 0 ("Учетные записи" в разделе "Учетные записи" уровня 0\Admin).

Предупреждение

Не добавляйте эти параметры в политику домена по умолчанию

1. Блокировать просмотр интернета . Чтобы предотвратить непреднамеренный просмотр интернета, это задаёт прокси-адрес адреса обратной связи (127.0.0.1).

   1. Перейдите в раздел "Конфигурация пользователя\Параметры\Параметры Windows\Реестр". Щелкните правой кнопкой мыши реестр, выберите Создать>элемент реестра и настройте следующие параметры:

      1. Действие: замена

      2. Hive: HKEY_CURRENT_USER

      3. Путь к ключу: Software\Microsoft\Windows\CurrentVersion\Internet Settings

      4. Имя значения: ProxyEnable

         Осторожность

         Не выбирайте поле по умолчанию слева от имени значения.

      5. Тип значения: REG_DWORD

      6. Данные о значении: 1

         1. Щелкните вкладку Common и выберите Удалить этот элемент, если он больше не применяется.
         2. На вкладке Common выберите таргетинг на уровне элементов и нажмите на Таргетинг.
         3. Щелкните Новый элемент и выберите Группу безопасности.
         4. Выберите кнопку "...", и найдите группу пользователей PAW.
         5. Щелкните Новый элемент и выберите Группу безопасности.
         6. Выберите кнопку "..." и найдите группу администраторов облачных служб .
         7. Щелкните на элементе "Администраторы облачных служб" и щелкните "Опции элемента".
         8. Выберите не.
         9. Нажмите кнопку OK в целевом окне.

      7. Нажмите ОК, чтобы завершить настройку групповой политики ProxyServer.

   2. Перейдите в раздел "Конфигурация пользователя\Параметры\Параметры Windows\Реестр". Щелкните правой кнопкой мыши на Реестре, выберите Создать>элемент реестра и настройте следующие параметры:

      • Действие: замена
      • Hive: HKEY_CURRENT_USER
      • Путь к ключу: Software\Microsoft\Windows\CurrentVersion\Internet Settings

        • Имя значения: ProxyServer

          Осторожность

          Не выбирайте поле Default, расположенное слева от имени значения.

        • Тип значения: REG_SZ

        • Данные о значении: 127.0.0.1:80

          1. Щелкните вкладку Common и выберите Удалить этот элемент, если он больше не применяется.
          2. На вкладке Common выберите таргетинг на уровне элементов и щелкните Таргетинг.
          3. Щелкните Новый Элемент и выберите группу безопасности.
          4. Выберите кнопку "..." и добавьте группу пользователей PAW.
          5. Щелкните Новый элемент и выберите группу безопасности.
          6. Выберите кнопку "...", и найдите группу администраторов облачных служб.
          7. Щелкните элемент Администраторы облачных служб и щелкните Параметры элемента.
          8. Выберите , не.
          9. Нажмите кнопку ОК в целевом окне.

   3. Нажмите OK, чтобы завершить настройку групповой политики ProxyServer.

2. Перейдите в раздел "Конфигурация пользователя\Политики\Административные шаблоны\Компоненты Windows\Internet Explorer" и включите следующие параметры. Эти параметры не позволяют администраторам вручную переопределять параметры прокси-сервера.
   1. Включите параметр , чтобы запрещать изменение параметров автоматической настройки.
   2. Включите параметр Запретить изменение настроек прокси.

Ограничение доступа администраторов к узлам более низкого уровня

В этом разделе мы настроим групповые политики, чтобы предотвратить вход привилегированных учетных записей администратора на узлы более низкого уровня.

1. Создайте новый объект групповой политики Restrict Workstation Logon. Этот параметр ограничивает учетные записи администратора уровня 0 и 1 от доступа к стандартным рабочим станциям. Этот объект групповой политики должен быть связан с организационной единицей верхнего уровня "Рабочие станции" и иметь следующие параметры:

   • В разделе "Конфигурация компьютера\Политики\Параметры Windows\Параметры безопасности\Локальные политики\Назначение прав пользователя\Запрет входа в качестве пакетного задания" выберите Определите эти параметры политики и добавьте группы уровня 0 и уровня 1, включая:

     • Встроенные группы уровня 0
       • Администраторы предприятия
       • Администраторы домена
       • Администраторы схемы
       • BUILTIN\Administrators
       • Операторы учетной записи
       • Операторы резервного копирования
       • Операторы печати
       • Операторы сервера
       • Контроллеры домена
       • контроллеры домена Read-Only
       • Владельцы и создатели групповой политики
       • Криптографические операторы
     • Другие делегированные группы, включая любые пользовательские созданные группы с эффективным доступом уровня 0.
     • Администраторы уровня 1

   • В разделе "Конфигурация компьютера\Политики\Параметры Windows\Параметры безопасности\Локальные политики\Назначение прав пользователя\Запрет входа в систему как услуга" выберите Определить эти параметры политики и добавить группы уровня 0 и уровня 1:

     • Встроенные группы уровня 0
       • Администраторы предприятия
       • Администраторы домена
       • Администраторы схемы
       • BUILDIN\Administrators
       • Операторы учетной записи
       • Операторы резервного копирования
       • Операторы печати
       • Операторы сервера
       • Контроллеры домена
       • контроллеры домена Read-Only
       • Владельцы и создатели групповой политики
       • Криптографические операторы
     • Другие делегированные группы, включая любые созданные пользователями группы с эффективным доступом нулевого уровня.
     • Администраторы уровня 1

2. Создайте новый объект групповой политики Ограничить вход на сервер. Этот параметр ограничивает учетные записи администраторов уровня 0 от входа на серверы уровня 1. Этот объект групповой политики должен быть связан с верхнеуровневым подразделением "Tier 1 Servers" и иметь следующие параметры:

   • В разделе "Конфигурация компьютера\Политики\Параметры Windows\Параметры безопасности\Локальные политики\Назначение прав пользователя\Запрет входа в качестве пакетного задания" выберите Определите эти параметры политики и добавьте группы уровня 0:

     • Встроенные группы уровня 0
       • Администраторы предприятия
       • Администраторы домена
       • Администраторы схемы
       • BUILDIN\Administrators
       • Операторы учетной записи
       • Операторы резервного копирования
       • Операторы печати
       • Операторы сервера
       • Контроллеры домена
       • контроллеры домена Read-Only
       • Создатели и владельцы групповой политики
       • Криптографические операторы
     • Другие делегированные группы, включая любые пользовательски созданные группы с эффективным доступом уровня 0.

   • В разделе "Конфигурация компьютера\Политики\Параметры Windows\Параметры безопасности\Локальные политики\Назначение прав пользователя\Запрет входа в систему как услуга" выберите Определить эти параметры политики и добавить группы уровня 0:

     • Встроенные группы уровня 0
       • Администраторы предприятия
       • Администраторы домена
       • Администраторы схемы
       • BUILDIN\Administrators
       • Операторы учетной записи
       • Операторы резервного копирования
       • Операторы печати
       • Операторы сервера
       • Контроллеры домена
       • контроллеры домена Read-Only
       • Владельцы и создатели групповой политики
       • Криптографические операторы
     • Другие делегированные группы, включая любые пользовательские созданные группы с эффективным доступом уровня 0.

   • В разделе "Конфигурация компьютера\Политики\Параметры Windows\Параметры безопасности\Локальные политики\Назначение прав пользователя\Запретить вход локально" выберите Определите эти параметры политики и добавьте группы уровня 0:

     • Встроенные группы уровня 0
       • Администраторы предприятия
       • Администраторы домена
       • Администраторы схемы
       • BUILTIN\Администраторы
       • Операторы учетной записи
       • Операторы резервного копирования
       • Операторы печати
       • Операторы сервера
       • Контроллеры домена
       • контроллеры домена Read-Only
       • Создатели и владельцы групповой политики
       • Криптографические операторы
     • Другие делегированные группы, включая любые пользовательские созданные группы с эффективным доступом уровня 0.

Развертывайте вашу (-и) рабочую (-ие) станцию (-ии) с привилегированным доступом

Важный

Убедитесь, что paW отключен от сети во время процесса сборки операционной системы.

1. Установите Windows 11 с помощью установочного носителя чистого источника, полученного ранее.

   Заметка

   Вы можете использовать Microsoft Deployment Toolkit (MDT) или другую систему автоматического развертывания образов для автоматизации развертывания PAW, но необходимо убедиться, что процесс сборки является надежным, как и PAW. Злоумышленники специально ищут корпоративные образы и системы развертывания (включая ISOS, пакеты развертывания и т. д.) в качестве механизма сохраняемости, поэтому не следует использовать существующие системы развертывания или образы.

   Если вы автоматизируете развертывание PAW, необходимо выполнить следующие действия.

   • Создайте систему с помощью проверенного и аутентичных установочных носителей.
   • Убедитесь, что система автоматического развертывания отключена от сети во время процесса сборки операционной системы.

2. Задайте уникальный сложный пароль для учетной записи локального администратора. Не используйте пароль, который использовался для любой другой учетной записи в среде.

   Заметка

   Корпорация Майкрософт рекомендует использовать решение Local Administrator Password Solution (LAPS) для управления паролем локального администратора для всех рабочих станций, включая PAWs. Если вы используете LAPS, убедитесь, что вы предоставляете только группе обслуживания PAW право считывать пароли, управляемые LAPS для PAW.

3. Установите средства удаленного администрирования сервера для Windows 11 с помощью чистого исходного носителя установки.

4. Настройка Exploit Guard в Защитнике Windows

5. Подключите PAW к сети. Убедитесь, что PAW может подключиться по крайней мере к одному контроллеру домена (DC).

6. Используя учетную запись, являющуюся членом группы обслуживания PAW, выполните следующую команду PowerShell на недавно созданном PAW, чтобы присоединить его к домену в соответствующем организационном подразделении (OU):

   Add-Computer -DomainName Fabrikam -OUPath "OU=Devices,OU=Tier 0,OU=Admin,DC=fabrikam,DC=com"

   Замените ссылки на Fabrikam вашим доменным именем. Если доменное имя распространяется на несколько уровней (например, child.fabrikam.com), добавьте другие имена с идентификатором DC=в порядке, в котором они отображаются в полном доменном имени.

7. Примените все критически важные и важные обновления Windows перед установкой любого другого программного обеспечения (включая средства администрирования, агенты и т. д.).

8. Принудительное применение групповой политики.

   1. Откройте командную строку с повышенными привилегиями и введите следующую команду: Gpupdate /force /sync
   2. Перезагрузите компьютер

9. (Необязательно) Установите другие необходимые средства для администраторов Active Directory. Установите любые другие средства или скрипты, необходимые для выполнения обязанностей задания. Убедитесь, что вы оцениваете риск утечки учетных данных на целевых компьютерах с помощью любого инструмента, перед добавлением в PAW.

   Заметка

   Использование сервера перехода в качестве центрального узла для этих средств может снизить сложность, даже если он не служит границей безопасности.

10. (Необязательно) Скачайте и установите необходимое программное обеспечение удаленного доступа. Если администраторы удаленно используют paW для администрирования, установите программное обеспечение удаленного доступа с помощью рекомендаций по безопасности от поставщика решения удаленного доступа.

    Заметка

    Тщательно рассмотрите все риски, связанные с разрешением удаленного доступа через PAW. Хотя мобильная рабочая станция обеспечивает множество важных сценариев, включая работу из дома, программное обеспечение удаленного доступа может быть уязвимо для атак и может быть использовано для компрометации этой станции.

11. Проверьте целостность системы PAW, проверив и убедив, что все соответствующие параметры установлены, выполнив следующие действия.

    1. Убедитесь, что к PAW применяются только специфические для PAW групповые политики.
       1. Откройте командную строку с повышенными привилегиями и введите следующую команду: Gpresult /scope computer /r
       2. Просмотрите результирующий список и убедитесь, что отображаются только групповые политики, созданные ранее.
    2. Убедитесь, что другие учетные записи пользователей не являются членами привилегированных групп в PAW, выполнив следующие действия.

       1. Откройте Редактирование локальных пользователей и групп (lusrmgr.msc), выберите Группыи убедитесь, что единственными членами локальной группы администраторов являются учетная запись администратора и глобальная группа безопасности PAW Maintenance.

          Важный

          Группа пользователей PAW не должна быть членом локальной группы администраторов. Единственными участниками должны быть локальная учетная запись администратора и глобальная группа безопасности обслуживания PAW (и пользователи PAW не должны быть членом этой глобальной группы).

       2. Кроме того, используя Редактировать локальных пользователей и группы, убедитесь, что следующие группы не имеют членов:

          • Операторы резервного копирования
          • Криптографические операторы
          • Hyper-V Администраторы
          • Операторы конфигурации сети
          • Опытные пользователи
          • Пользователи удаленного рабочего стола
          • Репликаторы

12. (Необязательно) Если в вашей организации используется решение для управления событиями и информацией в области безопасности (SIEM), убедитесь, что PAW настроен для пересылки событий в систему с помощью пересылки событий Windows (WEF) или иначе зарегистрирован в решении, чтобы SIEM активно получал события и информацию от PAW. Сведения об этой операции зависят от решения SIEM.

    Заметка

    Если для SIEM требуется агент, который выполняется как система или учетная запись локального администратора на PAWs, убедитесь, что SIEM управляются с тем же уровнем доверия, что и ваши контроллеры домена и системы управления идентификацией.

13. (Необязательно) Если вы решили развернуть LAPS для управления паролем учетной записи локального администратора на PAW, убедитесь, что пароль зарегистрирован успешно.

    • С использованием учетной записи с разрешениями на чтение паролей, управляемых LAPS, откройте Active Directory Users and Computers (dsa.msc). Убедитесь, что расширенные функции включены, а затем щелкните правой кнопкой мыши соответствующий объект компьютера. Перейдите на вкладку "Редактор атрибутов" и убедитесь, что значение msSVSadmPwd заполнено допустимым паролем.

Этап 2: Расширить применение PAW для всех администраторов

Область: все пользователи с правами администратора над критически важными приложениями и зависимостями. Это должно включать по крайней мере администраторов серверов приложений, решений мониторинга работоспособности и безопасности, решений виртуализации, систем хранения и сетевых устройств.

Заметка

Инструкции на этом этапе предполагают, что этап 1 завершен полностью. Не начинайте этап 2, пока не завершите все действия, описанные на этапе 1.

Убедившись, что все шаги выполнены, выполните следующие действия, чтобы завершить этап 2.

(Рекомендуется) Включение режима RestrictedAdmin

Включите эту функцию на существующих серверах и рабочих станциях, а затем примените эту функцию. Эта функция требует, чтобы целевые серверы работали под управлением Windows Server 2008 R2 или более поздней версии и целевых рабочих станций под управлением Windows 7 или более поздней версии.

1. Включите режим RestrictedAdmin на серверах и рабочих станциях, следуя инструкциям, доступным на этой странице .

   Заметка

   Прежде чем включить эту функцию для серверов, подключенных к Интернету, следует учитывать риск того, что злоумышленники смогут проходить проверку подлинности на этих серверах с ранее украденным хэшом паролей.

2. Создайте объект групповой политики "RestrictedAdmin Required - Computer" (GPO). В этом разделе создается объект групповой политики, который обязывает использовать переключатель /RestrictedAdmin для исходящих подключений к удаленному рабочему столу, защищая учетные записи от кражи учетных данных на целевых системах.

   • Перейдите в раздел "Конфигурация компьютера\Политики\Административные шаблоны\Система\Делегирование учетных данных\Ограничить делегирование учетных данных на удаленные серверы" и установите значение на Включено.

3. Свяжите RestrictedAdmin Обязательный — компьютер с соответствующими устройствами уровня 1 и(или) уровня 2 с помощью следующих параметров политики:

   • Конфигурация PAW — компьютер
     • Расположение ссылки>: Admin\Tier 0\Devices (существующий)
   • Конфигурация PAW — пользователь
     • — расположение ссылки>: Admin/Tier 0/Accounts
   • Обязательный параметр RestrictedAdmin — компьютер
     • —>Admin\Tier1\Devices или —> Admin\Tier2\Devices (оба являются необязательными)

   Заметка

   Это не обязательно для систем уровня 0, так как эти системы уже находятся под полным контролем всех ресурсов в среде.

Переместите Объекты уровня 1 в соответствующие организационные единицы (ОЕ)

1. Переместите группы уровня 1 в организационную единицу Admin\Tier 1\Groups. Найдите все группы, предоставляющие следующие права администратора, и переместите их в эту организационную единицу.

   • Локальный администратор на нескольких серверах
     • Административный доступ к облачным службам
     • Административный доступ к корпоративным приложениям

2. Переместите учетные записи уровня 1 в подразделение Admin\Tier 1\Accounts. Переместите каждую учетную запись, являющуюся членом групп первого уровня, включая вложенное членство, в это подразделение.

3. Добавление соответствующих участников в соответствующие группы

   • администраторы уровня 1. Эта группа содержит администраторов уровня 1, которые ограничены входом на узлы уровня 2. Добавьте все административные группы уровня 1, имеющие права администратора через серверы или интернет-службы.

     Важный

     Если у административного персонала есть обязанности по управлению ресурсами на нескольких уровнях, необходимо создать отдельную учетную запись администратора на уровне.

4. Включите Credential Guard для снижения риска кражи учетных данных и повторного использования. Credential Guard — это новая функция Windows 11, которая ограничивает доступ приложения к учетным данным, предотвращая атаки кражи учетных данных (включая Pass-the-Hash). Credential Guard является прозрачным для конечного пользователя и требует минимального времени установки и усилий. Дополнительные сведения о Credential Guard, включая действия по развертыванию и требования к оборудованию, см. в статье Защита учетных данных домена с помощью Credential Guard.

   Заметка

   Device Guard необходимо включить для настройки и использования Credential Guard. Однако для использования Credential Guard не требуется настраивать другие средства защиты Device Guard.

5. (Необязательно) Включите подключение к облачным службам. Этот шаг позволяет управлять облачными службами, такими как Azure и Microsoft 365, с соответствующими гарантиями безопасности. Этот шаг также необходим, чтобы Microsoft Intune мог управлять ПАО.

   Заметка

   Пропустите этот шаг, если для администрирования облачных служб или управления с помощью Intune не требуется подключение к облаку.

   • Эти шаги ограничивают обмен данными через Интернет только авторизованными облачными службами (но не открытым интернетом) и добавляют защиту в браузеры и другие приложения, обрабатывающие содержимое из Интернета. Эти PAWs для администрирования никогда не должны использоваться для стандартных пользовательских задач, таких как интернет-общение и продуктивные задачи.
   • Чтобы включить подключение к службам PAW, выполните следующие действия.

   1. Настройте PAW, чтобы разрешить доступ только к разрешенным интернет-ресурсам. При расширении развертывания PAW для включения облачного администрирования необходимо разрешить доступ к авторизованным службам, отфильтровав доступ из открытого Интернета, где на администраторов легче совершить атаки.

      1. Создайте группу администраторов облачных служб и добавьте в нее все учетные записи, требующие доступа к облачным службам в интернете.

      2. Скачайте файл proxy.pac pac из коллекции TechNet и опубликуйте его на внутреннем веб-сайте.

         Заметка

         После скачивания необходимо обновить файл proxy.pac, чтобы убедиться, что он up-to-date и завершен. Корпорация Майкрософт публикует все текущие URL-адреса Microsoft 365 и Azure в Центре поддержки Office . В этих инструкциях предполагается, что вы будете использовать Internet Explorer (или Microsoft Edge) для администрирования Microsoft 365, Azure и других облачных служб. Корпорация Майкрософт рекомендует настроить аналогичные ограничения для любых сторонних браузеров, которые требуется для администрирования. Веб-браузеры в PAW должны использоваться только для администрирования облачных служб и никогда не для общего просмотра в Интернете.

         Возможно, вам потребуется добавить другие допустимые интернет-адреса в этот список для других поставщиков IaaS, но не добавляйте в него сайты для обеспечения производительности, развлечений, новостей или поиска.

         Возможно, вам также потребуется настроить PAC-файл для размещения допустимого прокси-адреса, который будет использоваться для этих адресов.

         Вы также можете ограничить доступ из PAW с помощью веб-прокси для улучшения защиты в глубине. Мы не рекомендуем использовать этот параметр без PAC-файла, так как он будет ограничивать доступ только для PAW во время подключения к корпоративной сети.

      3. После настройки файла proxy.pac обновите конфигурацию PAW — пользовательский объект GPO.

         1. Перейдите в раздел "Конфигурация пользователя\Параметры\Параметры Windows\Реестр". Щелкните правой кнопкой мыши реестр, выберите Создать>элемент реестра и настройте следующие параметры:

            1. Действие: замена

            2. Hive: HKEY_CURRENT_USER

            3. Путь к ключу: Software\Microsoft\Windows\CurrentVersion\Internet Settings

            4. Имя значения: AutoConfigUrl

               Осторожность

               Не выбирайте поле по умолчанию слева от имени значения.

            5. Тип значения: REG_SZ

            6. Данные о значении: введите полный URL-адрес файла proxy.pac, включая http:// и имя файла, например http://proxy.fabrikam.com/proxy.pac. URL также может быть с одним ярлыком, например, http://proxy/proxy.pac

               Заметка

               PaC-файл также может размещаться в общей папке с синтаксисом file://server.fabrikan.com/share/proxy.pac но это требует разрешения протокола file://. Дополнительные сведения о настройке требуемого значения реестра см. в разделе "File:// основанные скрипты прокси-сервера устарели" этого блога "Понимание настройки веб-прокси".

            7. Нажмите вкладку Common и выберите Удалить этот элемент, если он больше не применяется.

            8. На вкладке Common выберите Уровень целевой направленности элемента и щелкните Таргетинг.

            9. Щелкните Новый элемент и выберите Группу безопасности.

            10. Выберите кнопку "...", затем найдите группу администраторов облачных служб.

            11. Щелкните Новый элемент и выберите группу безопасности.

            12. Выберите кнопку "..." и найдите группу PAW пользователей.

            13. Щелкните на элементе пользователей PAW и щелкните Параметры элемента.

            14. Выберите , это не.

            15. Нажмите кнопку ОК в окне целевого объекта.

            16. Нажмите кнопку ОК, чтобы завершить настройку параметра групповой политики AutoConfigUrl.

   2. Примените конфигурации безопасности Windows 11 и настройки доступа к облачным службам, если необходимо, к правильным организационным единицам, выполнив следующие действия:

      1. Извлеките содержимое ZIP-файла базовых параметров безопасности Windows 11.

      2. Создайте эти объекты групповой политики, импортируйте параметры политики и привяжите в соответствии с этой таблицей. Свяжите каждую политику с каждым местоположением и убедитесь, что порядок соответствует таблице (записи, расположенные ниже в таблице, должны применяться позже или иметь более высокий приоритет):

         Политики :

         Имя политики	Ссылка
         CM Windows 11 — безопасность домена	N/A — не ссылайтесь сейчас
         SCM Windows 11 TH2 — компьютер	Администратор\Уровень 0\Устройства
         	Администратор\Уровень 1\Устройства
         	Администратор\Уровень 2\Устройства
         SCM Windows 11 TH2— BitLocker	Администратор\Уровень 0\Устройства
         	Администратор\Уровень 1\Устройства
         	Администратор\Tier 2\Устройства
         SCM Windows 11 — Credential Guard	Admin\Tier 0\Устройства
         	Администратор\Уровень 1\Устройства
         	Админ\Уровень 2\Устройства
         SCM Internet Explorer — компьютер	Админ\Tier 0\Устройства
         	Администратор\Уровень 1\Устройства
         	Admin\Tier 2\Устройства
         Конфигурация PAW для компьютера	Администратор\Tier 0\Устройства (Существующие)
         	Админ\Уровень 1\Устройства (Новая ссылка)
         	Admin\Tier 2\Устройства (Новая ссылка)
         Параметр "RestrictedAdmin" обязателен — компьютер	Администратор\Уровень 0\Устройства
         	Администратор\Уровень 1\Устройства
         	Admin\Tier 2\Устройства
         SCM Windows 11 — пользователь	Администратор\Уровень 0\Устройства
         	Администратор\Уровень 1\Устройства
         	Admin\Tier 2\Устройства
         SCM Internet Explorer — пользователь	Администратор\Tier 0\Устройства
         	Администратор\Уровень 1\Устройства
         	Администратор\Уровень 2\Устройства
         Пользовательская конфигурация PAW	Администратор\Уровень 0\Устройства (Существующие)
         	Администратор\Уровень 1\Устройства (Новая ссылка)
         	Admin\Уровень 2\Устройства (Новая ссылка)

         Заметка

         Объект групповой политики (GPO) "SCM Windows 11 — безопасность домена" может быть связан с доменом независимо от PAW, но при этом повлияет на весь домен.

6. (Необязательно) Установите другие необходимые средства для администраторов уровня 1. Установите любые другие средства или скрипты, необходимые для выполнения обязанностей задания. Перед добавлением в PAW необходимо оценить риск раскрытия учетных данных на целевых компьютерах любыми средствами.

7. Определение и безопасное получение программного обеспечения и приложений, необходимых для администрирования. Это похоже на работу, выполняемую на этапе 1, но с более широкой областью из-за увеличения числа приложений, служб и систем, защищенных.

   Важный

   Убедитесь, что вы защищаете эти новые приложения (включая веб-браузеры), подключая их к защите, предоставляемой функцией Windows Defender Exploit Guard.

   • Примеры других программ и приложений:

     • Программное обеспечение для управления службами или приложениями на основе консоли управления Майкрософт

     • Частная служба (не на основе MMC) или программное обеспечение для управления приложениями

       Заметка

       Многие приложения теперь управляются исключительно через веб-браузеры, включая многие облачные службы. Хотя это уменьшает количество приложений, которые необходимо установить на paW, он также представляет риск проблем взаимодействия с браузером. Возможно, потребуется развернуть веб-браузер, отличный от Майкрософт, на определенных экземплярах PAW, чтобы включить администрирование определенных служб. Если вы развертываете дополнительный веб-браузер, убедитесь, что вы следуйте всем принципам чистого источника и защищаете браузер в соответствии с рекомендациями по безопасности поставщика.

8. (Необязательно) Скачайте и установите все необходимые агенты управления.

   Важный

   Если вы решили установить дополнительные агенты управления (мониторинг, безопасность, управление конфигурацией и т. д.), необходимо обеспечить доверие систем управления на том же уровне, что и контроллеры домена и системы удостоверений.

9. Оцените инфраструктуру, чтобы выявить системы, которым требуется дополнительная защита, предоставляемая специализированной рабочей станцией (PAW). Убедитесь, что вы точно знаете, какие системы должны быть защищены. Задайте критически важные вопросы о самих ресурсах, таких как:

   • Где находятся целевые системы, которые должны управляться? Собираются ли они в одном физическом расположении или подключены к одной хорошо определенной подсети?

   • Сколько систем существует?

   • Зависят ли эти системы от других систем (виртуализация, хранилище и т. д.) и, если да, как эти системы управляются? Как критически важные системы подвергаются этим зависимостям и какие другие риски связаны с этими зависимостями?

   • Насколько критически важными являются управляемые службы, и какова ожидаемая потеря, если эти службы скомпрометируются?

     Важный

     Включите облачные службы в эту оценку. Злоумышленники все чаще нацелены на небезопасные облачные развертывания, и очень важно безопасно администрировать эти службы, как и локальные критически важные приложения.

     Используйте эту оценку, чтобы определить конкретные системы, требующие дополнительной защиты, а затем расширить программу PAW для администраторов этих систем. Распространенные примеры систем, которые значительно выигрывают от администрирования на основе PAW, включают SQL Server (как в локальной среде, так и в SQL Azure), приложения кадровых ресурсов и финансовое программное обеспечение.

     Заметка

     Если ресурс управляется из системы Windows, его можно управлять с помощью PAW, даже если приложение работает в операционной системе, отличной от Windows или на облачной платформе, отличной от Майкрософт. Например, владелец подписки у поставщика облачных служб должен использовать только PAW для администрирования этой учетной записи.

10. Разработайте метод запроса и распространения для развертывания PAW в широком масштабе в вашей организации. В зависимости от количества PAWs, которые вы планируете развернуть на этапе 2, вам может потребоваться автоматизировать процесс.

    • Рассмотрите возможность разработки официального запроса и процесса утверждения, который администраторы используют для получения PAW. Этот процесс поможет стандартизировать процесс развертывания, обеспечить подотчетность для устройств PAW и выявить пробелы в развертывании PAW.

    • Как упоминалось ранее, это решение развертывания должно быть отделено от существующих методов автоматизации (которые уже были скомпрометированы) и должны соответствовать принципам, описанным на этапе 1.

      Важный

      Любая система, управляющая ресурсами, должна управляться на том же или более высоком уровне доверия.

11. Проверьте и при необходимости разверните дополнительные профили аппаратного обеспечения PAW. Профиль оборудования, выбранный для развертывания на этапе 1, может быть не подходит для всех администраторов. Просмотрите профили оборудования и при необходимости выберите другие профили оборудования PAW в соответствии с потребностями администраторов. Например, выделенный профиль оборудования (отдельные рабочие станции PAW и рабочие станции для повседневного использования) может быть непригодным для администратора, который часто путешествует.

12. Рассмотрим культурные, операционные, информационные и учебные потребности, сопровождающие расширенное развертывание PAW. Такое значительное изменение административной модели, естественно, потребует управления изменениями в некоторой степени, и важно построить это в самом проекте развертывания. Рассмотрим как минимум следующие вопросы:

    • Как вы сообщите об изменениях старшему руководству, чтобы обеспечить их поддержку? Любой проект без поддержки старшего руководства, скорее всего, потерпит неудачу и будет бороться за финансирование и широкое признание.

    • Как документируете новый процесс для администраторов? Эти изменения должны быть задокументированы и переданы не только существующим администраторам (которые должны изменить свои привычки и управлять ресурсами другим способом), но и для новых администраторов (которые были повышены изнутри или наняты извне организации). Важно, чтобы документация была четкой и полностью сформулированной:

      • Важность угроз
      • Роль PAW в защите администраторов.
      • Как правильно использовать PAW.

      Важный

      Это особенно важно для ролей с высокой текучестью кадров, включая, например, персонал службы поддержки.

    • Как обеспечить соответствие новому процессу? Хотя модель PAW включает несколько технических элементов управления, чтобы предотвратить воздействие привилегированных учетных данных, невозможно полностью предотвратить все возможные воздействия исключительно с помощью технических элементов управления. Например, хотя администратор может предотвратить вход на рабочий стол пользователя с привилегированными учетными данными, простой акт попытки входа может предоставить учетные данные вредоносным программам, установленным на этом рабочем столе пользователя. Поэтому важно сформулировать не только преимущества модели PAW, но и риски несоответствия. Это должно быть дополнено аудитом и оповещениями, чтобы можно было быстро обнаружить и устранить уязвимость учетных данных.

Этап 3. Расширение и повышение защиты

Область: эти средства защиты улучшают системы, встроенные на этапе 1, повышая базовую защиту с помощью расширенных функций, включая многофакторную проверку подлинности и правила доступа к сети.

Заметка

Этот этап можно выполнить в любое время после завершения этапа 1. Он не зависит от завершения этапа 2 и, следовательно, может выполняться до, параллельно с или после этапа 2.

Выполните следующие действия, чтобы настроить этот этап:

1. Включить многофакторную проверку подлинности для привилегированных учетных записей. Многофакторная проверка подлинности повышает безопасность учетной записи, требуя от пользователя предоставить физический маркер в дополнение к учетным данным. Многофакторная проверка подлинности дополняет политики проверки подлинности хорошо, но она не зависит от политик проверки подлинности для развертывания (и, аналогичным образом, политики проверки подлинности не требуют многофакторной проверки подлинности). Корпорация Майкрософт рекомендует использовать одну из следующих форм многофакторной проверки подлинности:

   • смарт-карта: смарт-карта — это защищенное и переносимое физическое устройство, которое обеспечивает вторую проверку во время процесса входа в Windows. Требуя, чтобы пользователь имел карточку для входа, вы можете снизить риск повторного использования украденных учетных данных. Дополнительные сведения о входе с использованием смарт-карты в Windows см. статью Обзор смарт-карт.
   • виртуальные смарт-карты: виртуальная смарт-карта предоставляет те же преимущества безопасности, что и физические смарт-карты, а также преимущество связывания с определенным оборудованием. Дополнительные сведения о требованиях к развертыванию и оборудованию см. в статьях, обзор виртуальных смарт-карт и начало работы с виртуальными смарт-картами: пошаговое руководство.
   • Windows Hello для бизнеса: Windows Hello для бизнеса позволяет пользователям проходить проверку подлинности в учетной записи Майкрософт, учетной записи Active Directory, учетной записи Microsoft Entra или службе, отличной от Майкрософт, которая поддерживает проверку подлинности Fast ID Online (FIDO). После первоначальной двухэтапной проверки во время регистрации Windows Hello для бизнеса на устройстве пользователя настраивается Windows Hello для бизнеса, а пользователь задает жест, который может быть Windows Hello или ПИН-код. Учетные данные Windows Hello для бизнеса — это пара асимметричных ключей, которая может быть создана в изолированных средах доверенных платформенных модулей (TPM).
     • Дополнительные сведения о Windows Hello для бизнеса см. в статье Windows Hello для бизнеса.
   • Аутентификация с многофакторной проверкой подлинности Azure (MFA): Услуга многофакторной аутентификации Azure (MFA) предоставляет безопасность второго фактора проверки и усиленную защиту за счет мониторинга и анализа на основе машинного обучения. Многофакторная проверка подлинности Microsoft Entra может защитить не только администраторов Azure, но и множество других решений, включая веб-приложения, идентификатор Microsoft Entra и локальные решения, такие как удаленный доступ и удаленный рабочий стол. Дополнительные сведения см. в статье многофакторной аутентификации.

2. Разрешите список доверенных приложений с помощью контроля приложений Защитника Windows и/или AppLocker. Ограничивая возможность ненадежного или неподписаного кода для запуска в PAW, вы еще больше снижаете вероятность вредоносных действий и компрометации. Windows включает два основных варианта управления приложениями:

   • AppLocker: AppLocker помогает администраторам контролировать, какие приложения могут выполняться в данной системе. AppLocker можно централизованно контролировать с помощью групповой политики и применяться к определенным пользователям или группам (для целевых приложений для пользователей PAW). Дополнительные сведения о AppLocker см. в статье TechNet Обзор AppLocker.
   • контроль приложений Защитника Windows: новая функция управления приложениями в Защитнике Windows обеспечивает расширенный аппаратный контроль приложениями, который, в отличие от AppLocker, не может быть изменён на затронутом устройстве. Как и AppLocker, управление приложениями в Защитнике Windows можно контролировать с помощью групповой политики и предназначения для определенных пользователей. Дополнительные сведения об ограничении использования приложений с помощью элемента управления приложениями в Защитнике Windows см. в руководстве по развертыванию управления приложениями в Защитнике Windows.

3. Используйте Защищенных пользователей, Политики аутентификации и Силосы аутентификации для дополнительной защиты привилегированных учетных записей. Члены защищенных пользователей подвергаются дополнительным политикам безопасности, которые защищают учетные данные, хранящиеся в локальном агенте безопасности (LSA), и значительно сокращают риск кражи учетных данных и повторного использования. Политики проверки подлинности и изолированные среды определяют, как привилегированные пользователи могут получать доступ к ресурсам в домене. В совокупности эти средства защиты значительно укрепляют безопасность учетной записи этих привилегированных пользователей. Дополнительные сведения об этих функциях см. в статье Настройка защищенных учетных записей.

   Заметка

   Эти средства защиты предназначены для дополнения, а не замены существующих мер безопасности на этапе 1. Администраторы по-прежнему должны использовать отдельные учетные записи для администрирования и общего использования.

Управление и обновление

Рабочие станции должны иметь возможности защиты от вредоносных программ и обновления программного обеспечения должны быстро применяться для обеспечения целостности этих рабочих станций.

Дополнительное управление конфигурацией, операционный мониторинг и управление безопасностью также можно использовать с PAW. Интеграция этих возможностей должна быть тщательно рассмотрена, так как каждая из них представляет риск компрометации PAW через это средство. Имеет ли смысл внедрить расширенные возможности управления, зависит от нескольких факторов, в том числе:

• Состояние безопасности и практика возможностей управления (включая методики обновления программного обеспечения для средства, административных ролей и учетных записей в этих ролях, операционных системах, на которых размещено или управляется средство, а также любые другие аппаратные или программные зависимости этого средства).
• Частота и количество развертываний программного обеспечения и обновлений на ваших PAWs
• Требования к подробным данным инвентаризации и конфигурации
• Требования к мониторингу безопасности
• Организационные стандарты и другие факторы, относящиеся к организации

Согласно принципу чистого источника, все средства, используемые для управления или мониторинга PAWs, должны быть доверенными на уровне PAWs или выше. Обычно для этого процесса требуется управлять этими средствами из PAW, чтобы гарантировать отсутствие зависимости безопасности от рабочих станций с более низкими привилегиями.

В этой таблице описаны различные подходы, которые могут использоваться для управления и мониторинга PAWs.

Подход	Соображения
Значение по умолчанию в PAW — Службы обновления Windows Server — Защитник Windows	- Нет дополнительных затрат — выполняет основные необходимые функции безопасности — Инструкции, включенные в это руководство
Управление с помощью Intune	Обеспечивает видимость и контроль на основе облачных технологий Развертывание программного обеспечения o Управление обновлениями программного обеспечения Управление политиками брандмауэра Windows Защита от вредоносных программ Удаленная помощь Управление лицензиями на программное обеспечение. Инфраструктура сервера не требуется Требуется выполнить следующие действия "Включить подключение к облачным службам" на этапе 2 Если компьютер PAW не присоединен к домену, эта конфигурация требует применения базовых конфигураций SCM к локальным образам с помощью средств, предоставляемых в загруженном файле базовой конфигурации безопасности.
Новые экземпляры System Center для управления PAW	— обеспечивает видимость и управление конфигурацией, развертыванием программного обеспечения и обновлениями безопасности — Требуется отдельная инфраструктура сервера, защита ее до уровня рабочих станций и навыки персонала для сотрудников с высоким уровнем привилегий
Управляйте PAW с помощью существующих средств управления	— создает значительный риск компрометации рабочих станций, если существующая инфраструктура управления не доведена до уровня безопасности PAWs Примечание: Корпорация Майкрософт, как правило, не рекомендует этот подход, если у вашей организации нет конкретной причины для его использования. По нашему опыту, обычно высокие затраты на приведение всех этих инструментов (и их зависимостей по безопасности) к уровню безопасности PAWs. — Большинство этих средств обеспечивают видимость и управление конфигурацией, развертыванием программного обеспечения и обновлениями системы безопасности.
Средства проверки безопасности или мониторинга, требующие доступа администратора	Включает любой инструмент, который устанавливает агент или требует учетной записи с локальным административным доступом. — требует повышения уровня безопасности инструментария до уровня привилегированных рабочих станций. — Может потребоваться снижение уровня безопасности рабочих станций для поддержки функций средства (открытые порты, установка Java или другого промежуточного ПО и т. д.), что создает дилемму безопасности.
Сведения о безопасности и управление событиями (SIEM)	Если SIEM не является агентом Может получить доступ к событиям в PAW без административного доступа с помощью учетной записи в группе Читатели журналов событий. Требуется открыть сетевые порты, чтобы разрешить входящий трафик от серверов SIEM. Если для SIEM требуется агент, см. строку : средства проверки безопасности или мониторинга, требующие административного доступа.
Пересылка событий Windows	— предоставляет бессагентный метод пересылки событий безопасности из PAW на внешний сборщик или SIEM — имеет доступ к событиям в PAWs без административного доступа — не требует открытия сетевых портов для разрешения входящего трафика с серверов SIEM

Операционные PAWs

Решение PAW должно работать с использованием стандартов, основанных на принципах чистого источника.

Связанные статьи

Microsoft Advanced Threat Analytics (Расширенная аналитика угроз)

Защита производных учетных данных домена с помощью Credential Guard

Обзор функции Device Guard

защита ресурсов с высоким уровнем ценности с помощью защищенных рабочих станций администрирования

Что нового в проверке подлинности Kerberos для Windows Server 2012

Обеспечение механизма аутентификации для AD DS в Windows Server 2008 R2: пошаговое руководство

Обзор технологии доверенного платформенного модуля

Дальнейшие действия

Защита привилегированного доступа