Этап 2. Настройка и защита привилегированных рабочих станций

Эта статья является частью руководства по реализации решения архитектуры привилегированного доступа .

Привилегированный доступ представляет критически важный риск безопасности в большинстве организаций, так как он обеспечивает прямой контроль над системами идентификации, плоскостями управления облаком и критически важными ресурсами.

Узнайте, как архитектура защищенного привилегированного доступа играет важную роль в вашем бизнес-сценарии — защита критически важных бизнес-активов , уменьшая этот риск и повышая контроль над конфиденциальными системами.

В этой статье описывается этап 2 решения. Развертывает и усиливает защиту рабочих станций для привилегированного доступа (PAW), чтобы привилегированные операции выполнялись только с доверенных устройств. Он основан на этапе 1 и формирует сигналы доверия устройства (соответствие требованиям Intune и уровень риска Microsoft Defender для конечной точки), которые используются для применения на этапе 3.

Цели защиты

Этап 2 гарантирует следующее в отношении привилегированного доступа:

  • Происходит только из доверенных, защищенных устройств.
  • Изолирован от деятельности по повышению производительности с высоким риском.
  • Создает чистый и надежный сигнал устройства для последующего принудительного выполнения.
  • Снижает риск кражи учетных данных, повторного использования токенов и перехвата сеансов.
  • Ограничивает радиус взрыва, если устройство скомпрометировано.

Область защиты

Привилегированный доступ надежен лишь настолько, насколько надежно устройство, с которого он осуществляется. Меры защиты учетных записей — такие как MFA, согласования и активация ролей — не могут компенсировать компрометацию рабочей станции. Если злоумышленник управляет устройством, используемым для привилегированного доступа, они могут:

  • Украсть маркеры проверки подлинности после завершения MFA.
  • Внедрение вредоносных процессов в административные сеансы.
  • Воспроизведение учетных данных или маркеров из памяти.
  • Обходите процессы утверждения, действуя от имени легитимного пользователя.

Для привилегированных ролей одна скомпрометированная рабочая станция может обеспечить быструю эскалацию на уровне клиента или корпоративного управления. В результате безопасность устройства определяет верхнюю границу доверия для привилегированного доступа. Поэтому политики привилегированного доступа исходят из того, что административные сеансы инициируются с устройств, соответствующих самым высоким требованиям безопасности. Эти устройства образуют границу доверия для привилегированных операций.

Рабочие станции с привилегированным доступом (PAW)

PAW — это защищённая управляемая рабочая станция Windows, предназначенная исключительно для привилегированных операций. PAW определяют доверенную границу устройства для привилегированного доступа и изолированы от типичных векторов атак.

  • Изолированы от электронной почты, обычного просмотра веб-страниц и офисных задач.
  • Регистрируются и управляются с помощью Microsoft Intune.
  • Используйте Microsoft Entra ID для интеграции идентификации.
  • Контролируются с помощью Microsoft Defender для конечной точки.
  • Предоставьте надежный аппаратный корень доверия.

Вот как PAWs вписываются в картину с точки зрения уровня безопасности и профиля.

Уровень безопасности Профиль устройства
Корпоративные пользователи Стандартное управляемое устройство
Специализированные операторы Защищенное управляемое устройство
Привилегированные (администраторы уровня управления) ЛАПА

Риски, которые смягчены

Риск Почему это важно Устранение рисков на этапе 1
Злоумышленник крадет токены аутентификации после многофакторной аутентификации MFA защищает проверку подлинности, а не среду выполнения. Если скомпрометирована рабочая станция, злоумышленники могут украсть маркеры после проверки подлинности и повторно использовать их для олицетворения привилегированных пользователей. PAW изолируют привилегированную работу на усиленно защищённых устройствах с уменьшенной поверхностью атаки, защитой учётных данных (Credential Guard) и непрерывным мониторингом, предотвращая кражу токенов с компрометированных пользовательских устройств.
Внедрение вредоносных процессов в административные сеансы Злоумышленники могут внедрять код в средства администрирования или сеансы браузера на скомпрометированных устройствах, получая контроль над привилегированными операциями даже при защите удостоверений. Управление приложениями, удаление прав локального администратора и ограниченное выполнение приложений на paWs предотвращает несанкционированное выполнение кода во время административных сеансов.
Воспроизведение учетных данных из памяти Злоумышленники могут извлекать учетные данные или маркеры из памяти на скомпрометированных рабочих станциях и воспроизводить их для повышения привилегий или перемещения в сторону. PaWs принудительно обеспечивают изоляцию учетных данных с помощью безопасности на основе виртуализации и защищенных конфигураций ОС, что снижает уязвимость учетных данных в памяти и ограничивает возможности воспроизведения.
Обход процессов утверждения со скомпрометированных устройств Даже при активации роли на основе утверждения злоумышленники, управляющие рабочей станцией, могут перехватывать утвержденные сеансы и быстро увеличивать привилегии. Доверие устройств становится обязательным условием для привилегированной работы. PAW гарантируют, что процессы утверждения и административные действия выполняются только с устройств, специально предназначенных для защиты от компрометации.
Быстрая эскалация с скомпрометированных рабочих станций Одно скомпрометированное рабочее место администратора может дать злоумышленникам возможность быстро получить доступ к системам идентификации, плоскостям управления и средствам администрирования в масштабе всей организации. Безопасность устройства задает верхнюю границу доверия. PAW обеспечивают наивысший уровень безопасности, снижая вероятность того, что скомпрометированное конечное устройство можно будет использовать для получения привилегированных ролей.

Результаты этапа

После завершения этапа 2:

  • Настроено одно или несколько выделенных устройств PAW.
  • Привилегированная административная работа выполняется только с рабочих станций с привилегированным доступом.
  • PaW изолированы от использования производительности.
  • Устройства централизованно управляются, отслеживаются и восстанавливаются.
  • Предположения доверия устройств являются явными и применимыми.
  • Последующие этапы могут безопасно применять условный доступ и мониторинг.

Необходимые условия

Перед настройкой процедур в этой статье:

  • Убедитесь, что инструкции этапа 1 завершены.
  • Узнайте о безопасности устройств в сценарии привилегированного доступа.
  • Следующие службы должны быть доступны:
    • Microsoft Entra ID как поставщик удостоверений.
    • Microsoft Intune для управления устройствами.
    • Microsoft Defender для конечной точки для защиты от угроз.
  • Для каждого администратора необходимо как минимум одно поддерживаемое устройство Windows с современным оборудованием, поддерживающим следующее:
    • TPM 2.0
    • Безопасная загрузка UEFI
    • BitLocker
    • Безопасность на основе виртуализации (VBS/HVCI)
    • Встроенное ПО и драйверы, обслуживаемые клиентский компонент Центра обновления Windows.

Устройства, которые не соответствуют этому порогу, не должны использоваться для привилегированного доступа.

Шаг 1: Определение развертывания и жизненного цикла PAW

Определите, какие устройства являются PAW, как они создаются, регистрируются, управляются и не будут использоваться до их готовности.

Создание группы устройств PAW

Эта группа будет содержать устройства PAW и используется для:

  • Нацеливание регистрации
  • Профили усиления защищённости
  • Оценка соответствия требованиям
  • Применение условного доступа на более позднем этапе.

Создайте следующее:

  1. В центре администрирования Microsoft Entra перейдите в Microsoft Entra ID>Группы>Новая группа.

  2. Настройте параметры группы и нажмите кнопку "Создать".

    • Тип группы: Безопасность
    • Имя группы: безопасные устройства рабочей станции
    • Тип членства: динамические устройства

  3. Выберите "Добавить динамический запрос " и добавьте правило с помощью этого синтаксиса: device.devicePhysicalIds -any _ -contains "[OrderID]: PAW"

  4. Выберите Сохранить>Создать.

Устройства, зарегистрированные с тегом группы PAW Autopilot, определяются динамическим правилом устройства PAW и рассматриваются как привилегированные рабочие станции доступа.

Определите, кто может создавать PAW

Убедитесь, что PAWs регистрируются осознанно и безопасно.

  • Ограничение того, кто может присоединить устройства к Microsoft Entra ID.
  • Требовать многофакторную проверку подлинности для соединения устройств.
  • Удалите автоматические права локального администратора при присоединении.
  1. В Центре администрирования Entra перейдите кпараметрам устройств>.
  2. В Пользователи могут присоединять устройства к Microsoft Entra ID>Выбрано выберите Пользователи защищенных рабочих станций.
  3. В разделе "Требовать многофакторную проверку подлинности" для присоединения к устройствам нажмите кнопку "Да".
  4. В поле Дополнительный локальный администратор на устройствах, присоединенных к Microsoft Entra выберите None.
  5. Сохранить параметры.

При такой настройке только пользователи PAW могут регистрировать PAW, требуется MFA, и ни один пользователь PAW не становится локальным администратором по умолчанию.

Управляйте PAWs с первой загрузки

PAW необходимо взять под управление с момента первого запуска. Неуправляемые устройства не могут быть доверенными для привилегированного доступа.

  • Настройте Microsoft Entra ID для автоматической регистрации устройств в Intune.
  • Убедитесь, что все PAW находятся под управлением MDM сразу после присоединения.
  • Ограничение регистрации устройств на утвержденных платформах.
  1. Откройте Microsoft Entra ID>Мобильность (MDM и MAM)>Microsoft Intune.
  2. Задайте для области действия MDM для пользователей значение Все и сохраните.
  3. Настройка ограничений регистрации:
    • Разрешить регистрацию устройств Windows.
    • Блокировать или ограничивать личные устройства.

PAWs всегда управляются, они никогда не бывают неуправляемыми.

Подготавливайте PAW последовательно

Используйте Windows Autopilot для обеспечения стандартизованного и повторяемого развертывания PAW, чтобы они изначально находились в заведомо исправном состоянии.

Создайте выделенный профиль развертывания Autopilot и назначьте его группе устройств PAW.

  1. В Центре администрирования Microsoft Intune перейдите в Устройства>Windows>Регистрация Windows>Профили развертывания.
  2. Выберите "Создать профиль" и создайте профиль со следующими параметрами:
    • Имя: профиль развертывания защищенной рабочей станции
    • Преобразование всех целевых устройств в Autopilot: Да
    • Режим развертывания: самостоятельное развертывание
    • Тип учетной записи пользователя: стандартный
  3. Нажмите кнопку "Создать".

Не используйте PAW до усиления защиты

Не используйте PAW, пока они не будут полностью защищены. Это предотвращает раннее воздействие во время установки.

  • Настройка страницы состояния регистрации (ESP)
  • Блокировать использование устройства до тех пор, пока не будут установлены все необходимые профили и приложения
  • Назначение ESP устройствам PAW

  1. В Центре администрирования Microsoft Intune перейдите в Devices>Windows>Регистрация Windows>Состояние регистрации.

  2. Выберите "Создать профиль" и создайте профиль со следующими параметрами:

    • Отображение хода установки приложения и профиля: Да
    • Блокировать использование устройства до тех пор, пока не будут установлены все приложения и профили: Да

  3. Назначьте устройства безопасной рабочей станции и нажмите кнопку "Создать".

Текущие операции жизненного цикла

  1. Чтобы восстановить и пересоздать PAW:

    • Сброс или повторное развертывание PAW с помощью Autopilot при компрометации.
    • Считайте PAWs подлежащими замене, а не ручному ремонту.

  2. Чтобы идентифицировать и отслеживать PAW, используйте:

    • Принадлежность к группе устройств
    • Регистрация в Autopilot

При наличии этих процессов PAW представляют собой однозначно идентифицируемые устройства с централизованным управлением, которые можно инвентаризировать, проверять, а в случае компрометации — безопасно очищать и повторно подготавливать с помощью Autopilot.

Шаг 2: Защитите PAWs

Усильте защиту рабочих станций привилегированного доступа (PAW), чтобы обеспечить чистый сигнал устройства с низким уровнем риска. Меры по усилению защиты включают сокращение поверхности атаки, обязательное применение исправлений и формирование в Defender сигналов о рисках и соответствии требованиям.

Элементы управления условным доступом и мониторингом зависят от этой возможности для применения решений привилегированного доступа.

Эти меры контроля предполагают, что PAW соответствуют необходимым предварительным требованиям по аппаратной безопасности, определённым ранее.

Настройка кругов клиентский компонент Центра обновления Windows

PaW должны быть исправлены быстро и прогнозируемо. Задержки или контролируемые пользователем отсрочки подрывают доверие устройств.

  1. В Центре администрирования Microsoft Intune перейдите к Устройства>Windows>Обновления программного обеспечения>Кольца обновления для Windows.

  2. Выберите "Создать профиль".

  3. Настройте следующие параметры:

    • Имя: PAW — клиентский компонент Центра обновления Windows кольцо
    • Отсрочка обновления качества (дни): 3
    • Отсрочка обновления компонентов (дни): 3
    • Автоматическое обновление: автоматическая установка и перезагрузка без управления конечным пользователем
    • Блокировать приостановку обновлений пользователем: блокировать
    • Установить срок для отложенных перезапусков: 3 дня

  4. В Назначениях назначьте устройствам защищенной рабочей станции.

  5. Создайте профиль.

После выполнения этой процедуры PAW остаются с установленными исправлениями, с минимальным окном уязвимости и без возможности обхода со стороны пользователя.

Подключение к Microsoft Defender для конечной точки

Условный доступ и соответствие требованиям зависят от сигналов риска Defender. Без Defender для конечных точек доверие к устройствам не будет полным.

  1. В Центре администрирования Microsoft Intune перейдите к Endpoint security>Microsoft Defender для конечной точки.
  2. Установите для Подключить Microsoft Defender для конечной точки к Intune значение Вкл..
  3. Нажмите Сохранить.
  4. Обновите данные в Intune, чтобы подтвердить подключение.

Создайте профиль адаптации

  1. В Центре администрирования Microsoft Intune перейдите в раздел Endpoint security>Endpoint detection and response.

  2. Выберите "Создать профиль " и настройте следующие параметры:

    • Платформа: Windows 10 и более поздних версий
    • Тип профиля: обнаружение и реагирование на конечных точках
    • Имя: PAW — Defender для конечных точек

  3. В параметрах конфигурации включите общий доступ к примеру для всех файлов.

  4. Назначьте в группу Secure Workstation Devices.

  5. Создайте профиль.

После настройки процедуры PAWs передают сведения о рисках устройства, данные о вредоносном ПО и телеметрию EDR, которые используются Conditional Access и SecOps.

Принудительное применение ограничений брандмауэра и сети

Большинство путей компрометации PAW являются исходящими. Ограничение исходящего трафика крайне важно.

  1. В Центре администрирования Microsoft Intune перейдите к Endpoint security>Firewall.
  2. Создайте профиль Защита конечных точек.
  3. Настройте правила исходящего брандмауэра, чтобы разрешить только необходимые службы, такие как DNS, DHCP, NTP и утвержденные конечные точки администрирования и управления. Блокировать ненужный исходящий трафик по умолчанию.
  4. Назначениезащищенным устройствам рабочей станции.

После настройки процедуры PAW может достичь только административных конечных точек, необходимых для задач управления.

Дальнейшие действия

После настройки и усиления защиты PAW следующим шагом будет обеспечить применение политик привилегированного доступа с помощью условного доступа и политик.

  • Last updated on